情报平台建设之暗网监控"/>
企业威胁情报平台建设之暗网监控
一、前言
相信大家对暗网这个概念并不陌生,众所周知,暗网藏着一个暗黑版的交易市场,违法工具、色情交易、毒品交易、枪械信息比比皆是,俨然一个网络犯罪分子聚集的“虎狼之穴”。我们使用Tor浏览器等可以轻松访问暗网中的浅层网,主要是黄赌毒和数据情报信息,如丝绸之路等。
对于企业而言,往往不免被黑客攻击而被获取大量的数据,而这些数据一般会优先在暗网售卖,如近年来的12306、各大互联网公司等的数据泄露事件。为了及时响应突发的数据泄露事件,企业需要一款实时监控暗网数据泄露的威胁情报平台,用来监控敏感数据泄露、薅羊毛、业务安全风险等事件。
二、代理服务器搭建
由于国内网络环境的原因,为了顺利访问暗网,我们需要一台海外服务器,系统版本是ubuntu 18.04(当然其他系统也可以,只是本文会把这个版本的系统作为例子),同时需要在这台服务器上安装Tor与Privoxy用作访问代理服务器。
本文的系统版本:
root@536ef99cab94:/# cat /etc/issue
Ubuntu 18.04.2 LTS
2.1 整体架构
从图上可以看到,Privoxy作为一个中转代理,主要是把http协议转socks5协议,而Tor则负责把socks5转Tor协议。所以整个代理访问过程为:
1.用户输入后缀为onion的地址,由Privoxy暴露的8118端口访问http协议; 2.Privoxy把http协议转发给Tor,Tor获取该网站公钥进行加密,通过Tor通信链路发送信息给Tor节点,由该节点转发请求到.onion网站。
2.2 安装Tor
可能很多人一开始会直接执行这条命令:sudo apt-get install tor,从这个命令安装的Tor是v2版本的,不支持较新的加密算法,所以导致访问不到某些使用最新加密算法的暗网网址。
Tor v2到Tor v3的转变主要表现为如下几点:
1.签名算法从SHA1/DH/RSA1024升级到SHA3/ed25519/curve25519;2.改进的Tor directory protocol,安全性更高;3.更好的洋葱地址,换成sha3,可以提高枚举生成一样地址的难度;4.可拓展的交换协议。
参考官网的安装方法,安装最新版(v3版本)的Tor步骤如下:
1.在/etc/apt/sources.list添加如下源:
deb bionic main
deb-src bionic main
2.添加gpg密钥,执行如下命令:
curl /A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc | gpg --import
gpg --export A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89 | apt-key add -
3.安装Tor:
apt update
apt install tor deb.torproject-keyring
4.查看安装好Tor的版本,可知本文安装的Tor版本为0.3.5.8:
root@536ef99cab94:/# tor -v
Jun 18 14:30:43.530 [notice] Tor 0.3.5.8 running on Linux with Libevent 2.1.8-stable, OpenSSL 1.1.1, Zlib 1.2.11, Liblzma 5.2.2, and Libzstd 1.3.3.
Jun 18 14:30:43.531 [notice] Tor can't help you if you
更多推荐
企业威胁情报平台建设之暗网监控
发布评论