近些年来，随着网络犯罪的转移和媒体的夸大，暗网在普通人眼里变得愈发神秘莫测。Tor[1]是常见的暗网之一。Tor以其匿名与隐私性著称，并因此得以广泛使用。Tor的Hidden Service（隐蔽服务，HS）提供了普通网络无法访问的网站内容，任何人都可以搭建HS网站。得益于Tor的特性，HS网站的隐蔽性很强，难以追踪和溯源。HS网站的域名以.onion结尾，前缀长度为16位或56位，如22222222jpg4oobq.onion。近日，来自巴斯克地区的研究团队进行了关于HS网站的大规模研究与分析，并带来了一些打破常识性认识的结论。

该团队首先进行了大规模的HS网站爬取和分析。利用从Tor网关、pastebin、目录列表、reddit论坛和以往的研究中搜集的195748个onion域名和基于PhantomJS[2]开发的暗网爬虫，该团队对这些网站进行整站爬取或连接性测试。当整站爬取无法进行或爬取深度达到设定阈值时，对该网站中包含的URL只进行连接性测试。该团队的三次爬取结果显示，只有7257个网站仍处于活动状态，最广泛使用的语言为英文，有约63.49%的网站目录或Wiki网站，如图1；有6.47%的onion网站引用了其他onion网站的资源，但有21.51%的网站引用了表层网络的资源；此外，还有36%的onion网站含有JS代码。

对于注重隐蔽的onion网站来说，有这么高比例的包含JS的onion网站存在很不正常。为此，该团队针对HS中的Web追踪进行了分析。通常用户需要使用连接到Tor网络的浏览器或一些代理（如Tor2Web[3]等）来访问onion网站。这些代理网站会作为用户和onion网站的中间点，从onion网站中获取资源返回给用户。这样onion网站中的资源将直接在用户的浏览器中执行，可能会将用户的IP地址暴露给onion服务提供者或第三方，同时流经代理的流量也可能会被监视，使用户的隐私受到威胁。该团队的分析结果显示，如果这些JS得以执行的话，单谷歌就能获取到超过13%的onion网站访问者的IP地址等数据。而由于许多onion网站引用了来自表层网络的资源（如图片），这会带来更多的信息泄露。

该团队使用[4]中的分析工具对onion网站中的脚本进行分析。通过对脚本代码的向量空间模型和与已知追踪脚本的余弦相似度计算，将这些脚本分为已知脚本、未知黑名单脚本和完全未知脚本三类（“未知黑名单脚本”指脚本未知，但来源为进行追踪的黑名单网站；“完全未知脚本”指脚本既不是先前已知的，也不是来自于进行追踪的黑名单网站的）。分析表明，这些脚本中，有44.02%的脚本被用来追踪，有30.83%的脚本是完全未知的追踪脚本，这与表网中关于Web追踪的调研结果吻合。但在存在JS的onion网站中，有超过75%的网站包含至少1个用于追踪的脚本，占总onion网站的27.49%；而这些网站中，有94.68%的网站使用了完全未知的追踪脚本，如图2。在来自于表网的追踪脚本中，谷歌的占比43%，Facebook占比3.2%，Twitter占比1.9%。为此，该团队建议不要使用这类代理访问onion网站，以免隐私泄露。

Tor的官方网站上有一个页面，告诉人们常见的Web服务可能会搜集到用户的哪些隐私，而且也告诉了用户怎样操作最为安全。但总会有用户因各种各样的原因，不按照Tor的推荐标准使用Tor，从而导致隐私泄露。用户没有想到的是，Tor网络中的onion网站也有一只只眼睛，一直盯着用户的隐私。隐私无小事，再防不胜防也要防微杜渐。

（论文原文：Sanchez-Rola, Iskander, Davide Balzarotti, and Igor Santos. “The Onions Have Eyes: A Comprehensive Structure and Privacy Analysis of Tor Hidden Services.” Proceedings of the 26th International Conference on World Wide Web. 2017.）

（本文完成于 2019 年 2 月 15 日，2019 年 2 月 18 日首发于 ArkTeam。）