搭建暗网网站

由于三胖还没去见马克思,本打算不再写关于tor的文章,鉴于近期机场频繁被端,推上一片惶恐,感觉是时候再写一篇关于匿名的文章了。另,祈南方水患尽退,瘟疫不再来!

说说暗网的好处,它能隐藏博主的服务器;它能隐藏访问者IP,不被追踪。这两条简直就是为审查国量身定制的。

搭建暗网你要摒弃常规网站搭建方式,什么域名、DNS解析、TLS加密,统统地不需要,tor自有一套加密、解密方式,加入SSL反而引入特征。目前,俺也就发现Facebook那个傻缺加入了SSL证书,另不要羡慕Facebook那个域名了,已经过时了,现在onion服务已经进化为v3版了,而它还在用v2版域名。(说这么多还是羡慕它的域名,酸!)

上面尽是废话,下面开搞。

安装Tor

apt install tor

修改torrc配置文件

vi /etc/tor/torrc

添加下面内容:

1
2
3
4
5
6
#密钥和域名路径
HiddenServiceDir /var/lib/tor/hidden_service/
#下面这行是开启最新v3版域名,默认是v2版,去掉前面#号即可开启,v3域名更长
#HiddenServiceVersion 3
#下面是默认端口转发,如果服务器不干别的话,俺是建议直接用80端口的
HiddenServicePort 80 127.0.0.1:8080

如果服务器80端口闲置的话,建议直接用80端口。因为端口转发的话,俺发现对于alias链不是很友好。直接用80端口,删掉后面127.0.0.1:8080就可以了。当然这个torrc文件你还可以一起配置搭建obfs4网桥,具体方法看俺上一篇博文

修改保存后,启动tor:

systemctl start tor

当tor启动后,会创建一个私钥在你的hidden_service目录,同时创建你的独一无二的.onion域名。

查看密钥:

cat /var/lib/tor/hidden_service/private_key

查看域名:

cat /var/lib/tor/hidden_service/hostname

记下上面的域名,以便后面访问。

配置Nginx

首先依旧是安装nginx:

apt install nginx

nignx配置server段:

1
2
3
4
5
6
7
8
vi /etc/nginx/nginx.conf
#server段添加下面内容

server {
listen 8080; #可以直接改用80端口
listen [::]:8080;
root /var/www/blog; #网站根目录,这里就是你的网站内容
}

然后重启nginx:

systemctl restart nginx

最后,用tor访问你的暗网域名也就可以了。下面是本博的暗网地址示例:

http://vq7kihyfoqcoluju.onion/

其它

修改onion域名

onion的域名生成是:私钥>(rsa)>公钥>(sha1)>杂凑值>(base32编码)>得到很丑的地址.onion,这道理跟比特币生成特定地址是同样的,但是因为计算量太大所以都会折衷,只会运算出地址前几位有个人特色的域名。

所以原理是,使用高性能运算机器,不停地尝试不同的私钥输入,看有没有满意的结果,例如Facebook的洋葱地址 facebookcorewwwi.onion 相当的漂亮,要爆破这么多位,大概也只有Facebook等拥有超大规模服务器集群的厂商可以做得到,因为在密码学上的评估要暴力解出这样的结果以1.5Ghz处理器要260万年,Facebook展现出庞大运算的惊人实力。这是暗网目前最漂亮的域名了。

下面是几个运算域名项目地址:

https://github.com/katmagic/Shallot

https://github.com/lachesis/scallion

https://github.com/cathugger/mkp224o

注:本人建议是没必要修改.onion域名的,反正改来改去都是一样的丑,用默认生成的就好。(除非你有Facebook一样的算力)

服务端日志

暗网服务端,是有日志的,但是服务端的日志不显示IP,IP统一显示为127.0.0.1,下面是暗网和明网的日志比较:

暗网:127.0.0.1 - - [29/Jun/2020:23:57:09 +0800] "GET /js/utils.js HTTP/1.1" 200 14103 "http://vq7kihyfoqcoluju.onion" "Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0"

明网:141.164.50.189 - - [12/Jul/2020:00:03:18 +0800] "GET / HTTP/2.0" 200 8770 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36"

可以看到,暗网博主是看不到你的IP的。另,多唠叨一句访问暗网必须用tor才能访问。

运行原理及配置参考

下面是官方的onion服务协议文档:

https://2019.www.torproject.org/docs/onion-services

下面是官方onion服务配置文档:

https://2019.www.torproject.org/docs/tor-onion-service.html.en

暗网注意事项

如果你的网站需要彻底的匿名,或者说不被有关部门跟踪,你需要注意以下防范措施:

  • 不要在这台服务器上运行或做其它事情。
  • 在新服务器或 VPS 上进行全新安装。
  • 不要保留或运行来自 VPS 提供商那儿的任何服务。
  • 用 Paypal 支付你的 VPS 服务,最好使用 Bitcoin。
  • 不要向 VPS 提供关于你的任何身份信息。
  • 不要在这台服务器上运行 Tor 中继,因为 Tor 中继在真实世界的公开 IP 是公开的。
  • 不要从这台服务器发送电子邮件。
  • 不要运行 WEB 软件。如果你的 WEB 软件有管理员登陆或管理员账号,把密码改成复杂的26个字符组成的密码。很多Tor网站被攻破只是某人猜到了管理员登陆密码。
  • 避免使用任何 JavaScript 之类脚本的 WEB 软件。
  • 确保你的 WEB 应用不会泄露任何错误信息或身份信息,比如在错误信息中的真实公开 IP。
  • 审查 WEB 前端代码,确保它不会从 jquery.com、Google Fonts 或任何外部服务拉取资源。
  • 及时做好 VPS 的安全更新。