通识知识
DNS
网域名称系统(英语:Domain Name System,缩写:DNS)是互联网的一项服务。它作为
将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符。概述
DNS通过允许一个名称服务器把它的一部分名称服务(众所周知的zone)“委托”给子服务器而实现了一种层次结构的名称空间。此外,DNS还提供了一些额外的信息,例如系统别名、联系信息以及哪一个主机正在充当系统组或域的邮件枢纽。
这是基于984个全球范围的“根域名服务器”(分成13组,分别编号为A至M)[2]。从这984个根服务器开始,余下的Internet DNS命名空间被委托给其他的DNS服务器,这些服务器提供DNS名称空间中的特定部分。
域名解析
DNS系统中,常见的资源记录类型有:
- 主机记录(
A记录):RFC 1035定义,A记录是用于名称解析的重要记录,它将特定的主机名映射到对应主机的IP地址上。
- 别名记录(
CNAME记录): RFC 1035定义,CNAME记录用于将某个别名指向到某个A记录上,这样就不需要再为某个新名字另外创建一条新的A记录。
- IPv6主机记录(AAAA记录): RFC 3596定义,与A记录对应,用于将特定的主机名映射到一个主机的IPv6地址。
- 服务位置记录(SRV记录): RFC 2782定义,用于定义提供特定服务的服务器的位置,如主机(hostname),端口(port number)等。
- 域名服务器记录(
NS记录,name server) :用来指定该域名由哪个DNS服务器来进行解析。 您注册域名时,总有默认的DNS服务器,每个注册的域名都是由一个DNS域名服务器来进行解析的,DNS服务器NS记录地址一般以以下的形式出现: ns1.domain.com、ns2.domain.com等。 简单的说,NS记录是指定由哪个DNS服务器解析你的域名。
WHOIS(域名数据库查询)
对于240多个国家代码顶级域名(ccTLDs),通常由该域名权威注册机构负责维护WHOIS。例如中国互联网络信息中心(China Internet Network Information Center)负责.CN域名的WHOIS维护,香港互联网注册管理有限公司(Hong Kong Internet Registration Corporation Limited)负责.HK域名的WHOIS维护,台湾网路资讯中心(Taiwan Network Information Center)负责.TW域名的WHOIS维护。
DNS放大攻击
所有放大攻击都利用攻击者和目标 Web 资源之间的带宽消耗差异。当消耗差异经过多次请求而被放大时,所产生的流量可导致网络基础设施中断。通过发送小型请求来导致大规模响应,恶意用户就能达到四两拨千斤的效果。当通过某个僵尸网络中的每个自动程序都发出类似请求来使这种放大效果倍增时,攻击者既能躲避检测,又能收获攻击流量大增的好处。
在 DNS 放大攻击中,其中一个机器人好比是一个心怀恶意的青少年打电话给一家餐厅,说“我要每样东西点一份,请给我回电话,告诉我整个订单”。当餐厅询问回电号码时,提供的是目标受害者的电话号码。然后目标会接到来自餐厅的电话,提供其并未请求的大量信息。
由于每个自动程序向开放 DNS 解析器提出请求时都提供欺骗性 IP 地址,也就是目标受害者的真实源 IP 地址,目标随后会收到来自 DNS 解析器的响应。为了产生大量流量,攻击者会以某种方式来构造请求,以便让 DNS 解析器产生尽可能大的响应。因此,目标接收攻击者的初始流量的放大结果,其网络被虚假流量堵塞,导致拒绝服务。
DNS 放大可分为四个步骤:
- 攻击者使用受损的端点将有欺骗性 IP 地址的 UDP 数据包发送到 DNS 递归服务器。数据包上的欺骗性地址指向受害者的真实 IP 地址。
- 每个 UDP 数据包都向 DNS 解析器发出请求,通常传递一个参数(例如“ANY”)以接收尽可能最大的响应。
- DNS 解析器收到请求后,会向欺骗性 IP 地址发送较大的响应。
- 目标的 IP 地址接收响应,其周边的网络基础设施被大量流量淹没,从而导致拒绝服务。
尽管少量请求不足以导致网络基础设施下线,但在这一过程通过多个请求和 DNS 解析器翻倍后,目标最终接收的数据量变得非常大。进一步了解有关反射攻击的技术细节。
如何防护 DNS 放大攻击
对于运行网站或服务的个人或公司来说,缓解选择并不多。这是因为,尽管个人或公司的服务器可能是攻击目标,但其并非容量耗尽攻击影响最大的地方。鉴于攻击所产生的大量流量,服务器周围的基础设施感受到影响。互联网服务提供商(ISP)或其他上游基础设施提供商可能无法处理传入流量而不堪重负。因此,ISP 可能会将向受害者 IP 地址发送的所有流量传送到一个黑洞路由,以保护自己并将目标站点下线。除了象 Cloudflare DDoS 防护这样的异地保护服务外,缓解策略大多是预防性的互联网基础设施解决方案。
减少开放 DNS 解析器的总数
DNS 放大攻击的一个重要组成部分是对开放 DNS 解析器的访问权限。如果互联网上有配置不当的 DNS 解析器,那么攻击者只要找到这种 DNS 解析器就能加以利用。理想情况下,DNS 解析器应仅向源自受信任域名的设备提供服务。在基于反射的攻击中,开放 DNS 解析器将响应来自互联网任何位置的查询,因此有可能被利用。限制 DNS 解析器,使其仅响应来自受信任来源的查询,即可使服务器无法被用于任何类型的放大攻击。
源 IP 验证 —— 阻止欺骗性数据包离开网络
由于攻击者僵尸网络发送的 UDP 请求必须有一个伪造为受害者 IP 地址的源 IP 地址,对于基于 UDP 的放大攻击,降低其有效性的一个关键是互联网服务提供商(ISP)拒绝带有伪造 IP 地址的所有内部流量。如果一个从网络内部发送的数据包带有一个看起来像来自网络外部的源地址,那么它就有可能是伪造数据包并可被丢弃。Cloudflare 强烈建议所有提供商实施入口过滤,并不时联系无意中参与了 DDoS 攻击的 ISP,帮助其了解自己的漏洞。
DDOS攻击
域名系统(DNS)服务器是互联网的“电话簿“;互联网设备通过这些服务器来查找特定 Web 服务器以便访问互联网内容。
分布式拒绝服务(distributed denial-of-service,DDoS)攻击,攻击者用大量流量淹没某个域的DNS 服务器,以尝试中断该域的DNS 解析。 如果用户无法找到电话簿,就无法查找到用于调用特定资源的地址。 通过中断DNS 解析,DNS 洪水攻击(DDoS)将破坏网站、API 或Web 应用程序响应合法流量的能力。很难将 DNS 洪水攻击与正常的大流量区分开来,因为这些大规模流量往往来自多个唯一地址,查询该域的真实记录,模仿合法流量。
域名系统的功能是将易于记忆的名称(例如example.com)转换成难以记住的网站服务器地址(例如192.168.0.1),因此成功攻击 DNS 基础设施将导致大多数人无法使用互联网。
(其他的denial-of-server拒绝服务,SYN、HTTP、UDP)
僵尸网络
僵尸网络(Botnet,亦译为丧尸网络、机器人网络)是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即骇客常说的傀儡机或“肉鸡”(肉机),组织成一个个命令与控制节点,用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。
僵尸网络是一种由引擎驱动的恶意因特网行为:DDoS攻击是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。 DDoS 攻击有多种形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的带宽,却不消耗应用程序资源。DDoS 攻击并不是新鲜事物。在过去十年中,随着僵尸网络的兴起,它得到了迅速的壮大和普遍的应用。僵尸网络为 DDoS 攻击提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。DNS 洪水攻击是一种相对较新的基于 DNS 的攻击,这种攻击是在高带宽物联网(IoT)僵尸网络(如 Mirai)兴起后激增的。DNS 洪水攻击使用 IP 摄像头、DVR 盒和其他 IoT 设备的高带宽连接直接淹没主要提供商的 DNS 服务器。来自 IoT 设备的大量请求淹没 DNS 提供商的服务,阻止合法用户访问提供商的 DNS 服务器。
什么是僵尸网络?
僵尸网络(botnet)是指一组受到恶意软件感染并遭到恶意用户控制的计算机。术语“僵尸网络”由“机器人(bot)”和“网络(network)”两个词组合而成,每台受感染设备被称为“机器人”。僵尸网络可用于完成非法或恶意的任务,包括发送垃圾邮件、窃取数据、投放勒索软件、欺诈性点击广告或发动分布式拒绝服务(DDoS)攻击。
虽然某些恶意软件(如勒索软件)会对设备所有者产生直接影响,但 DDoS 僵尸网络恶意软件的可见性可能各不相同;一些恶意软件用于完全控制设备,另一些恶意软件则以后台进程的形式偷偷运行,同时默默等待攻击者或“僵尸牧人”发出指令。
自我传播的僵尸网络通过各种不同的渠道招募额外的僵尸。感染的途径包括利用网站漏洞、特洛伊木马恶意软件和破解弱认证以获得远程访问。一旦获得访问权,所有这些感染方法都会导致在目标设备上安装恶意软件,允许僵尸网络的操作者进行远程控制。一旦设备被感染,它可能试图通过招募周围网络中的其他硬件设备来自我传播僵尸网络的恶意软件。
虽然无法确定特定僵尸网络中机器人的确切数量,但根据估算,复杂僵尸网络的机器人总数从几千一直延伸到百万以上。
僵尸网络因为什么原因而诞生?
使用僵尸网络的原因多种多样,包括激进主义和国家赞助的破坏活动,许多攻击纯粹是为了牟利。在线招募僵尸网络服务所需的费用相对较低;特别是,对比可能造成的损失,价格优势尤为显著。另外,创建僵尸网络的门槛也足够低,因而成为某些软件开发人员的牟利手段,在监管和执法力度有限的地区应用尤其广泛。综合以上,提供招募出租的在线服务迅速风靡全球。
如何控制僵尸网络?
僵尸网络的核心特征是能够接收僵尸牧人(bot herder)发出的更新指令。由于能够与网络中每个机器人进行通讯,攻击者可改变攻击手段、更改目标IP 地址、终止攻击或进行其他自定义行动。僵尸网络设计各不相同,但控制结构可分为两大类:
客户端/服务器僵尸网络模型
客户端/服务器模型模拟传统远程工作站的工作流程,其中每台机器都连接到集中式服务器(或少数集中式服务器),以便访问信息。在这种模型中,每个机器人将连接到命令和控制中心(CnC)资源(例如 Web 域或 IRC 通道),以便接收指令。通过使用这些集中式存储库向僵尸网络传达新命令,攻击者只需修改每个僵尸网络从命令中心获取的原始资源,即可向受感染机器传达最新指令。控制僵尸网络的集中式服务器可以是攻击者自有及操控的设备,也可以是一台受感染的设备。
目前已发现大量流传甚广的集中式僵尸网络拓扑,包括:
星形网络拓扑
多服务器网络拓扑
分层网络拓扑
在以上各类客户端/服务器模型中,每个机器人均连接命令中心资源(如 Web 域或 IRC 通道)以接收指令。鉴于使用这些集中式存储库向僵尸网络传达新命令,攻击者只需从一个命令中心修改各个僵尸网络占用的原始资源,即可向受感染机器传达最新指令。
同时,利用有限数量的集中来源即可向僵尸网络发送最新指令,这种简便性成为此类机器的又一漏洞;若要移除使用集中式服务器的僵尸网络,只需中断这台服务器便可。在这一漏洞的驱使下,僵尸网络恶意软件创建者不断发展,探索出一种不易受到单一或少量故障点干扰的新模型。
点对点僵尸网络模型
为规避客户端/服务器模型漏洞,最近恶意用户一直使用分散式对等文件共享组件设计僵尸网络。在僵尸网络中嵌入控制结构,消除采用集中式服务器的僵尸网络的单点故障,缓解攻击的难度随之提高。P2P 机器人可以同时是客户端和命令中心,协同相邻节点传播数据。
点对点僵尸网络会维护受信任的计算机列表,僵尸网络可根据列表往来通信并更新其恶意软件。限制机器人连接的其他机器数量,使每个机器人仅对相邻设备公开,这使得跟踪和缓解难度相应增高。由于缺乏集中式命令服务器,点对点僵尸网络更容易受到僵尸网络创建者以外的其他用户的控制。为防止失控,分散式僵尸网络通常经过加密以限制访问。
IoT 设备如何变身为僵尸网络?
没有人会通过后院用来观察喂鸟器的无线 CCTV 摄像头操作网上银行业务,但这并不意味着此类设备无法发出必要的网络请求。IoT 设备的强大能力,加上安全防护薄弱或配置不当,为僵尸网络恶意软件招募新机器人加入攻击队伍创造了机会。IoT 设备持续增长,DDoS 攻击随之掀开新篇章,因为很多设备配置不当,很容易受到攻击。
如果 IoT 设备漏洞硬编码到了固件中,更新难度将进一步加大。为降低风险,应更新装有过期固件的 IoT 设备,因为自初始安装设备开始默认凭证通常保持不变。很多廉价硬件制造商并不会因提高设备安全性而获得奖励,因而僵尸网络恶意软件用于攻击 IoT 设备的漏洞始终存在,这项安全风险仍未消除。
如何禁用现有的僵尸网络?
禁用僵尸网络的控制中心:
如果可以识别控制中心,禁用按照命令和控制模式设计的僵尸网络也会变得更加轻松。切断故障点的头节点可以使整个僵尸网络进入离线状态。因此,系统管理员和执法人员可集中精力关闭这些僵尸网络的控制中心。如果命令中心所在的国家/地区执法力度较弱或不愿做出干预,实施难度将进一步加大。
避免个人设备感染:
对于个人计算机,若要重新获得对计算机的控制权,可以采用以下策略:运行防病毒软件、使用安全备份重新安装软件,或者在重新格式化系统后使用初始状态的计算机重新启动。对于 IoT 设备,则可采用以下策略:刷新固件、恢复出厂设置或以其他方式格式化设备。如果这些方案不可行,设备制造商或系统管理员有可能提供其他策略。
如何保护设备,防止其加入僵尸网络?
创建安全密码:
对于许多易受攻击的设备来说,减少对僵尸网络漏洞的暴露,可以简单地将管理凭证改为默认用户名和密码以外的东西。创建一个安全的密码使暴力破解变得困难,创建一个非常安全的密码使暴力破解几乎不可能。例如,感染了Mirai恶意软件的设备会扫描IP地址,寻找响应的设备。一旦有设备响应ping请求,机器人将试图用预设的默认凭证列表登录到该发现的设备。如果默认密码已被更改,并且已经实施了安全密码,机器人将放弃并继续前进,寻找更多易受攻击的设备。
仅允许通过可信方式执行第三方代码:
如果采用手机的软件执行模式,则仅允许的应用可以运行,赋予更多控制来终止被认定为恶意的软件(包括僵尸网络)。只有管理软件(如内核)被利用才会导致设备被利用。这取决于首先具有安全内核,而大多数 IoT 设备并没有安全内核,此方法更适用于运行第三方软件的机器。
定期擦除/还原系统:
在过了设定的时间后还原为已知良好状态,从而删除系统收集的各种垃圾,包括僵尸网络软件。如果用作预防措施,此策略可确保即使恶意软件静默运行也会遭到丢弃。
实施良好的入口和出口过滤实践:
其他更先进的策略包括网络路由器和防火墙的过滤做法。安全网络设计的一个原则是分层:你对可公开访问的资源的限制最少,同时不断加强你认为敏感的东西的安全。此外,任何跨越这些界限的东西都必须受到审查:网络流量、USB驱动器等。高质量的过滤做法增加了DDoS恶意软件及其传播和通信方法在进入或离开网络之前被发现的可能性。
如何预防DDoS攻击
DNS 洪水对传统上基于放大的攻击方法做出了改变。借助轻易获得的高带宽僵尸网络,攻击者现能针对大型组织发动攻击。除非被破坏的 IoT 设备得以更新或替换,否则抵御这些攻击的唯一方法是使用一个超大型、高度分布式的 DNS 系统,以便实时监测、吸收和阻止攻击流量。
用途
- 分布式拒绝服务攻击商业竞争对手的网站
拦截本地回环数据
洋葱路由
Tor为“洋葱路由项目”(The Onion Routing project)的头字语,该项目后来成为规模最大的洋葱路由实现并广为人知。
洋葱路由(英语:Onion routing)为一种在电脑网络上匿名沟通的技术。在洋葱路由的网络中,消息一层一层的加密包装成像洋葱一样的数据包,并经由一系列被称作洋葱路由器的网络节点发送,每经过一个洋葱路由器会将数据包的最外层解密,直至目的地时将最后一层解密,目的地因而能获得原始消息。而因为透过这一系列的加密包装,每一个网络节点(包含目的地)都只能知道上一个节点的位置,但无法知道整个发送路径以及原发送者的地址。
数据结构
被称作洋葱路由的原因在于消息一层一层的加密包装成被称作洋葱数据包的数据结构,层数取决于到目的地中间会经过的节点数,每经过一个节点层会将数据包的最外层解密,因此任一个节点都无法同时知晓这个消息最初与最终的目的地,使发送者达到匿名的效果。
数据包的创建与发送
为了发送洋葱数据包,发送消息者会从“目录节点”(directory node)提供的列表中选取一些节点,并以这些规划出一条被称作“链”(chain)或“线路”(circuit)的发送路径,这条路径将为传输数据包所用。为了确保发送者的匿名性,任一节点都无法知道在链中自己的前一个节点是发送者还是链上的另一节点;同理,任一节点也无法知道在链中自己的下一节点是目的地还是链上另一节点。只有链上的最后一个节点知道自己是链上最终节点,该节点被称作“出口节点”(exit node)。[11]
洋葱路由网络使用非对称加密,发送者从目录节点获得一把公开密钥,用之将要发送的消息加密并发送给链上的第一个节点,该节点又被称作入口节点(entry node);其后与之创建连线和共享密钥。创建连线后发送者就可以通过这条连线发送加密过的消息至链上的第二个节点,该消息将只有第二个节点可以解密;当第二个节点收到此消息后,便会与前一个节点也就是入口节点同样的创建连线,使发送者的加密连线延伸到它,但第二个节点并不晓得前一个节点在链中的身份。之后按照同样原理,发送者通过入口节点和第二个节点的这条加密连线将只有第三个节点能解密的消息发送给第三个节点,第三节点同样的与第二个节点创建连线;借由重复相同的步骤,发送者能产生一条越来越长的连线,但在性能上仍有限制。[11]
当链上的连线都创建后,发送者就可以透过其发送资料并保持匿名性。当目的地回送资料时,链上的节点会透过同一条连线将资料回传,且一样对资料层层加密,但加密的顺序与发送者完全相反;原发送者收到目的地回传的资料时,将仅剩最内一层加密,此时对其解密就可拿到目的地回送的消息。
暗网
构成暗网的隐藏服务网络包括F2F的小型点对点网络以及由公共组织和个人运营的大型流行网络,如Tor、自由网、I2P和Riffle。暗网用户基于常规网络未加密的性质将其称为明网[8]。Tor暗网可以称为洋葱区域(onionland)[9],其使用网络顶级域后缀.onion和洋葱路由的流量匿名化技术。
术语
暗网经常与深网相混淆,后者指的是搜索引擎未索引(不能搜索到)的部分网络。举一个例子,如同YouTube的私人链接、某论坛的登录信息等,这些情况下,即使是有搜索系统也无法搜索以上的资料,故此这是深网。这种混淆至少可以追溯到2009年[10]。从那时起,特别是在报道丝绸之路网站时,这两个词经常被混淆[11][12],因此有不少人建议应该区分二者[5][13][14][15]。
定义
黑暗网络网站只能通过Tor(“洋葱路由”项目)和I2P(“隐形网计划”)等网络访问[16]。黑暗网络用户广泛使用Tor浏览器和Tor可访问的站点,站点可以通过“.onion”域名识别[17]。Tor专注于提供对互联网的匿名访问,而I2P则专注于匿名网站托管[18]。分层加密系统使得黑暗网络用户的身份和位置保持匿名,无法被追踪。黑暗网络加密技术通过大量中间服务器发送用户数据,保护了用户身份并保障匿名。传输的信息只能由路径中的后续节点解密,而这些节点通向出口节点。因为系统过于复杂,所以几乎不可能再生节点路径并逐层解密信息[19]。由于高层次的加密,网站无法跟踪其用户的地理位置和IP,用户也无法获取网站主机的有关信息。因此,黑暗网络用户之间的通信是高度加密的,允许用户以保密方式交流、发博客以及共享文件。[20]
黑暗网络还被用于非法活动,如非法交易、非法论坛以及恋童癖者和恐怖分子的介质交流[21]。与此同时,传统网站为Tor浏览器提供了访问方式,以便与用户创建联系。例如,ProPublica推出了一个Tor用户专用的新版网站[22]
内容
2014年12月,英国朴茨茅斯大学的加雷斯·欧文(Gareth Owen)研究发现Tor上最常见的托管内容是儿童色情,其次是黑市,而流量最高的网站专门用于僵尸网络运营[26]。许多吹哨人网站都有在线论坛[27]和政治讨论论坛[28]。与比特币、诈骗和邮购相关服务的网站最丰富[26]。
僵尸网络
比特币服务
诸如不倒翁等比特币服务通常可以在Tor上使用,而某些服务(如Grams)则提供暗网市场集成[33][34]。法国高等经济商业学院研究员让-卢普·里歇(Jean-Loup Richet)与联合国毒品和犯罪问题办公室联合进行的一项研究表明,使用比特币滚筒进行洗钱成为新趋势。一种常见的方法是使用数字货币兑换服务,将比特币转换为在线游戏货币(如魔兽世界中的金币),然后再转换回金钱[35][36]。
暗网市场
主条目:暗网市场
作为非法药物交易[37]和其他商品交易的中间人,商业性的暗网市场吸引了大量媒体报道,从丝路和魔鬼市场(Diabolus Market)[38]的流行以及随后被法律机关的查封[39]。其他市场出售软件漏洞[40]和武器[41]。学术界尝试检查暗网市场与现实生活中或万维网上商品的价格差异以及对暗网收到的商品开展质量研究。其中一项研究于2013年1月至2015年3月在最活跃的加密市场之一的Evolution进行[42]。虽然研究发现隐匿方法和发货国家等数字信息“似乎准确”,但Evolution出售的非法药物存在质量问题,写道“……非法药物的纯度与其清单上显示的信息不同”[42]。对访问这些市场的消费者的动机以及他们的使用原因则知之甚少[43]。
黑客组织和服务
许多黑客在暗网出售服务,他们或独自行动或团体行动[44]。这些黑客团体包括xDedic、hackforum、Trojanforge、Mazafaka、dark0de和TheRealDeal暗网市场[45]。有些人以追踪和勒索恋童癖者而知名[46]。针对金融机构和银行的网络犯罪和黑客服务也通过暗网提供[47]。各国政府和私营组织已经开始尝试监测这项活动[48]。互联网规模的DNS分布式反射拒绝服务(DRDoS)攻击也通过利用暗网实现[49]。暗网还存在许多诈骗类.onion站点,用户下载网站提供的工具后,电脑会感染特洛伊木马或被植入后门。
欺诈服务
恶作剧和未证实内容
主条目:恶作剧
有报道称暗网存在众筹暗杀、雇佣杀手[41][52]、暗杀市集[53],及暗杀服务[54]。然而,这些业务被认为是诈骗[55][56]。丝绸之路的创始人罗斯·乌布利希(Ross Ulbricht)因他的违法网站遭国土安全调查部门(HSI)逮捕,据称他雇用一名杀手杀死了六个人,但这些指控后来被撤销[57][58]。
2015年6月25日,YouTube频道“Obscure Horror Corner”评测了独立游戏《悲伤的撒旦》,作者声称通过暗网找到了游戏。频道说法的各种不一致之处也让人对其真实性产生怀疑[61]。一些网站负责分析和监控深网和暗网的威胁情报,如Sixgill[62]。
网络钓鱼和诈骗
解谜
非法色情
执法部门定期对儿童色情网站采取行动[68][69],通常通过向用户分发恶意软件来破坏网站[70][71]。这些网站使用复杂的指导、论坛和社区监管系统[72]。其他内容有性虐待和杀害动物[73]以及复仇式色情[74]。
在暗网中,No Limits Fun的事件最为知名,因Peter Gerard Scully,拍了数部儿童色情视频,并于暗网贩售,其中又以Daisy Destruction最为轰动,让美国联邦调查局,不得不跨海联手菲律宾警方逮捕他及整个集团。[75]。
恐怖主义
有一些真实和欺诈网站声称由伊斯兰国使用,包括在去匿名化行动(Operation Onymous)中查获的假网站[76]。在2015年11月巴黎袭击事件后,一个此类型的真实网站遭匿名者的附属黑客组织GhostSec攻击,网站被替换成了氟西汀的广告[77]。Rawti Shax伊斯兰组织一度被发现在暗网上运作[78]。