建造我自己的黑暗空间

Question

我曾在互联网上搜索过关于创建一个黑暗网络的信息，结果出现了一种混乱。

有两种定义，第一种是用于私有p2p (如freenet)的网络，另一种是指网络的“空白”IP，以及通过学习谁扫描空白IP来保护它的方法。

我想是一些黑暗者，但我想创造我自己的黑暗网。那么，为了网络安全测试，是否有关于如何自己创建一个黑暗网络(第二个定义)的指南呢？

Answer 1

暗网是私有的p2p。第二个叫做黑暗空间。

假设您有IP块x.x.x.0/24。您有意保留5个IP未分配，当主机向其中一些IP发送数据包(至少3/5)，并在块中发送其他IP时，您可以说该主机可能正在扫描我的IP块，因此我应该小心该主机。

如果你想搜索第一件事，你在错误的地方:)

Answer 2

DarkNet当我在安全上下文中听到时，我就是这样想的.。在其他地方，DarkNet可能被称为网络望远镜。

这是一个有点像HoneyPot的概念，除了HoneyPot将与攻击者交互、发送数据包并允许TCP连接形成之外，DarkNet绝不会让任何数据包返回。HoneyPot的目的是捕获利用和/或有效负载。DarkNet的目的是检测恶意通信的来源(根据定义，进入DarkNet的所有通信量都是异常的，可能是恶意的)。

它们通常完全部署在大型(数千台主机)、企业网络或大学网络的内部。如果您的组织感染了主动扫描IP地址以寻找新主机的蠕虫病毒，内部DarkNet通常是第一个提醒网络监控小组存在问题的触发器。由于在这么大的网络周围有这么多的流量，运行IDS来分析所有的流量就变得不可行了。不应将任何正常通信量发送到IP地址的DarkNet范围，因此，如果检测到任何通信量，则应触发对发送数据包的主机的调查。

不过，您也可以在面向外部、可公开路由的地址空间中部署DarkNet，除非您是一个拥有比他们知道的地址空间更大的地址空间的组织，因此您不太可能负担得起这样的奢侈品。IPv6地址空间更丰富，以至于扫描它寻找主机是不可行的，而且很少部署，所以您不太可能找到任何扫描IPv6地址的恶意软件。

由于DarkNet的用处主要是当您的网络太大以至于无法监视所有流量时，在小范围内创建一个网络，模拟网络主要是作为一个学习练习使用的。在您的家庭或小型办公网络中，运行IPS来监视所有流量是可行的，但是，在任何大小的环境中留出一部分网络地址空间作为DarkNet是无害的，因为它的假阳性率很低。

在团队Cymru链接中有大量关于DarkNet目标、所使用的软件和该软件的配置以及您可能遇到的陷阱的信息。CAIDA有一个这里有纸张，它解释了这个概念，并展示了对一些捕获事件的分析。互联网运动传感器项目似乎不再是活的，但有在CiteSeer上有很多关于它的信息。

还有一些关于在DarkNet at https://darknetproject.org/的公众上可能看到的流量类型的轶事(在那个站点上，默认情况下您被重定向到https，但是证书在18个月前过期了)。

Answer 3

您不需要为描述的用例创建暗网。

你想要的是一个蜜网。

你想要一个访问受限的网络吗？只要在家里建立一个网络，不要把它连接到互联网上。

事实上，你甚至不需要一个真正的网络。你几乎可以完成整件事。