01 — Основы
Что такое даркнет
Даркнет — это часть интернета, недоступная через обычные браузеры. Для доступа требуется специальное ПО и знание точных адресов.
Clearnet (Открытый веб)
Стандартные сайты, индексируемые поисковиками. HTTP/HTTPS-протоколы,
стандартные домены .com/.ru, видимые IP-адреса.
Deep Web (Глубокий веб)
Страницы не индексируемые поисковиками: банковские аккаунты,
корпоративные интранеты, академические базы данных, закрытые форумы.
Dark Web (Тёмный веб)
Требует Tor или I2P для доступа. Адреса в зоне .onion. Полная анонимность
узлов. Не индексируется, адреса передаются только лично.
Важно различать: Большинство Deep Web — это легальный контент
(почта, банкинг, облачные сервисы). Dark Web — лишь небольшая часть,
специально скрытая с помощью overlay-сетей.
02 — Tor-сеть
Луковая маршрутизация
Tor (The Onion Router) — ключевой технический механизм анонимности. Трафик проходит через несколько зашифрованных узлов.
Маршрут пакета через Tor-сеть
💻
Пользователь
Tor Browser
▶
3 слоя
🛡️
Guard Node
Входной узел
▶
2 слоя
🔁
Middle Node
Промежуточный
▶
1 слой
🚪
Exit Node
Выходной
▶
.onion
🧅
Hidden Service
Скрытый сервер
Каждый узел знает только предыдущий и следующий адрес — никто не видит полный путь:
3
Внешний слой — Guard Node
Знает IP пользователя, но не знает конечный адрес. Снимает верхний слой шифрования.
2
Средний слой — Middle Node
Не знает ни источника, ни назначения. Выступает как ретранслятор — снимает второй слой.
1
Внутренний слой — Exit/Rendezvous
Для .onion-сервисов даже Exit-узел не знает конечный IP — используется rendezvous-точка.
Hidden Services (.onion)
Скрытые сервисы работают целиком внутри Tor. Сервер публикует дескриптор
в distributed hash table (DHT) сети. Клиент и сервер встречаются на
rendezvous-точке — реальный IP сервера никогда не раскрывается.
Адрес .onion v3
56-символьный адрес — это публичный ключ Ed25519 + контрольная сумма + версия,
закодированные в Base32. Математически привязан к ключу сервера.
kraken2tr7eohw6acwwp2apxtgqtoy67gzggozvuzmglc7yq35ysboad.onion
03 — Площадки
Архитектура торговой площадки
Технически даркнет-маркетплейс — это веб-приложение, работающее как .onion-сервис. Его структура повторяет обычный e-commerce с рядом специфических механизмов.
1
Регистрация без персональных данных
Только логин + пароль + PGP-ключ. Email не требуется. Никаких привязок
к реальной личности. Аккаунты часто защищены двухфакторной аутентификацией
через PGP-подпись или TOTP.
2
Листинг товаров
Продавцы создают объявления с описанием, ценой в криптовалюте, фотографиями
и условиями доставки. Площадки берут комиссию 2–5% с каждой продажи.
Продавцы проходят верификацию (депозит, приглашение или вступительный взнос).
3
Система репутации и отзывов
Рейтинги продавцов — ключевой механизм доверия. Покупатели оставляют
отзывы после сделки. Высокий рейтинг критически важен для продаж.
PGP-подпись отзывов предотвращает их подделку.
4
Мессенджер с шифрованием
Встроенный чат с обязательным PGP-шифрованием переписки. Сообщения шифруются
публичным ключом получателя — даже администраторы площадки не могут прочитать
переписку без приватного ключа.
5
Диспутный центр
При конфликте между покупателем и продавцом привлекается модератор площадки.
Эскроу-средства удерживаются до разрешения спора. История переписки служит
доказательной базой.
Сравнение: обычный e-commerce vs. даркнет-площадка
Функция
Clearnet (Amazon)
Darknet Market
Идентификация
Email, телефон, адрес
✓ Только псевдоним
Транспорт
HTTPS (открытый)
✓ Tor + HTTPS
Платежи
Карта, банк
✓ Криптовалюта
Эскроу
Через банк
✓ Смарт-контракт / мультисиг
Переписка
Plaintext (читает платформа)
✓ E2E PGP-шифрование
Репутация
Привязана к аккаунту
✓ PGP-подписанные отзывы
Юридическая защита
✓ Полная
✗ Отсутствует
04 — Платежи
Криптовалюта и эскроу
Финансовые механизмы — центральная часть доверия на площадках. Эскроу удерживает средства до подтверждения получения товара.
₿
Bitcoin (BTC)
Первая криптовалюта даркнета. Публичный блокчейн — транзакции видны всем.
Chain analysis позволяет деанонимизировать адреса при неосторожном использовании.
ɱ
Monero (XMR)
Предпочтительная валюта. Ring signatures, stealth addresses и RingCT
делают транзакции непрослеживаемыми. Нет публичного блокчейна — суммы и адреса скрыты.
⚡
Multisig Escrow
Транзакция 2-of-3: покупатель + продавец + площадка. Средства высвобождаются
только при подписи двух из трёх. Площадка не может украсть деньги в одностороннем порядке.
Схема Multisig 2-of-3
# Участники
Покупатель → pubkey_A
Продавец → pubkey_B
Площадка → pubkey_C
# Эскроу-адрес
P2SH = HASH160(
OP_2 pubA pubB pubC OP_3
OP_CHECKMULTISIG
)
# Разблокировка (нужны 2 подписи)
sig_A + sig_B → broadcast(tx)
Exit Scam: Одна из главных угроз — площадки, которые собирают средства
в эскроу и внезапно исчезают. Multisig частично решает эту проблему, но не полностью.
Крупные закрытия (Evolution 2015, Exit road 2013) унесли миллионы долларов пользователей.
05 — Технологии
Технологический стек
Несмотря на нелегальный контекст, площадки используют стандартные веб-технологии с дополнительными слоями безопасности.
Tor Hidden Services
Анонимный хостинг
PGP / GPG
Шифрование и подпись
Monero / Bitcoin
Криптоплатежи
PHP / Python
Backend-разработка
SQLite / MySQL
Хранение данных
CAPTCHA
Защита от ботов/DDoS
TOTP / 2FA
Двухфакторная аутентификация
Onion v3 (Ed25519)
Адресация сервисов
DDoS Guard
PoW-защита (alt: Proof-of-Work)
I2P
Альтернатива Tor
Multisig Bitcoin
Trustless эскроу
Mirror .onion
Резервные адреса
PGP в переписке
Pretty Good Privacy используется для E2E-шифрования всех сообщений.
Адрес доставки шифруется публичным ключом продавца — площадка не видит его.
-----BEGIN PGP MESSAGE-----
hQEMA...
[зашифрованный адрес доставки]
...xYz==
-----END PGP MESSAGE-----
Операционная безопасность (OPSEC)
Участники соблюдают строгие правила: отдельные Tails OS сессии,
отключённый JavaScript, никаких личных данных в переписке.
Нарушение OPSEC — основная причина задержаний.
06 — Риски
Риски и уязвимости
Несмотря на технические меры защиты, участники несут огромные правовые и операционные риски.
Критический
Уголовное преследование
ФСБ, Europol, FBI проводят операции по деанонимизации. Более 500 арестов
в ходе операции DisrupTor и Darkmarket (2021).
Критический
Exit Scam площадки
Администраторы могут в любой момент забрать все эскроу-средства и исчезнуть.
Средний убыток пользователей — миллионы долларов.
Высокий
OPSEC-ошибки
Использование личного email, реальных фото, повторяющихся псевдонимов,
VPN без Tor. Большинство арестов — из-за операционных ошибок.
Высокий
Blockchain-анализ
Компании Chainalysis и CipherTrace отслеживают BTC-транзакции.
Даже через несколько лет биткоин-адреса могут быть деанонимизированы.
Высокий
Фишинговые зеркала
Поддельные .onion-адреса, имитирующие легитимные площадки.
Пользователи вводят логин/пароль и теряют доступ к аккаунту и средствам.
Средний
Атаки на деанонимизацию
Traffic correlation attacks, timing attacks на Tor. АНБ документировало
методы деанонимизации через глобальное наблюдение за трафиком.
07 — История
Ключевые события
История даркнет-площадок — непрекращающееся противостояние между правоохранителями и разработчиками анонимных платформ.
2011
Silk Road — первая площадка
Росс Ульбрихт (DPR) запустил Silk Road. Первый маркетплейс использующий
Bitcoin + Tor. Оборот превысил $1.2 млрд за 2 года существования.
2013
Закрытие Silk Road
FBI арестовало Ульбрихта через OPSEC-ошибку: личный email, указанный
в одном из форумов. Конфисковано 144,000 BTC (~28 млн $).
2014–2015
Boom площадок
AlphaBay, Hansa, Evolution, Agora — десятки площадок. Активное внедрение
Multisig Escrow в ответ на exit scam Evolution ($12 млн).
2017
Операция Bayonet
Europol закрыл AlphaBay (оборот >$1 млрд) и захватил управление Hansa,
собирая данные на пользователей 27 дней. Крупнейшая скоординированная операция.
2021
Переход на Monero
Большинство активных площадок перешли на XMR как основную валюту.
Операция DisrupTor — 179 арестов в 10 странах, координация FBI/Europol.
2022
Hydra Market закрыт
Крупнейший русскоязычный даркнет-маркетплейс закрыт немецкими властями.
Конфисковано €23 млн в криптовалюте. Оборот площадки — $5 млрд за всё время.
08 — Расследования
Как ловят участников
Правоохранительные органы используют комплекс технических и оперативных методов.
Undercover операции
Агенты FBI/DEA создают аккаунты и проводят контрольные закупки.
Адрес доставки — физическое доказательство. После захвата площадки
продолжают работать под управлением полиции.
Blockchain-анализ
Chainalysis, Elliptic, CipherTrace отслеживают движение криптовалюты.
Как только BTC попадает на KYC-биржу — личность владел��ца раскрывается.
Деанонимизация серверов
Misconfiguration серверов (открытые порты, утечки заголовков),
DDoS-атаки вынуждающие переключиться на clearnet, ошибки в PHP/nginx конфигурации.
OSINT и соцсети
Повторяющиеся псевдонимы в форумах, стиль письма, фотографии пакетов
с геолокацией — все это использовалось в реальных делах.
Итог: Несмотря на технически сложную архитектуру, даркнет-площадки
регулярно закрываются, а участники — арестовываются. Анонимность в интернете
никогда не бывает абсолютной, и каждая техническая мера безопасности имеет известные слабые места.
09 — Зеркала
Что такое зеркало сайта
Зеркало — это точная копия площадки, доступная по другому .onion-адресу. Технически это отдельный сервер с идентичным кодом и базой данных.
1
Зачем нужны зеркала
Основной .onion-адрес может быть недоступен из-за DDoS-атаки, технических проблем
или захвата правоохранителями. Зеркала обеспечивают непрерывный доступ к площадке
при отказе основного узла.
2
Технически: независимые ключи
Каждое зеркало имеет собственную пару Ed25519-ключей и, следовательно, уникальный
.onion-адрес. Все зеркала подключены к общей базе данных или синхронизируются
через репликацию — пользователь видит одни и те же товары и аккаунты.
3
Распределённая инфраструктура
Серверы зеркал физически находятся в разных странах и датацентрах.
Захват одного сервера не уничтожает площадку — остальные продолжают работать.
Каждый сервер — отдельный Tor Hidden Service.
!
Фейковые зеркала — главная угроза
Злоумышленники создают визуально идентичные сайты с другим адресом.
При входе логин/пароль перехватываются, средства похищаются.
Отличить подделку можно только по PGP-подписи администраторов.
Схема работы зеркал
Основной адрес
abc123...xyz.onion
⬇
Зеркало 1
def456....onion
Зеркало 2
ghi789....onion
⬇
Общая база данных
аккаунты, товары, транзакции
Верификация зеркала: Легитимные площадки публикуют список официальных зеркал,
подписанный PGP-ключом администратора. Любой другой адрес — потенциальный фишинг.
10 — Поиск ссылок
Как распространяются актуальные адреса
Поисковики не индексируют .onion-сайты — адреса площадок распространяются по специфическим каналам, каждый из которых несёт свои риски.
Даркнет-каталоги
Специализированные .onion-сайты-каталоги (аналог Yellow Pages) собирают
и верифицируют актуальные адреса площадок. Сами каталоги тоже имеют несколько
зеркал и нуждаются в верификации через PGP.
Форумы и сообщества
Тематические форумы (как в Tor, так и в clearnet) публикуют актуальные ссылки.
Пользователи кросс-верифицируют адреса: если несколько независимых источников
подтверждают одно и то же — вероятность фишинга снижается.
PGP-верификация адресов
Администраторы подписывают список актуальных зеркал своим приватным PGP-ключом.
Публичный ключ публикуется на нескольких независимых ресурсах.
Проверка подписи математически подтверждает подлинность адреса.
Telegram и мессенджеры
Официальные каналы площадок в Telegram публикуют новые адреса после DDoS
или закрытия старых. Риск: канал может быть клонирован мошенниками —
нужно следить за совпадением username с ранее известным источником.
Поисковик в Tor (не Google)
DuckDuckGo, Ahmia и аналоги частично индексируют .onion. Но результаты
поиска могут включать фишинговые копии. Ни один .onion-адрес из поисковика
нельзя считать доверенным без дополнительной верификации.
Ссылки внутри Tor-сети
Один .onion-ресурс ссылается на другой. Цепочка доверия строится от
хорошо известных стартовых точек. Чем длиннее цепочка ссылок — тем
выше риск попасть на компрометированный узел.
Алгоритм проверки нового адреса
Главное правило: Любой адрес, полученный не через верифицированный
PGP-подписанный список, является ненадёжным. Большинство краж происходит именно через
фишинговые зеркала, которые жертва считала официальными.