为了监控犯罪分子的行踪，执法部门和情报机构常常会对暗网及其服务发起渗透攻击。最近暗网匿名邮件服务商SIGAINT向他的用户发送了警告邮件，声称受到了来自疑似执法机构的攻击——大约一周前，暗网邮件服务SIGAINT遭到攻击，攻击者使用了近70个恶意出口节点。

为什么是SIGAINT？

SIGAINT是一个存在于Tor匿名网络中的邮件服务，主要是向暗网用户提供邮件隐私，邮件服务的用户包括注重安全的记者、异见分子和网络罪犯。可能正因为如此，SIGAINT邮件服务被情报部门盯上了。

SIGAINT使用了Tor匿名网络，这就意味着当邮件从某个用户发送至任何地方时，邮件会经过多个节点，这些节点不知道发送者的身份，而处理这些邮件的最后一台机器就是所谓的Tor出口节点。收到邮件的用户能够看到的是出口节点的IP地址，而非真正发送者的IP。这就是SIGAINT能让你在不暴露你真实身份和地址的情况下收发邮件的原因。

使用恶意节点实施中间人攻击

一开始，SIGAINT管理员认为攻击者使用了58个恶意Tor出口节点。但是Tor项目成员Philipp Winter又发现12个出口节点，也就是一共有70个恶意节点。

“在过去的几个月中攻击者一直在尝试使用不同的漏洞利用程序（EXP）攻击我们。”目前所有的恶意节点都被管理员列入和名单，暂时无法再构成威胁。尽管SIGAINT管理员相信还有更多的恶意出口节点。


当SIGAINT用户经由70个恶意节点连接sigaint.org网站时，攻击者就会进行中间人攻击。

“我们很确定他们没有完全入侵，但他们修改了sigaint.org上的.onion链接成了他们自己的，以实施中间人攻击。”

SIGAINT管理员认为，虽然服务的基础设施没有受到影响。但是某些用户的密码可能被窃取了。目前尚不清楚多少SIGAINT用户在这次攻击中受到影响，但是攻击者似乎是在收集用户的密码。

目前SIGAINT正在考虑启用加密功能，或者将sigaint.org上的.onion链接移除。虽然对于一般网站启用SSL并不能起到多大的作用，但是这会加大攻击的难度。同时SIGAINT官方建议所有通过访问Sigaint.org获取暗网链接的用户们尽快更改密码。