互联网黑产乱象下 “秒拨”IP与IP防御的斗争之路

2022-05-30 15:26:05 浏览数 (1)

IP是互联网空间中最基础的身份标识也是入网的唯一钥匙。自从防御方开始在IP层面根据一些简单的规则,例如设定时间内IP的访问次数、限制触发特定行为的IP、屏蔽高风险IP等布防风控开始,IP就已经正式走进网络安全领域,也成为了黑产与防御方争夺点。

近年来,网络黑产链条已发展为产业化、精细化的状态。对于黑产而言,“秒拨”早已不是一个新词,秒拨IP早已成为当下主流的黑产IP资源,尤其是在互联网行业账号体系中的注册、登录等操作的具体环节。在这一环节中,犯罪分子通过使用“秒拨”动态IP技术,实施批量注册、养号、晒密、网络诈骗等网络黑产行为。

对于IP黑产,很多人还停留在通过代理IP绕过对方安全规则的模式。

传统的IP黑产通过收集代理IP的方式主要利用高性能的服务器对全网进行扫描。当扫描到开放代理服务的服务器时,就直接爬取其他代理网站的数据,然后收录有效代理IP和端口,以免费或者付费的形式交付给用户。

但是此方法无法稳定地获得代理IP的有效性和可使用的数量,这就非常影响黑产自动化攻击的效率。也有黑产利用V**绕过安全风控,但是成本更高且有效IP数量有限,无法大规模批量化的攻击。早期的代理IP规模比较小,而且一般架设在数据中心的服务器上,通过积累代理IP池,可以有效遏制代理。

随着科技的发展,安全防御领域出现多种防御模型并逐渐完善,而IP黑产也对自己的技术进行了升级,秒拨IP出现了。

一般面对有问题的高风险IP,我们会对此IP进行标识,标记为“风险IP”,而黑产通过修改IP的方式来绕过安全风控,让风控系统误判其为“安全IP”。这种修改IP的方式,就叫作动态IP,而黑产使用动态IP的工具后可以几秒钟切换一个新IP,“秒拨”IP的就由此而来。

秒拨的最底层架构主要是通过国内家庭宽带拨号连接(PPPoE)的机制,家庭宽带每次断开再次重新连接就会获得一个新的IP地址。黑产获得光纤宽带路线后,部署全自动断开重新连接软件后,能够获得了许多全新的IP,便可发动攻击。

由于家庭宽带的IP地址是随机分配的,“秒拨”IP的追踪溯源难度较大;另一方面,IP地址总数数量大,即使按照应用场景归类后家庭宽带IP数量也有1.1亿;再加上,秒拨IP可做到秒级转换,且与正常用户共用一个IP池,很有可能会对正常用户误杀。现如今秒拨IP”黑产仍在不断扩大IP资源的地域覆盖范围,部分平台甚至可以提供韩国、美国等IP资源。

秒拨IP已经是互联网行业的一个痛点,面对秒拨IP首先秒拨IP通常为家庭宽带IP、数据中心主机IP这种“非共享型”的IP,我们可以先通过应用场景排除像家庭宽带IP、数据中心主机IP。IP的黑产使用周期和时间有效性是十分重要的指标,所以能够实时判定风险IP就显得尤为重要了。风险画像基于大数据,可以将黑产IP的全生命周期动态具象化,量化为风险值,同时从多维度进行解释,包含IP类型、地理位置、运营商归属等基础信息。

云南警方曾破获一起“秒拨获取运营商动态IP资源”的黑产大案,此案的犯罪嫌疑人利用“秒拨”网络设备获取电信运营商动态IP资源,为境外不法分子提供动态IP代理、动态VPS服务非法牟利。

对此人民日报发表评论:对“秒拨IP”黑产必须露头就打!同时国家也在不断完善立法,2021年10月19日,《中华人民共和国反电信网络诈骗法(草案)》提请十三届全国人大常委会初次审议,2021年10月23日,反电信网络诈骗法草案在网上公布,公开征求社会公众意见。随着立法工作不断深入,IP黑产将进一步被打击。

而最近上线的IP归属地显示功能使IP代理走进大众的视野。360安全专家葛健表示,对于普通用户来说,若通过代理IP修改IP归属地,反而可能会造成隐私泄露。

IP代理通过改变原有设备的网络出口IP,达到了更改IP归属地的效果,但是网友发送的请求会经过代理服务器传递,而免费代理IP一旦被黑产利用,通过免费代理IP产生的浏览记录、账号密码等用户信息都有可能因此泄露,反而会对个人隐私造成威胁。

在此,小编提醒大家通过IP代理更改IP归属地并不可取,咱们普通用户大可不必在违法边缘试探。(狗头保命)

0 人点赞