一、背景情況

進(jìn)入2017年，公安部、工信部分別針對互聯(lián)網(wǎng)VPN等網(wǎng)絡(luò)資源接入亂象，進(jìn)行專項(xiàng)清理整治。在研究和線下打擊非法侵犯公民信息用于網(wǎng)絡(luò)詐騙犯罪的黑產(chǎn)鏈條中，騰訊公司守護(hù)者計(jì)劃團(tuán)隊(duì)發(fā)現(xiàn)近年來互聯(lián)網(wǎng)的線路資源、IP資源，已成為黑產(chǎn)鏈條精細(xì)化的一個(gè)環(huán)節(jié)，并已形成專門提供IP資源網(wǎng)絡(luò)服務(wù)的“秒撥”動(dòng)態(tài)IP黑產(chǎn)。

IP地址是指Internet協(xié)議使用的地址。是用來唯一標(biāo)識(shí)互聯(lián)網(wǎng)上計(jì)算機(jī)的邏輯地址，每個(gè)Internet包都必須帶有IP地址，每臺(tái)連網(wǎng)計(jì)算機(jī)都依靠IP地址來標(biāo)識(shí)自己，同時(shí)根據(jù)IP地址能夠定位計(jì)算機(jī)位置。一般來講，一個(gè)實(shí)體的計(jì)算機(jī)位置對應(yīng)的IP地址是基本固定且有限的，這也是互聯(lián)網(wǎng)行業(yè)賬號體系設(shè)定IP判定安全策略的基本邏輯，即根據(jù)IP地址可以識(shí)別和限制客戶的登陸行為。

近年來，網(wǎng)絡(luò)黑產(chǎn)鏈條已發(fā)展成為產(chǎn)業(yè)化、精細(xì)化的分工合作，針對互聯(lián)網(wǎng)行業(yè)帳號體系中的注冊、登錄等操作的具體環(huán)節(jié)，黑產(chǎn)使用“秒撥”動(dòng)態(tài)IP技術(shù)欺騙互聯(lián)網(wǎng)公司的IP識(shí)別判定策略，從而實(shí)施撞庫曬密、爬蟲、詐騙、刷單、刷量、薅羊毛等惡意行為。2017年，騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì)協(xié)助警方抓獲以陳某、曹某為首的非法架設(shè)提供“秒撥”動(dòng)態(tài)IP黑產(chǎn)服務(wù)的團(tuán)伙成員26人。經(jīng)查，該團(tuán)伙租用控制服務(wù)器線路3000余條，租用ADSL寬帶線路5000余條，發(fā)展下級代理商69個(gè)，注冊使用者過萬人，年獲利上千萬。

互聯(lián)網(wǎng)公司IP策略的目的通常有以下三種：

例1：某社交軟件，為防止黑產(chǎn)曬密撞庫、竊取帳號密碼后冒充好友詐騙，限定社交賬號異地登錄需短信驗(yàn)證；限定同一IP在10秒內(nèi)只能請求一次登錄驗(yàn)密行為。

例2：某視頻平臺(tái)，與海內(nèi)外簽約，引進(jìn)高質(zhì)量內(nèi)容，但版權(quán)授權(quán)僅限大陸地區(qū)，為保護(hù)知識(shí)產(chǎn)權(quán)，限定注冊和登錄為中國境內(nèi)IP的帳號，才可訪問內(nèi)容。

例3：某電商平臺(tái)，經(jīng)常會(huì)放出優(yōu)惠券和優(yōu)惠碼，以此促銷各種網(wǎng)購活動(dòng)，為防止羊毛黨惡意刷券，限定同一IP僅能參加一次領(lǐng)券活動(dòng)。

二、操作原理

利用秒撥技術(shù)洞穿互聯(lián)網(wǎng)公司IP策略主要通過以下方法：

以QQ登錄為例，當(dāng)?shù)卿汭P出現(xiàn)異常，就會(huì)命中IP策略，出現(xiàn)類似如下的提醒：

通常情況下，黑產(chǎn)人員拿到QQ信封（網(wǎng)絡(luò)黑產(chǎn)用語，指黑客通過非法手段得來的QQ號碼和密碼，以萬為單位保存的信息文本）后，會(huì)在短時(shí)間內(nèi)批量驗(yàn)證這些QQ帳號密碼及關(guān)系鏈等信息的有效性，也就是在一臺(tái)計(jì)算機(jī)上同時(shí)登錄大量QQ號。當(dāng)黑產(chǎn)人員向服務(wù)器發(fā)起批量驗(yàn)證密碼的請求時(shí)，就會(huì)命中互聯(lián)網(wǎng)公司的IP策略和驗(yàn)證碼策略。此時(shí)，利用秒撥軟件（如下圖），通過短時(shí)間內(nèi)跳變IP，達(dá)到突破IP策略的目的，從而完成驗(yàn)證帳號密碼有效性的過程。

“秒撥”動(dòng)態(tài)IP客戶端界面（可實(shí)現(xiàn)按秒撥號的IP跳變）

電商平臺(tái)上搜索“秒撥”，能看到不少撥號服務(wù)器動(dòng)態(tài)換IP的商品，其功能介紹的核心內(nèi)容大致為：“多窗口獨(dú)立IP，獨(dú)立MAC，每個(gè)IP服務(wù)器后臺(tái)都會(huì)自動(dòng)生成一個(gè)獨(dú)立的MAC碼，有效防封”；“支持每次登錄游戲都自動(dòng)變換IP，IP保證都是一個(gè)城市的，不會(huì)造成異地登錄”；“單機(jī)最少支持1000個(gè)動(dòng)態(tài)IP”。

其技術(shù)原理，是以Ros軟路由、RADIUS認(rèn)證服務(wù)器搭建“秒撥”動(dòng)態(tài)IP集群，整合全國各地的ADSL動(dòng)態(tài)IP、服務(wù)器線路、云主機(jī)靜態(tài)IP和國際互聯(lián)網(wǎng)鏈路，將多種網(wǎng)絡(luò)IP資源捆綁集成，提供給下游黑產(chǎn)用戶作惡用，實(shí)現(xiàn)對黑產(chǎn)用戶原始IP的隱匿偽裝，達(dá)到IP“秒級跳變”的效果。

“秒撥”動(dòng)態(tài)IP提供的線路控制客戶端，用以破解洞穿互聯(lián)網(wǎng)行業(yè)的各類IP策略，可實(shí)現(xiàn)對其訪問服務(wù)的源IP 的“自動(dòng)切換”、“秒級切換”、“斷線重?fù)堋?、清?COOKIES緩存、虛擬網(wǎng)卡（MAC）信息、多地域IP資源調(diào)換。

三、被黑產(chǎn)利用的“秒撥”動(dòng)態(tài)IP技術(shù)的危害性

“秒撥”動(dòng)態(tài)IP技術(shù)，可被用于黑產(chǎn)作惡的多種場景，直接繞開了政府監(jiān)管方及互聯(lián)網(wǎng)行業(yè)通用的IP識(shí)別判定策略，其帶來的危害是巨大的：

第一，通過“秒撥”動(dòng)態(tài)IP技術(shù)，對國內(nèi)動(dòng)態(tài)IP實(shí)時(shí)調(diào)用和跳變，可調(diào)用全國25個(gè)省、上百個(gè)地市的ADSL寬帶動(dòng)態(tài)IP資源，IP池極其龐大。通過IP的跨地域定向跳變，欺騙帳號安全體系的IP判定策略，偽造帳號登錄地，用于批量注冊、養(yǎng)號、曬密、網(wǎng)絡(luò)詐騙，規(guī)避線上策略打擊。由于IP策略是基于帳號的登陸地和常用地來判定，這種通過網(wǎng)絡(luò)線路源頭實(shí)施的IP定向跳變，給線上對抗帶來極大難度。

“秒撥”動(dòng)態(tài)IP（含VPN）黑產(chǎn)的網(wǎng)絡(luò)結(jié)構(gòu)圖

第二，對于國家網(wǎng)絡(luò)安全而言，市面上大部分動(dòng)態(tài)IP黑產(chǎn)服務(wù)商，都有橋接境外多個(gè)國家的服務(wù)器、云主機(jī)等國際網(wǎng)絡(luò)鏈路資源，能夠接入境外服務(wù)器，用境外IP訪問非法網(wǎng)站、發(fā)布非法信息，包括訪問暗網(wǎng)、國際信用卡CVV盜刷、境外帳號作惡等多種場景。帶來無法追查溯源、無法有效封堵的問題，給國家網(wǎng)絡(luò)空間安全穩(wěn)定造成危害。