一、背景情況

進入2017年，公安部、工信部分別針對互聯(lián)網(wǎng)VPN等網(wǎng)絡(luò)資源接入亂象，進行專項清理整治。在研究和線下打擊非法侵犯公民信息用于網(wǎng)絡(luò)詐騙犯罪的黑產(chǎn)鏈條中，騰訊公司守護者計劃團隊發(fā)現(xiàn)近年來互聯(lián)網(wǎng)的線路資源、IP資源，已成為黑產(chǎn)鏈條精細(xì)化的一個環(huán)節(jié)，并已形成專門提供IP資源網(wǎng)絡(luò)服務(wù)的“秒撥”動態(tài)IP黑產(chǎn)。

IP地址是指Internet協(xié)議使用的地址。是用來唯一標(biāo)識互聯(lián)網(wǎng)上計算機的邏輯地址，每個Internet包都必須帶有IP地址，每臺連網(wǎng)計算機都依靠IP地址來標(biāo)識自己，同時根據(jù)IP地址能夠定位計算機位置。一般來講，一個實體的計算機位置對應(yīng)的IP地址是基本固定且有限的，這也是互聯(lián)網(wǎng)行業(yè)賬號體系設(shè)定IP判定安全策略的基本邏輯，即根據(jù)IP地址可以識別和限制客戶的登陸行為。

近年來，網(wǎng)絡(luò)黑產(chǎn)鏈條已發(fā)展成為產(chǎn)業(yè)化、精細(xì)化的分工合作，針對互聯(lián)網(wǎng)行業(yè)帳號體系中的注冊、登錄等操作的具體環(huán)節(jié)，黑產(chǎn)使用“秒撥”動態(tài)IP技術(shù)欺騙互聯(lián)網(wǎng)公司的IP識別判定策略，從而實施撞庫曬密、爬蟲、詐騙、刷單、刷量、薅羊毛等惡意行為。2017年，騰訊守護者計劃安全團隊協(xié)助警方抓獲以陳某、曹某為首的非法架設(shè)提供“秒撥”動態(tài)IP黑產(chǎn)服務(wù)的團伙成員26人。經(jīng)查，該團伙租用控制服務(wù)器線路3000余條，租用ADSL寬帶線路5000余條，發(fā)展下級代理商69個，注冊使用者過萬人，年獲利上千萬。

互聯(lián)網(wǎng)公司IP策略的目的通常有以下三種：

例1：某社交軟件，為防止黑產(chǎn)曬密撞庫、竊取帳號密碼后冒充好友詐騙，限定社交賬號異地登錄需短信驗證；限定同一IP在10秒內(nèi)只能請求一次登錄驗密行為。

例2：某視頻平臺，與海內(nèi)外簽約，引進高質(zhì)量內(nèi)容，但版權(quán)授權(quán)僅限大陸地區(qū)，為保護知識產(chǎn)權(quán)，限定注冊和登錄為中國境內(nèi)IP的帳號，才可訪問內(nèi)容。

例3：某電商平臺，經(jīng)常會放出優(yōu)惠券和優(yōu)惠碼，以此促銷各種網(wǎng)購活動，為防止羊毛黨惡意刷券，限定同一IP僅能參加一次領(lǐng)券活動。

二、操作原理

利用秒撥技術(shù)洞穿互聯(lián)網(wǎng)公司IP策略主要通過以下方法：

以QQ登錄為例，當(dāng)?shù)卿汭P出現(xiàn)異常，就會命中IP策略，出現(xiàn)類似如下的提醒：

通常情況下，黑產(chǎn)人員拿到QQ信封（網(wǎng)絡(luò)黑產(chǎn)用語，指黑客通過非法手段得來的QQ號碼和密碼，以萬為單位保存的信息文本）后，會在短時間內(nèi)批量驗證這些QQ帳號密碼及關(guān)系鏈等信息的有效性，也就是在一臺計算機上同時登錄大量QQ號。當(dāng)黑產(chǎn)人員向服務(wù)器發(fā)起批量驗證密碼的請求時，就會命中互聯(lián)網(wǎng)公司的IP策略和驗證碼策略。此時，利用秒撥軟件（如下圖），通過短時間內(nèi)跳變IP，達到突破IP策略的目的，從而完成驗證帳號密碼有效性的過程。

電商平臺上搜索“秒撥”，能看到不少撥號服務(wù)器動態(tài)換IP的商品，其功能介紹的核心內(nèi)容大致為：“多窗口獨立IP，獨立MAC，每個IP服務(wù)器后臺都會自動生成一個獨立的MAC碼，有效防封”；“支持每次登錄游戲都自動變換IP， IP保證都是一個城市的，不會造成異地登錄”；“單機最少支持1000個動態(tài)IP”。

其技術(shù)原理，是以Ros軟路由、RADIUS認(rèn)證服務(wù)器搭建“秒撥”動態(tài)IP集群，整合全國各地的ADSL動態(tài)IP、服務(wù)器線路、云主機靜態(tài)IP和國際互聯(lián)網(wǎng)鏈路，將多種網(wǎng)絡(luò)IP資源捆綁集成，提供給下游黑產(chǎn)用戶作惡用，實現(xiàn)對黑產(chǎn)用戶原始IP的隱匿偽裝，達到IP“秒級跳變”的效果。

“秒撥”動態(tài)IP提供的線路控制客戶端，用以破解洞穿互聯(lián)網(wǎng)行業(yè)的各類IP策略，可實現(xiàn)對其訪問服務(wù)的源IP的“自動切換”、“秒級切換”、“斷線重?fù)堋薄⑶謇鞢OOKIES緩存、虛擬網(wǎng)卡（MAC）信息、多地域IP資源調(diào)換。

三、被黑產(chǎn)利用的“秒撥”動態(tài)IP技術(shù)的危害性

“秒撥”動態(tài)IP技術(shù)，可被用于黑產(chǎn)作惡的多種場景，直接繞開了政府監(jiān)管方及互聯(lián)網(wǎng)行業(yè)通用的IP識別判定策略，其帶來的危害是巨大的：

第一，通過“秒撥”動態(tài)IP技術(shù)，對國內(nèi)動態(tài)IP實時調(diào)用和跳變，可調(diào)用全國25個省、上百個地市的ADSL寬帶動態(tài)IP資源，IP池極其龐大。通過IP的跨地域定向跳變，欺騙帳號安全體系的IP判定策略，偽造帳號登錄地，用于批量注冊、養(yǎng)號、曬密、網(wǎng)絡(luò)詐騙，規(guī)避線上策略打擊。由于IP策略是基于帳號的登陸地和常用地來判定，這種通過網(wǎng)絡(luò)線路源頭實施的IP定向跳變，給線上對抗帶來極大難度。

第二，對于國家網(wǎng)絡(luò)安全而言，市面上大部分動態(tài)IP黑產(chǎn)服務(wù)商，都有橋接境外多個國家的服務(wù)器、云主機等國際網(wǎng)絡(luò)鏈路資源，能夠接入境外服務(wù)器，用境外IP訪問非法網(wǎng)站、發(fā)布非法信息，包括訪問暗網(wǎng)、國際信用卡CVV盜刷、境外帳號作惡等多種場景。帶來無法追查溯源、無法有效封堵的問題，給國家網(wǎng)絡(luò)空間安全穩(wěn)定造成危害。