黑產IP的識別與對抗——秒撥IP
本文梳理了黑產IP資源的進化史,並著重闡述了威脅獵人對秒撥技術和資源相關研究,以及如何突破秒撥IP的識別問題。文章由威脅獵人(ID:ThreatHunter)原創發布,並受法律保護。如需轉載、摘編或利用其它方式使用本報告文字或者觀點的, 請與我們聯繫。違反上述聲明者,將追究其相關法律責任。
前言
IP,作為互聯網空間中最基礎的身份標識,一直以來都是黑產與甲方爭奪對抗最激烈的攻防點。
黑產技術迭代進化的速度令人咋舌,但是不少甲方卻對黑產的研究和認知依舊停留在早些年的初級階段。黑產發展迅速,而甲方對黑產的了解卻停滯不前,必然造成在攻防過程中的信息不對成,防禦難度加大,防守響應滯後,效率和效果大打折扣。
舉個例子,對於黑產而言,」秒撥「早已不是一個新詞,秒撥IP資源早已成為當下主流的黑產IP資源,可是,威脅獵人在與多個甲方客戶溝通交流的過程中發現,很多在甲方做業務安全的同學對秒撥的概念一知半解,甚至完全不了解。
這個現象值得反思,秒撥在2014年前後已經是成熟的IP資源解決方案,到現在2019年,被廣泛用於批量註冊、投票、刷量等短時間內需要大量IP資源的風險場景,並且由於秒撥IP難以識別的特性,對當前互聯網業務安全場景已造成巨大危害,但是很多安全行業的同學居然覺得這個東西很新鮮。
不論是在IP這個對抗點,還是在手機號、設備指紋、風險流量和行為等其他對抗點上,傳統的【先被攻擊】,然後【事後發現】,最後【補充規則】的被動式的對抗方式已經完全無法適應當前與黑產的攻防節奏,研究黑產、了解黑產、掌握黑產的最新技術和動向,才能把控更多主動權。
想打贏業務安全的戰爭,必須由」亡羊補牢「式的攻防形態向」未雨綢繆「式的攻防形態轉型。
下文梳理了黑產IP資源的進化史,並著重闡述了威脅獵人對秒撥技術和資源相關研究。
秒撥的前世今生
自從甲方開始在IP層面根據一些簡單的規則(如設定單位時間內IP的訪問次數閾值、限制觸發特定行為的IP等)做風控起,就正式向黑產在IP戰場上宣戰。
早期黑產主要是通過代理IP的方式繞過甲方的風控規則,售賣代理IP的網站便如雨後春筍般湧現。這些網站收集代理IP的方式主要利用高性能的伺服器對全網進行掃描,掃描開放代理服務的伺服器,或者是直接爬取其他代理網站的數據,收錄有效代理IP和埠,以免費或者付費的形式交付給用戶。此方式最大的弊端是代理IP的有效性和數量無法把控,代理網站無法把控,用戶更無法把控,這就非常影響黑產做自動化攻擊的效率。也有黑產利用VPN繞過甲方風控,VPN相對穩定,但是成本更高且有效IP數量有限,並不適用於黑產大規模批量化的攻擊。
全網的代理IP數量相對有限,且早期代理服務一般都架設在數據中心的伺服器上,不少甲方慢慢開始積累代理IP池,進一步打壓了黑產使用代理IP的效果。
------------------------------------分割線--------------------------------------
不少做業務安全的同學對黑產IP資源的認知就停留在了此處。
------------------------------------分割線--------------------------------------
然而不甘心的黑產開始做資源升級,研發出秒撥的技術。
通俗的講,秒撥的底層思路就是利用國內家用寬頻撥號上網(PPPoE)的原理,每一次斷線重連就會獲取一個新的IP。與時俱進的黑產掌握大量寬頻線路資源,利用虛擬化和雲計算的技術整體打包成了雲服務,並利用ROS(軟路由)對虛擬主機以及寬頻資源做統一調配和管理。這種雲服務交付給黑產用戶其實就是雲主機(俗稱」秒撥機「),黑產用戶可安裝Windows或Linux系統,通過RDP、VNC或者SSH連接,部署自動斷線重連切換IP以及攻擊的工具後,便可發起攻擊。
秒撥機web管理頁面截圖: