互聯(lián)網(wǎng)黑產(chǎn)剖析：代理和匿名

文|同盾科技有限公司 同盾反欺詐研究院

3月23日訊，上一篇報(bào)告中，我們介紹了關(guān)于“虛假號碼”的方方面面，同盾三大風(fēng)控基礎(chǔ)維度(手機(jī)號、IP地址、設(shè)備指紋)中，手機(jī)號的防控，起到了至關(guān)重要的作用。虛假號碼的防控，僅僅是我們諸多手機(jī)號防控規(guī)則中的一環(huán)。類似的，我們在其他維度上也進(jìn)入了深入的研究和分析。

這一篇中，我們將為您深入介紹“代理”在各種欺詐行為中扮演的角色。

一、技術(shù)原理

定義 ：代理，英文Proxy，在這里特指網(wǎng)絡(luò)代理。代理是一種網(wǎng)絡(luò)服務(wù)，用于為客戶端和服務(wù)端提供非直接的鏈接。

一般的，根據(jù)代理所使用的協(xié)議，可以對代理做如下分類：

由于近年來“網(wǎng)絡(luò)安全”和“隱私保護(hù)”的問題成為了熱點(diǎn)，越來越多的人開始追求互聯(lián)網(wǎng)上的匿名。因此，代理的匿名程度，也成為區(qū)分代理的一個(gè)重要標(biāo)志。

根據(jù)代理的匿名程度，也有做如下區(qū)分：

比如，目前很多人在用的SS，就是一種高匿代理。當(dāng)我使用一個(gè)SS代理去訪問互聯(lián)網(wǎng)時(shí)，平臺(tái)或網(wǎng)站獲取到的IP地址，就不再是我的真實(shí)IP，并且整個(gè)訪問過程中，都不會(huì)泄露我的真實(shí)IP。

部署一個(gè)代理的成本其實(shí)并不高。相信很多人都擁有自己專屬的代理服務(wù)器，用來訪問一些國外的“資源”。

Nginx中開啟代理只需要做如下配置：

建立Socks代理更為簡單：

總的來說，代理，提供了一種低成本的隱藏用戶真實(shí)信息的途徑和方式。

保護(hù)隱私的同時(shí)，代理也為各種風(fēng)險(xiǎn)行為提供了良好的庇護(hù)。就像Tor(洋蔥路由)一樣，最早期Tor由美國海軍研究實(shí)驗(yàn)室贊助開發(fā)，用來為特工提供一種高度隱蔽和高度匿名的通信方式。2004年后，Tor開源，在很多高等學(xué)府中被使用，為一些從事敏感領(lǐng)域研究的科學(xué)家提供身份保護(hù)。而后，眾多的Tor節(jié)點(diǎn)組成了暗網(wǎng)，成為了毒品、走私、槍支、洗錢的天堂。

二、代理在欺詐行為中的使用場景

TCP/IP，是互聯(lián)網(wǎng)的基礎(chǔ)，沒有TCP/IP，可能就沒有今天的互聯(lián)網(wǎng)了。

TCP/IP協(xié)議，賦予了每個(gè)上網(wǎng)的人都會(huì)擁有一個(gè)IP。因此，IP地址也成為了風(fēng)控中非常重要的一環(huán)。

一般的，我們的風(fēng)控策略中，會(huì)設(shè)置很多頻度方面的策略。比如：同一個(gè)IP上一個(gè)小時(shí)內(nèi)登陸次數(shù)超過50次。

上一期的分享中，提到了某工作室的一個(gè)自動(dòng)注冊機(jī)。其中包含了一個(gè)更換IP的功能，可以通過設(shè)定代理IP或VPN來實(shí)現(xiàn)。

那么，對于一般的風(fēng)控規(guī)則：單個(gè)IP在一小時(shí)內(nèi)注冊/登陸/交易次數(shù)超過N次，就可以使用代理來進(jìn)行規(guī)避。

根據(jù)目前了解到的情報(bào)，代理已經(jīng)成為欺詐分子的必備工具，每完成一次欺詐活動(dòng)，就會(huì)更換一個(gè)新的代理。

比如，從注冊賬號、登陸賬號、領(lǐng)取優(yōu)惠券到使用優(yōu)惠券下單都使用同一個(gè)代理，下單完畢，就標(biāo)志這次欺詐活動(dòng)結(jié)束，然后使用一個(gè)新的代理繼續(xù)進(jìn)行下一次，繞開IP地址上的頻次限制。

除了規(guī)避簡單的頻次限制規(guī)則，代理的另外一個(gè)用途在于隱藏自己的真實(shí)位置。

IP地址的劃分和使用是有跡可循的，根據(jù)用戶訪問的IP，可以判斷該用戶所處的大概位置，一般可以精確到城市級別。網(wǎng)站或平臺(tái)會(huì)根據(jù)用戶的IP，解析當(dāng)前用戶的位置，通過比較前后多次登錄的位置是否存在異常，來判斷用戶的活動(dòng)是否存在風(fēng)險(xiǎn)。

比如，當(dāng)你從一個(gè)長期生活的城市，忽然去到另外一個(gè)城市的時(shí)候，很多APP都會(huì)有異地登陸的提醒。

代理，提供了一種規(guī)避位置判斷的手段。

此前我們遇到的一個(gè)案例中，欺詐分子通過代理來實(shí)施盜卡。我們通過設(shè)備指紋的定位信息，確定欺詐分子身處南京，但是使用了一個(gè)上海的代理IP，盜用了一張上海的銀行卡準(zhǔn)備進(jìn)行消費(fèi)。如果僅僅根據(jù)IP地址來判斷用戶的位置，那么這次活動(dòng)中系統(tǒng)給出的判斷就是“用戶位于上海”。

隨著移動(dòng)技術(shù)的發(fā)展，產(chǎn)生出了很多其他的定位手段，正在逐步替換掉IP地址的位置解析結(jié)果。但是依然存在很多場景，我們不得不使用IP來對用戶的位置進(jìn)行判斷。

此前，我們曾實(shí)驗(yàn)性地部署了一臺(tái)代理服務(wù)器，詳細(xì)地記錄通過這臺(tái)代理發(fā)生的各種請求。事后我們根據(jù)服務(wù)器上的日志來分析用戶們使用這個(gè)代理做了些什么。

大致得出了以下一些統(tǒng)計(jì)數(shù)據(jù)(統(tǒng)計(jì)時(shí)間片為一周)：

上面的這些風(fēng)險(xiǎn)行為，累計(jì)涉及了300多家網(wǎng)站和平臺(tái)。

你可能會(huì)注意到，前面介紹的注冊工具中，可以批量導(dǎo)入代理。而互聯(lián)網(wǎng)上，代理的資源非常豐富，欺詐分子輕而易舉就能獲取到上千甚至上萬個(gè)代理IP。欺詐份子剛好選中了我們這臺(tái)服務(wù)器的概率不到萬分之一。

想必，你也能感覺到這其中涌動(dòng)的暗流了吧?

三、代理檢測和規(guī)避檢測

代理，是一種非常廉價(jià)的資源。因?yàn)榛ヂ?lián)網(wǎng)是開放的，一個(gè)開放的代理，只要知道服務(wù)器的IP， 代理協(xié)議和代理端口，任何人都可以使用它。從而產(chǎn)生了很多提供代理檢測服務(wù)的平臺(tái)，他們會(huì)對整個(gè)互聯(lián)網(wǎng)進(jìn)行代理掃描，把可用的代理IP 記錄下來，提供給爬蟲或其他工具使用。

開放性的代理雖然很容易獲取，但是使用的人非常多，魚龍混雜，爬蟲、廣告機(jī)、注冊機(jī)，甚至某些網(wǎng)絡(luò)攻擊也會(huì)使用這些代理。于是，安全產(chǎn)商和一些軟件聯(lián)盟，開始了對這些代理的封堵。

代理運(yùn)行的時(shí)間越長，使用的人越多，經(jīng)過這個(gè)代理產(chǎn)生的風(fēng)險(xiǎn)行為也越多，然后被各大平臺(tái)拉入黑名單。比如，Wordpress根據(jù)全球范圍內(nèi)的WP博客接收到的垃圾評論及評論IP，整理出了一分規(guī)模巨大的 IP黑名單，其中絕大部分都是代理。 著名的開源入侵檢測系統(tǒng)Snort，付費(fèi)版規(guī)則集中屏蔽了上百萬個(gè)IP，大部分也都是代理IP。 這些由安全產(chǎn)商、軟件聯(lián)盟整理的黑名單數(shù)據(jù)，目前已經(jīng)收錄到同盾IP畫像第三方風(fēng)險(xiǎn)證據(jù)庫中進(jìn)行維護(hù)。

雖然無法透過代理，去追查幕后的欺詐分子，但是如果能夠有效的識別代理，就可以有效識別出大批的風(fēng)險(xiǎn)行為。

文章開頭，我們提到了代理可以根據(jù)協(xié)議進(jìn)行分類，對代理進(jìn)行檢測的時(shí)候，一般也按照代理的協(xié)議進(jìn)行。在反欺詐領(lǐng)域，絕大多數(shù)欺詐行為都通過HTTP協(xié)議進(jìn)行，所以，我們只需要對最為常用的一些代理協(xié)議進(jìn)行檢測即可，包括:HTTP/HTTPS, Socks和VPN。

一種監(jiān)測HTTP代理的簡單方式如下:

然后判斷返回的頁面，是否和http://www.target.com/頁面內(nèi)容一致，就可以確定這個(gè)IP是否是代理。

其他的代理協(xié)議，檢測起來要更復(fù)雜一些，這里就不再逐一列舉了。代理檢測雖然原理簡單，一套建立夠滿足業(yè)務(wù)需要的代理檢測系統(tǒng)，還是需要投入很大的成本，主要是硬件和帶寬的投入很大。

具備足夠?qū)嵙Φ幕ヂ?lián)網(wǎng)公司，都會(huì)嘗試建立自己的代理檢測系統(tǒng)。長此以往，欺詐分子也意識到，代理一旦被發(fā)現(xiàn)，就不能再被使用。于是產(chǎn)生了很多用于規(guī)避代理檢測的方法。

一場曠日持久的對抗，由此展開。我們來細(xì)數(shù)一下，常見的規(guī)避手段都有哪些。

四、使用非常規(guī)端口

每個(gè)IP上可以使用的端口數(shù)量是有限的，從1~65535，不可能對所有端口都進(jìn)行檢測，這個(gè)代價(jià)是無法承受的。

一般的代理檢測，會(huì)針對特定的端口進(jìn)行。

我們此前對全網(wǎng)的代理服務(wù)器做過分析，統(tǒng)計(jì)各種代理協(xié)議和代理端口的對應(yīng)關(guān)系，部分如下：

HTTP代理端口分布：

Socks代理端口分布：

如果代理IP使用的端口，不在常規(guī)檢測的列表之內(nèi)，或者使用一些非常特別的端口，就可以避免被檢測。

我們曾經(jīng)遇到過一個(gè)代理，運(yùn)行端口為1，測試的時(shí)候還以為我們程序出現(xiàn)了問題，反復(fù)確認(rèn)了好幾遍。

根據(jù)我們長期的全網(wǎng)監(jiān)測，統(tǒng)計(jì)全網(wǎng)各類代理最為集中的端口。結(jié)果表明，只要對其中20個(gè)端口進(jìn)行代理檢測，就能夠覆蓋全網(wǎng)超過70%的代理，如果掃描端口增加到40個(gè)，覆蓋率可以提高到95%以上。

同盾會(huì)定期統(tǒng)計(jì)代理端口的分布情況，并更新掃描端口列表，保證代理的檢出率。

五、用后即毀

代理有兩個(gè)非常重要的指標(biāo)：“響應(yīng)延遲”和“生存期”。

很多提供代理檢測服務(wù)的平臺(tái)，都會(huì)把代理節(jié)點(diǎn)的延遲作為一個(gè)重要參數(shù)，代理的延遲越低，使用的人就越多。

另一方面，絕大部分代理并不會(huì)長期運(yùn)行，根據(jù)我們的統(tǒng)計(jì)，80%的代理存活時(shí)間只能以分鐘計(jì)算。如果一個(gè)代理的存活時(shí)間非常短，就可以完全避免被代理檢測發(fā)現(xiàn)。

上圖是國內(nèi)一個(gè)比較大的代理服務(wù)平臺(tái)，他們提供的短效代理，平均存活時(shí)間只有2分鐘。

是否可以提升代理掃描器的性能，來滿足分鐘級別的監(jiān)控呢?

如果有足夠的軟硬件資源和帶寬資源，理論上是可行的。但是大規(guī)模的端口掃描，本身并不是一件好事。大量的數(shù)據(jù)包發(fā)送，有可能會(huì)導(dǎo)致運(yùn)營商層面的設(shè)施故障、網(wǎng)絡(luò)擁堵，影響其他用戶的使用。因此，運(yùn)營商對待MassScan這類端口掃描器的態(tài)度是非常堅(jiān)決的。

那么，在現(xiàn)有的條件下，如何對這類代理進(jìn)行防控呢?

部署代理雖然很簡單，但并不是任何地方都可以部署。首先需要具備獨(dú)立的公網(wǎng)IP，其次是有穩(wěn)定的線路，保證虛構(gòu)的上下行帶寬，這些條件限制了代理只能在數(shù)據(jù)中心中部署。如果我們能夠準(zhǔn)確判斷一個(gè)IP是否來自于某個(gè)數(shù)據(jù)中心，比如阿里云、騰訊云，配合其他的一些信息，就可以做出準(zhǔn)確的判斷。

具體如何識別一個(gè)IP是否來自于某個(gè)數(shù)據(jù)中心，我們將在下一篇文章中進(jìn)行介紹。

六、僵尸網(wǎng)絡(luò)

這個(gè)詞業(yè)內(nèi)人士應(yīng)該并不陌生。僵尸網(wǎng)絡(luò)是通過各種遠(yuǎn)程控制程序組建起來的龐大網(wǎng)絡(luò)，通過C&C服務(wù)器，向各個(gè)僵尸節(jié)點(diǎn)下發(fā)指令，進(jìn)行各種網(wǎng)絡(luò)攻擊。

某些遠(yuǎn)程控制程序中提供簡單的代理功能，欺詐分析可以通過這些僵尸節(jié)點(diǎn)來發(fā)起欺詐活動(dòng)。

僵尸節(jié)點(diǎn)又稱為“肉雞”，雖然并不像“四要素”那樣炙手可熱，但是銷路一直很不錯(cuò)。黑產(chǎn)會(huì)收集大量的肉雞節(jié)點(diǎn)，用于發(fā)起DDOS攻擊。

僵尸網(wǎng)絡(luò)的分析和研究，是全社會(huì)面臨的一個(gè)嚴(yán)峻的問題。國內(nèi)外眾多安全公司投入了巨大的人力和物力來對僵尸網(wǎng)絡(luò)進(jìn)行監(jiān)控，有的安全公司也會(huì)公開自己長期監(jiān)控的僵尸網(wǎng)絡(luò)信息，提供僵尸節(jié)點(diǎn)的IP地址列表。

國內(nèi)有不少杰出的安全公司在這個(gè)領(lǐng)域有著深入的研究，在與之深度合作下，同盾也能夠在反欺詐場景中，對僵尸節(jié)點(diǎn)進(jìn)行有效的識別。

(上圖是2017年3月15日，僵尸節(jié)點(diǎn)在全球范圍內(nèi)的分布情況)

結(jié)語：

判斷IP是否有風(fēng)險(xiǎn)，有很多種途徑，代理檢測只是其中一種，和虛假號碼一樣，僅僅是眾多風(fēng)控手段中的一個(gè)環(huán)節(jié)。并不能單純的因?yàn)橐粋€(gè)IP被判斷為代理，就直接封殺。比如，很多公司的辦公網(wǎng)絡(luò)出口上，會(huì)部署VPN網(wǎng)關(guān)，但并不代表這個(gè)IP下的用戶都存在風(fēng)險(xiǎn)。

為此，我們建立了同盾IP畫像，盡可能多地提供關(guān)于IP的所有信息，在風(fēng)險(xiǎn)決策中進(jìn)行綜合評定。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。