互聯(lián)網(wǎng)黑產(chǎn)剖析:代理和匿名

文|同盾科技有限公司 同盾反欺詐研究院

3月23日訊,上一篇報(bào)告中,我們介紹了關(guān)于“虛假號(hào)碼”的方方面面,同盾三大風(fēng)控基礎(chǔ)維度(手機(jī)號(hào)、IP地址、設(shè)備指紋)中,手機(jī)號(hào)的防控,起到了至關(guān)重要的作用。虛假號(hào)碼的防控,僅僅是我們諸多手機(jī)號(hào)防控規(guī)則中的一環(huán)。類(lèi)似的,我們?cè)谄渌S度上也進(jìn)入了深入的研究和分析。

這一篇中,我們將為您深入介紹“代理”在各種欺詐行為中扮演的角色。

一、技術(shù)原理

定義 :代理,英文Proxy,在這里特指網(wǎng)絡(luò)代理。代理是一種網(wǎng)絡(luò)服務(wù),用于為客戶(hù)端和服務(wù)端提供非直接的鏈接。

一般的,根據(jù)代理所使用的協(xié)議,可以對(duì)代理做如下分類(lèi):

由于近年來(lái)“網(wǎng)絡(luò)安全”和“隱私保護(hù)”的問(wèn)題成為了熱點(diǎn),越來(lái)越多的人開(kāi)始追求互聯(lián)網(wǎng)上的匿名。因此,代理的匿名程度,也成為區(qū)分代理的一個(gè)重要標(biāo)志。

根據(jù)代理的匿名程度,也有做如下區(qū)分:

比如,目前很多人在用的SS,就是一種高匿代理。當(dāng)我使用一個(gè)SS代理去訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí),平臺(tái)或網(wǎng)站獲取到的IP地址,就不再是我的真實(shí)IP,并且整個(gè)訪(fǎng)問(wèn)過(guò)程中,都不會(huì)泄露我的真實(shí)IP。

部署一個(gè)代理的成本其實(shí)并不高。相信很多人都擁有自己專(zhuān)屬的代理服務(wù)器,用來(lái)訪(fǎng)問(wèn)一些國(guó)外的“資源”。

Nginx中開(kāi)啟代理只需要做如下配置:

建立Socks代理更為簡(jiǎn)單:

總的來(lái)說(shuō),代理,提供了一種低成本的隱藏用戶(hù)真實(shí)信息的途徑和方式。

保護(hù)隱私的同時(shí),代理也為各種風(fēng)險(xiǎn)行為提供了良好的庇護(hù)。就像Tor(洋蔥路由)一樣,最早期Tor由美國(guó)海軍研究實(shí)驗(yàn)室贊助開(kāi)發(fā),用來(lái)為特工提供一種高度隱蔽和高度匿名的通信方式。2004年后,Tor開(kāi)源,在很多高等學(xué)府中被使用,為一些從事敏感領(lǐng)域研究的科學(xué)家提供身份保護(hù)。而后,眾多的Tor節(jié)點(diǎn)組成了暗網(wǎng),成為了毒品、走私、槍支、洗錢(qián)的天堂。

二、代理在欺詐行為中的使用場(chǎng)景

TCP/IP,是互聯(lián)網(wǎng)的基礎(chǔ),沒(méi)有TCP/IP,可能就沒(méi)有今天的互聯(lián)網(wǎng)了。

TCP/IP協(xié)議,賦予了每個(gè)上網(wǎng)的人都會(huì)擁有一個(gè)IP。因此,IP地址也成為了風(fēng)控中非常重要的一環(huán)。

一般的,我們的風(fēng)控策略中,會(huì)設(shè)置很多頻度方面的策略。比如:同一個(gè)IP上一個(gè)小時(shí)內(nèi)登陸次數(shù)超過(guò)50次。

上一期的分享中,提到了某工作室的一個(gè)自動(dòng)注冊(cè)機(jī)。其中包含了一個(gè)更換IP的功能,可以通過(guò)設(shè)定代理IP或VPN來(lái)實(shí)現(xiàn)。

那么,對(duì)于一般的風(fēng)控規(guī)則:?jiǎn)蝹€(gè)IP在一小時(shí)內(nèi)注冊(cè)/登陸/交易次數(shù)超過(guò)N次,就可以使用代理來(lái)進(jìn)行規(guī)避。

根據(jù)目前了解到的情報(bào),代理已經(jīng)成為欺詐分子的必備工具,每完成一次欺詐活動(dòng),就會(huì)更換一個(gè)新的代理。

比如,從注冊(cè)賬號(hào)、登陸賬號(hào)、領(lǐng)取優(yōu)惠券到使用優(yōu)惠券下單都使用同一個(gè)代理,下單完畢,就標(biāo)志這次欺詐活動(dòng)結(jié)束,然后使用一個(gè)新的代理繼續(xù)進(jìn)行下一次,繞開(kāi)IP地址上的頻次限制。

除了規(guī)避簡(jiǎn)單的頻次限制規(guī)則,代理的另外一個(gè)用途在于隱藏自己的真實(shí)位置。

IP地址的劃分和使用是有跡可循的,根據(jù)用戶(hù)訪(fǎng)問(wèn)的IP,可以判斷該用戶(hù)所處的大概位置,一般可以精確到城市級(jí)別。網(wǎng)站或平臺(tái)會(huì)根據(jù)用戶(hù)的IP,解析當(dāng)前用戶(hù)的位置,通過(guò)比較前后多次登錄的位置是否存在異常,來(lái)判斷用戶(hù)的活動(dòng)是否存在風(fēng)險(xiǎn)。

比如,當(dāng)你從一個(gè)長(zhǎng)期生活的城市,忽然去到另外一個(gè)城市的時(shí)候,很多APP都會(huì)有異地登陸的提醒。

代理,提供了一種規(guī)避位置判斷的手段。

此前我們遇到的一個(gè)案例中,欺詐分子通過(guò)代理來(lái)實(shí)施盜卡。我們通過(guò)設(shè)備指紋的定位信息,確定欺詐分子身處南京,但是使用了一個(gè)上海的代理IP,盜用了一張上海的銀行卡準(zhǔn)備進(jìn)行消費(fèi)。如果僅僅根據(jù)IP地址來(lái)判斷用戶(hù)的位置,那么這次活動(dòng)中系統(tǒng)給出的判斷就是“用戶(hù)位于上海”。

隨著移動(dòng)技術(shù)的發(fā)展,產(chǎn)生出了很多其他的定位手段,正在逐步替換掉IP地址的位置解析結(jié)果。但是依然存在很多場(chǎng)景,我們不得不使用IP來(lái)對(duì)用戶(hù)的位置進(jìn)行判斷。

此前,我們?cè)鴮?shí)驗(yàn)性地部署了一臺(tái)代理服務(wù)器,詳細(xì)地記錄通過(guò)這臺(tái)代理發(fā)生的各種請(qǐng)求。事后我們根據(jù)服務(wù)器上的日志來(lái)分析用戶(hù)們使用這個(gè)代理做了些什么。

大致得出了以下一些統(tǒng)計(jì)數(shù)據(jù)(統(tǒng)計(jì)時(shí)間片為一周):

上面的這些風(fēng)險(xiǎn)行為,累計(jì)涉及了300多家網(wǎng)站和平臺(tái)。

你可能會(huì)注意到,前面介紹的注冊(cè)工具中,可以批量導(dǎo)入代理。而互聯(lián)網(wǎng)上,代理的資源非常豐富,欺詐分子輕而易舉就能獲取到上千甚至上萬(wàn)個(gè)代理IP。欺詐份子剛好選中了我們這臺(tái)服務(wù)器的概率不到萬(wàn)分之一。

想必,你也能感覺(jué)到這其中涌動(dòng)的暗流了吧?

三、代理檢測(cè)和規(guī)避檢測(cè)

代理,是一種非常廉價(jià)的資源。因?yàn)榛ヂ?lián)網(wǎng)是開(kāi)放的,一個(gè)開(kāi)放的代理,只要知道服務(wù)器的IP, 代理協(xié)議和代理端口,任何人都可以使用它。從而產(chǎn)生了很多提供代理檢測(cè)服務(wù)的平臺(tái),他們會(huì)對(duì)整個(gè)互聯(lián)網(wǎng)進(jìn)行代理掃描,把可用的代理IP 記錄下來(lái),提供給爬蟲(chóng)或其他工具使用。

開(kāi)放性的代理雖然很容易獲取,但是使用的人非常多,魚(yú)龍混雜,爬蟲(chóng)、廣告機(jī)、注冊(cè)機(jī),甚至某些網(wǎng)絡(luò)攻擊也會(huì)使用這些代理。于是,安全產(chǎn)商和一些軟件聯(lián)盟,開(kāi)始了對(duì)這些代理的封堵。

代理運(yùn)行的時(shí)間越長(zhǎng),使用的人越多,經(jīng)過(guò)這個(gè)代理產(chǎn)生的風(fēng)險(xiǎn)行為也越多,然后被各大平臺(tái)拉入黑名單。比如,Wordpress根據(jù)全球范圍內(nèi)的WP博客接收到的垃圾評(píng)論及評(píng)論IP,整理出了一分規(guī)模巨大的 IP黑名單,其中絕大部分都是代理。 著名的開(kāi)源入侵檢測(cè)系統(tǒng)Snort,付費(fèi)版規(guī)則集中屏蔽了上百萬(wàn)個(gè)IP,大部分也都是代理IP。 這些由安全產(chǎn)商、軟件聯(lián)盟整理的黑名單數(shù)據(jù),目前已經(jīng)收錄到同盾IP畫(huà)像第三方風(fēng)險(xiǎn)證據(jù)庫(kù)中進(jìn)行維護(hù)。

雖然無(wú)法透過(guò)代理,去追查幕后的欺詐分子,但是如果能夠有效的識(shí)別代理,就可以有效識(shí)別出大批的風(fēng)險(xiǎn)行為。

文章開(kāi)頭,我們提到了代理可以根據(jù)協(xié)議進(jìn)行分類(lèi),對(duì)代理進(jìn)行檢測(cè)的時(shí)候,一般也按照代理的協(xié)議進(jìn)行。在反欺詐領(lǐng)域,絕大多數(shù)欺詐行為都通過(guò)HTTP協(xié)議進(jìn)行,所以,我們只需要對(duì)最為常用的一些代理協(xié)議進(jìn)行檢測(cè)即可,包括:HTTP/HTTPS, Socks和VPN。

一種監(jiān)測(cè)HTTP代理的簡(jiǎn)單方式如下:

然后判斷返回的頁(yè)面,是否和http://www.target.com/頁(yè)面內(nèi)容一致,就可以確定這個(gè)IP是否是代理。

其他的代理協(xié)議,檢測(cè)起來(lái)要更復(fù)雜一些,這里就不再逐一列舉了。代理檢測(cè)雖然原理簡(jiǎn)單,一套建立夠滿(mǎn)足業(yè)務(wù)需要的代理檢測(cè)系統(tǒng),還是需要投入很大的成本,主要是硬件和帶寬的投入很大。

具備足夠?qū)嵙Φ幕ヂ?lián)網(wǎng)公司,都會(huì)嘗試建立自己的代理檢測(cè)系統(tǒng)。長(zhǎng)此以往,欺詐分子也意識(shí)到,代理一旦被發(fā)現(xiàn),就不能再被使用。于是產(chǎn)生了很多用于規(guī)避代理檢測(cè)的方法。

一場(chǎng)曠日持久的對(duì)抗,由此展開(kāi)。我們來(lái)細(xì)數(shù)一下,常見(jiàn)的規(guī)避手段都有哪些。

四、使用非常規(guī)端口

每個(gè)IP上可以使用的端口數(shù)量是有限的,從1~65535,不可能對(duì)所有端口都進(jìn)行檢測(cè),這個(gè)代價(jià)是無(wú)法承受的。

一般的代理檢測(cè),會(huì)針對(duì)特定的端口進(jìn)行。

我們此前對(duì)全網(wǎng)的代理服務(wù)器做過(guò)分析,統(tǒng)計(jì)各種代理協(xié)議和代理端口的對(duì)應(yīng)關(guān)系,部分如下:

HTTP代理端口分布:

Socks代理端口分布:

如果代理IP使用的端口,不在常規(guī)檢測(cè)的列表之內(nèi),或者使用一些非常特別的端口,就可以避免被檢測(cè)。

我們?cè)?jīng)遇到過(guò)一個(gè)代理,運(yùn)行端口為1,測(cè)試的時(shí)候還以為我們程序出現(xiàn)了問(wèn)題,反復(fù)確認(rèn)了好幾遍。

根據(jù)我們長(zhǎng)期的全網(wǎng)監(jiān)測(cè),統(tǒng)計(jì)全網(wǎng)各類(lèi)代理最為集中的端口。結(jié)果表明,只要對(duì)其中20個(gè)端口進(jìn)行代理檢測(cè),就能夠覆蓋全網(wǎng)超過(guò)70%的代理,如果掃描端口增加到40個(gè),覆蓋率可以提高到95%以上。

同盾會(huì)定期統(tǒng)計(jì)代理端口的分布情況,并更新掃描端口列表,保證代理的檢出率。

五、用后即毀

代理有兩個(gè)非常重要的指標(biāo):“響應(yīng)延遲”和“生存期”。

很多提供代理檢測(cè)服務(wù)的平臺(tái),都會(huì)把代理節(jié)點(diǎn)的延遲作為一個(gè)重要參數(shù),代理的延遲越低,使用的人就越多。

另一方面,絕大部分代理并不會(huì)長(zhǎng)期運(yùn)行,根據(jù)我們的統(tǒng)計(jì),80%的代理存活時(shí)間只能以分鐘計(jì)算。如果一個(gè)代理的存活時(shí)間非常短,就可以完全避免被代理檢測(cè)發(fā)現(xiàn)。

上圖是國(guó)內(nèi)一個(gè)比較大的代理服務(wù)平臺(tái),他們提供的短效代理,平均存活時(shí)間只有2分鐘。

是否可以提升代理掃描器的性能,來(lái)滿(mǎn)足分鐘級(jí)別的監(jiān)控呢?

如果有足夠的軟硬件資源和帶寬資源,理論上是可行的。但是大規(guī)模的端口掃描,本身并不是一件好事。大量的數(shù)據(jù)包發(fā)送,有可能會(huì)導(dǎo)致運(yùn)營(yíng)商層面的設(shè)施故障、網(wǎng)絡(luò)擁堵,影響其他用戶(hù)的使用。因此,運(yùn)營(yíng)商對(duì)待MassScan這類(lèi)端口掃描器的態(tài)度是非常堅(jiān)決的。

那么,在現(xiàn)有的條件下,如何對(duì)這類(lèi)代理進(jìn)行防控呢?

部署代理雖然很簡(jiǎn)單,但并不是任何地方都可以部署。首先需要具備獨(dú)立的公網(wǎng)IP,其次是有穩(wěn)定的線(xiàn)路,保證虛構(gòu)的上下行帶寬,這些條件限制了代理只能在數(shù)據(jù)中心中部署。如果我們能夠準(zhǔn)確判斷一個(gè)IP是否來(lái)自于某個(gè)數(shù)據(jù)中心,比如阿里云、騰訊云,配合其他的一些信息,就可以做出準(zhǔn)確的判斷。

具體如何識(shí)別一個(gè)IP是否來(lái)自于某個(gè)數(shù)據(jù)中心,我們將在下一篇文章中進(jìn)行介紹。

六、僵尸網(wǎng)絡(luò)

這個(gè)詞業(yè)內(nèi)人士應(yīng)該并不陌生。僵尸網(wǎng)絡(luò)是通過(guò)各種遠(yuǎn)程控制程序組建起來(lái)的龐大網(wǎng)絡(luò),通過(guò)C&C服務(wù)器,向各個(gè)僵尸節(jié)點(diǎn)下發(fā)指令,進(jìn)行各種網(wǎng)絡(luò)攻擊。

某些遠(yuǎn)程控制程序中提供簡(jiǎn)單的代理功能,欺詐分析可以通過(guò)這些僵尸節(jié)點(diǎn)來(lái)發(fā)起欺詐活動(dòng)。

僵尸節(jié)點(diǎn)又稱(chēng)為“肉雞”,雖然并不像“四要素”那樣炙手可熱,但是銷(xiāo)路一直很不錯(cuò)。黑產(chǎn)會(huì)收集大量的肉雞節(jié)點(diǎn),用于發(fā)起DDOS攻擊。

僵尸網(wǎng)絡(luò)的分析和研究,是全社會(huì)面臨的一個(gè)嚴(yán)峻的問(wèn)題。國(guó)內(nèi)外眾多安全公司投入了巨大的人力和物力來(lái)對(duì)僵尸網(wǎng)絡(luò)進(jìn)行監(jiān)控,有的安全公司也會(huì)公開(kāi)自己長(zhǎng)期監(jiān)控的僵尸網(wǎng)絡(luò)信息,提供僵尸節(jié)點(diǎn)的IP地址列表。

國(guó)內(nèi)有不少杰出的安全公司在這個(gè)領(lǐng)域有著深入的研究,在與之深度合作下,同盾也能夠在反欺詐場(chǎng)景中,對(duì)僵尸節(jié)點(diǎn)進(jìn)行有效的識(shí)別。

(上圖是2017年3月15日,僵尸節(jié)點(diǎn)在全球范圍內(nèi)的分布情況)

結(jié)語(yǔ):

判斷IP是否有風(fēng)險(xiǎn),有很多種途徑,代理檢測(cè)只是其中一種,和虛假號(hào)碼一樣,僅僅是眾多風(fēng)控手段中的一個(gè)環(huán)節(jié)。并不能單純的因?yàn)橐粋€(gè)IP被判斷為代理,就直接封殺。比如,很多公司的辦公網(wǎng)絡(luò)出口上,會(huì)部署VPN網(wǎng)關(guān),但并不代表這個(gè)IP下的用戶(hù)都存在風(fēng)險(xiǎn)。

為此,我們建立了同盾IP畫(huà)像,盡可能多地提供關(guān)于IP的所有信息,在風(fēng)險(xiǎn)決策中進(jìn)行綜合評(píng)定。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2017-03-23
互聯(lián)網(wǎng)黑產(chǎn)剖析:代理和匿名
判斷IP是否有風(fēng)險(xiǎn),有很多種途徑,代理檢測(cè)只是其中一種,和虛假號(hào)碼一樣,僅僅是眾多風(fēng)控手段中的一個(gè)環(huán)節(jié)。并不能單純的因?yàn)橐粋€(gè)IP被判斷為代理,就直接封殺。比如,很多公司的辦公網(wǎng)絡(luò)出口上,會(huì)部署VPN網(wǎng)關(guān),但并不代表這個(gè)IP下的用戶(hù)都存在風(fēng)險(xiǎn)。

長(zhǎng)按掃碼 閱讀全文