主題 ：提供“秒撥”動態IP服務的行為定性*

一、背景情況

進入2017年，公安部、工信部分別針對互聯網VPN等網絡資源接入亂象，進行專項清理整治。在研究和線下打擊非法侵犯公民信息用于網絡詐騙犯罪的黑產鏈條中，騰訊公司守護者計劃團隊發現近年來互聯網的線路資源、IP資源，已成為黑產鏈條精細化的一個環節，并已形成專門提供IP資源網絡服務的“秒撥”動態IP黑產。

IP地址是指Internet協議使用的地址。是用來唯一標識互聯網上計算機的邏輯地址，每個Internet包都必須帶有IP地址，每臺連網計算機都依靠IP地址來標識自己，同時根據IP地址能夠定位計算機位置。一般來講，一個實體的計算機位置對應的IP地址是基本固定且有限的，這也是互聯網行業賬號體系設定IP判定安全策略的基本邏輯，即根據IP地址可以識別和限制客戶的登陸行為。

近年來，網絡黑產鏈條已發展成為產業化、精細化的分工合作，針對互聯網行業帳號體系中的注冊、登錄等操作的具體環節，黑產使用“秒撥”動態IP技術欺騙互聯網公司的IP識別判定策略，從而實施撞庫曬密、爬蟲、詐騙、刷單、刷量、薅羊毛等惡意行為。2017年，騰訊守護者計劃安全團隊協助警方抓獲以陳某、曹某為首的非法架設提供“秒撥”動態IP黑產服務的團伙成員26人。經查，該團伙租用控制服務器線路3000余條，租用ADSL寬帶線路5000余條，發展下級代理商69個，注冊使用者過萬人，年獲利上千萬。

互聯網公司IP策略的目的通常有以下三種：

例1：某社交軟件，為防止黑產曬密撞庫、竊取帳號密碼后冒充好友詐騙，限定社交賬號異地登錄需短信驗證；限定同一IP在10秒內只能請求一次登錄驗密行為。

例2：某視頻平臺，與海內外簽約，引進高質量內容，但版權授權僅限大陸地區，為保護知識產權，限定注冊和登錄為中國境內IP的帳號，才可訪問內容。

例3：某電商平臺，經常會放出優惠券和優惠碼，以此促銷各種網購活動，為防止羊毛黨惡意刷券，限定同一IP僅能參加一次領券活動。

二、操作原理

利用秒撥技術洞穿互聯網公司IP策略主要通過以下方法：

以QQ登錄為例，當登錄IP出現異常，就會命中IP策略，出現類似如下的提醒：

通常情況下，黑產人員拿到QQ信封（網絡黑產用語，指黑客通過非法手段得來的QQ號碼和密碼，以萬為單位保存的信息文本）后，會在短時間內批量驗證這些QQ帳號密碼及關系鏈等信息的有效性，也就是在一臺計算機上同時登錄大量QQ號。當黑產人員向服務器發起批量驗證密碼的請求時，就會命中互聯網公司的IP策略和驗證碼策略。此時，利用秒撥軟件（如下圖），通過短時間內跳變IP，達到突破IP策略的目的，從而完成驗證帳號密碼有效性的過程。

“秒撥”動態IP客戶端界面（可實現按秒撥號的IP跳變）

電商平臺上搜索“秒撥”，能看到不少撥號服務器動態換IP的商品，其功能介紹的核心內容大致為：“多窗口獨立IP，獨立MAC，每個IP服務器后臺都會自動生成一個獨立的MAC碼，有效防封”；“支持每次登錄游戲都自動變換IP，IP保證都是一個城市的，不會造成異地登錄”；“單機最少支持1000個動態IP”。

其技術原理，是以Ros軟路由、RADIUS認證服務器搭建“秒撥”動態IP集群，整合全國各地的ADSL動態IP、服務器線路、云主機靜態IP和國際互聯網鏈路，將多種網絡IP資源捆綁集成，提供給下游黑產用戶作惡用，實現對黑產用戶原始IP的隱匿偽裝，達到IP“秒級跳變”的效果。

“秒撥”動態IP提供的線路控制客戶端，用以破解洞穿互聯網行業的各類IP策略，可實現對其訪問服務的源IP 的“自動切換”、“秒級切換”、“斷線重撥”、清理 COOKIES緩存、虛擬網卡（MAC）信息、多地域IP資源調換。

三、被黑產利用的“秒撥”動態IP技術的危害性

“秒撥”動態IP技術，可被用于黑產作惡的多種場景，直接繞開了政府監管方及互聯網行業通用的IP識別判定策略，其帶來的危害是巨大的：

第一，通過“秒撥”動態IP技術，對國內動態IP實時調用和跳變，可調用全國25個省、上百個地市的ADSL寬帶動態IP資源，IP池極其龐大。通過IP的跨地域定向跳變，欺騙帳號安全體系的IP判定策略，偽造帳號登錄地，用于批量注冊、養號、曬密、網絡詐騙，規避線上策略打擊。由于IP策略是基于帳號的登陸地和常用地來判定，這種通過網絡線路源頭實施的IP定向跳變，給線上對抗帶來極大難度。

“秒撥”動態IP（含VPN）黑產的網絡結構圖

第二，對于國家網絡安全而言，市面上大部分動態IP黑產服務商，都有橋接境外多個國家的服務器、云主機等國際網絡鏈路資源，能夠接入境外服務器，用境外IP訪問非法網站、發布非法信息，包括訪問暗網、國際信用卡CVV盜刷、境外帳號作惡等多種場景。帶來無法追查溯源、無法有效封堵的問題，給國家網絡空間安全穩定造成危害。