(1.中國(guó)信息通信研究院安全研究所,北京100191;2.中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司,北京 100001)
0 引言
IP地址(Internet Protocol Address),即網(wǎng)絡(luò)互聯(lián)協(xié)議使用的地址,用來(lái)唯一標(biāo)識(shí)互聯(lián)網(wǎng)上計(jì)算機(jī)的邏輯地址,每臺(tái)聯(lián)網(wǎng)計(jì)算機(jī)都依靠IP地址來(lái)標(biāo)識(shí)自己,同時(shí)可以根據(jù)IP地址來(lái)定位計(jì)算機(jī)位置[1]。一般情況下,一個(gè)實(shí)體的計(jì)算機(jī)位置對(duì)應(yīng)的IP地址是基本固定且有限的,即可通過(guò)IP地址來(lái)識(shí)別和限制客戶的登陸行為[1-2]。
“秒撥”IP技術(shù)可以滿足用戶在同一地點(diǎn)、不同時(shí)段切換IP地址的需求,具有技術(shù)“兩面性”。正面價(jià)值,利用該技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)。“秒撥”IP技術(shù)可以幫助用戶隱藏真實(shí)的IP地址,保護(hù)重要的計(jì)算機(jī)地址免受攻擊;還可以類似防火墻,維護(hù)內(nèi)網(wǎng)安全性。負(fù)面影響,被惡意利用違規(guī)牟利。用戶借助該技術(shù)規(guī)避網(wǎng)站或平臺(tái)注冊(cè)新賬號(hào)時(shí)的IP封控機(jī)制,允許用戶在同一網(wǎng)站或平臺(tái)以不同的IP地址同時(shí)注冊(cè)多個(gè)賬號(hào),進(jìn)而被用于批量注冊(cè)、投票、刷單等不法場(chǎng)景[3]。
更有甚者,境內(nèi)外詐騙分子借助“秒撥”IP代理軟件,實(shí)施電信網(wǎng)絡(luò)詐騙,逃避打擊治理[1]。境內(nèi)詐騙分子通過(guò)上述軟件,在引流環(huán)節(jié)自定義頻率改變社交平臺(tái)、支付平臺(tái)的登錄IP地址,達(dá)到隱藏實(shí)際物理位置的目的,躲避公安機(jī)關(guān)的溯源追查。不僅如此,“秒撥”IP技術(shù)還可為境外詐騙分子登錄境內(nèi)網(wǎng)站、平臺(tái)賬號(hào)提供“渠道”。由于大量境外詐騙人員受IP限制無(wú)法訪問(wèn)登錄境內(nèi)網(wǎng)站、社交或支付平臺(tái),利用“秒撥”IP代理軟件切換成境內(nèi)IP地址可以突破地域屏障,登錄境內(nèi)網(wǎng)站或平臺(tái),實(shí)施詐騙并轉(zhuǎn)移資產(chǎn)。成功隱藏真實(shí)上網(wǎng)鏈路,嚴(yán)重阻礙詐騙案件的溯源與偵破,成為電信網(wǎng)絡(luò)詐騙治理的一大難點(diǎn)。
因此,本文深入剖析“秒撥”IP動(dòng)態(tài)切換技術(shù),研究“秒撥”IP代理軟件的技術(shù)原理,分析“秒撥”IP的治理難點(diǎn),進(jìn)而針對(duì)性研提應(yīng)對(duì)建議。
1 “秒撥”IP技術(shù)原理
如圖1所示,“秒撥”IP代理服務(wù)鏈條包括IP資源池的搭建和控制,以及“秒撥”IP代理軟件的使用。面向后臺(tái),不法分子需要整合IP地址資源搭建資源池,并對(duì)資源池進(jìn)行管理;面向用戶,需要提供連接IP資源池的入口與通道。
圖1 “秒撥”IP技術(shù)原理圖
1.1 IP資源池組建與控制
“秒撥”IP技術(shù)的核心是組建和控制IP資源池。不法分子借助多種技術(shù)手段整合不同地域的IP地址資源,捆綁集成構(gòu)建IP資源池,并搭建控制服務(wù)器對(duì)IP資源進(jìn)行遠(yuǎn)程調(diào)配與管理。早期組建IP資源池主要是利用高性能服務(wù)器對(duì)全網(wǎng)進(jìn)行掃描,掃描開(kāi)放代理服務(wù)的服務(wù)器,或者是直接爬取其他代理網(wǎng)站的數(shù)據(jù),收錄有效代理IP和端口,但這種方式最大的弊端是無(wú)法控制代理IP的有效性和數(shù)量。隨著家庭寬帶、機(jī)頂盒等的普及,新型“秒撥”IP資源池組建方式也應(yīng)運(yùn)而生。
方式一:不法分子嘗試批量購(gòu)買(mǎi)全國(guó)各地寬帶賬號(hào),填寫(xiě)虛假寬帶裝機(jī)地址逃避監(jiān)管并借助“黑機(jī)房”提供上網(wǎng)鏈路。同時(shí),搭建“秒撥”IP代理服務(wù)器利用ROS軟路由對(duì)寬帶資源進(jìn)行統(tǒng)一調(diào)配和管理,進(jìn)而提供“秒撥”IP服務(wù)。
方式二:不法分子研發(fā)具備回傳IP地址、控制設(shè)備互聯(lián)網(wǎng)信息系統(tǒng)等功能的SDK插件,并通過(guò)與路由器、電視機(jī)頂盒等互聯(lián)網(wǎng)設(shè)備商、手機(jī)應(yīng)用商的非法交易將該插件植入相關(guān)設(shè)備或手機(jī)應(yīng)用。該插件獲取設(shè)備終端的IP地址并回傳至后端存儲(chǔ)服務(wù)器,打開(kāi)設(shè)備終端的IP代理功能,控制設(shè)備終端的互聯(lián)網(wǎng)設(shè)備信息系統(tǒng)。不法分子匯聚回傳的IP地址,借助被控制的設(shè)備終端提供上網(wǎng)鏈路,搭建代理服務(wù)器進(jìn)而提供“秒撥”IP服務(wù)。
方式三:部分基礎(chǔ)電信企業(yè)寬帶賬號(hào)上網(wǎng)斷線重連時(shí),可能存在IP地址分配與認(rèn)證系統(tǒng)登記的時(shí)間差,不法分子可以利用此時(shí)間差,頻繁斷線重連,使得單個(gè)賬號(hào)可同時(shí)獲取多個(gè)上網(wǎng)IP,從而積攢出IP資源池。
不法分子除需要匯聚分散在各地的IP地址組建資源池外,還需要穩(wěn)定的IP地址接入“秒撥”IP控制服務(wù)器,對(duì)資源池進(jìn)行統(tǒng)一管理和調(diào)配。由于部分互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center,IDC)、互聯(lián)網(wǎng)接入服務(wù)(Internet Service Provider,ISP)業(yè)務(wù)經(jīng)營(yíng)者缺乏相應(yīng)的管理和監(jiān)測(cè)技術(shù)手段,所屬的IP地址資源會(huì)被層層轉(zhuǎn)租,流入不法分子手中,用于接入控制服務(wù)器,實(shí)現(xiàn)IP資源池的遠(yuǎn)程控制。
1.2 “秒撥”IP代理軟件的使用
不法分子后臺(tái)組建IP資源池、組建控制服務(wù)器的同時(shí),會(huì)開(kāi)發(fā)“秒撥”IP代理軟件。代理軟件具備虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)功能,基于VPN隧道技術(shù),為用戶連接IP資源池提供入口與通道[4]。不法分子會(huì)在社交軟件、網(wǎng)站、論壇等互聯(lián)網(wǎng)平臺(tái)推廣“秒撥”IP代理服務(wù)信息,為用戶下載代理軟件、獲取登錄賬號(hào)提供窗口。
用戶在PC端、手機(jī)端等終端安裝“秒撥”IP代理軟件并通過(guò)賬號(hào)登錄,建立終端與IP資源池之間的VPN隧道。用戶終端借助VPN隧道連接IP資源池的某個(gè)IP地址并訪問(wèn)互聯(lián)網(wǎng),登錄微信、QQ、支付寶等互聯(lián)網(wǎng)賬號(hào)或者訪問(wèn)網(wǎng)站等。“秒撥”IP代理軟件可以為用戶按照一定時(shí)間間隔,變換接入互聯(lián)網(wǎng)的IP地址,實(shí)現(xiàn)在同一地點(diǎn)不同時(shí)刻變換登錄互聯(lián)網(wǎng)賬號(hào)和訪問(wèn)網(wǎng)站的IP地址。由于IP定位策略是基于賬號(hào)的登錄地和常用地來(lái)判定用戶實(shí)際所處的物理地址[5],這種借助VPN隧道實(shí)施的IP不定向跳變,導(dǎo)致無(wú)法對(duì)用戶實(shí)際物理地址進(jìn)行溯源。
(1)用戶實(shí)際使用的IP地址側(cè):由于用戶登錄互聯(lián)網(wǎng)賬號(hào)、訪問(wèn)網(wǎng)站的流量借助加密VPN隧道接入IP資源池,并經(jīng)由IP資源池中的某個(gè)IP地址進(jìn)入互聯(lián)網(wǎng)。例如,使用Internet Protocol Security(IPSec)的IPSec VPN技術(shù),為數(shù)據(jù)通過(guò)公共網(wǎng)絡(luò)時(shí)的完整性、安全性和機(jī)密性提供了隧道加密和認(rèn)證方案[6-7]。因此,在用戶IP地址側(cè),無(wú)法監(jiān)測(cè)和發(fā)現(xiàn)用戶實(shí)際訪問(wèn)的目的地。
(2)代理IP地址側(cè):即IP資源池中的IP地址,可以監(jiān)測(cè)用戶登錄的互聯(lián)網(wǎng)賬號(hào)和訪問(wèn)的網(wǎng)站,但由于IP資源池的IP地址在不同時(shí)刻被不同用戶使用,很難溯源具體某個(gè)時(shí)刻真實(shí)使用的用戶。
(3)訪問(wèn)網(wǎng)站或登錄的互聯(lián)網(wǎng)賬號(hào)側(cè):可以溯源代理IP地址信息,但無(wú)法溯源用戶實(shí)際使用的IP地址信息,因此無(wú)法確認(rèn)用戶真實(shí)所在地的位置信息。
2 “秒撥”IP治理難點(diǎn)
“秒撥”IP的服務(wù)能力需要多環(huán)節(jié)鏈條式配合,例如上游IP地址資源的積聚,中游IP資源池組建與控制、“秒撥”IP代理軟件開(kāi)發(fā)測(cè)試,下游“秒撥”IP服務(wù)信息推廣等,每個(gè)環(huán)節(jié)既環(huán)環(huán)相扣、缺一不可,又相對(duì)獨(dú)立,具有一定的治理復(fù)雜性。目前,“秒撥”IP備受詐騙分子青睞,被廣泛用于隱藏實(shí)際物理位置,逃避溯源打擊。結(jié)合其技術(shù)原理,治理難點(diǎn)主要表現(xiàn)在以下幾個(gè)方面。
(1)IP資源池監(jiān)測(cè)識(shí)別難度大。區(qū)別于涉詐網(wǎng)站、涉詐APP、涉詐手機(jī)號(hào)碼等涉詐資源,IP地址既不具備明顯可見(jiàn)的涉詐屬性,也不是固定分配給某個(gè)用戶歸屬和使用。基礎(chǔ)電信企業(yè)為家庭寬帶上網(wǎng)用戶動(dòng)態(tài)分配IP地址,因此詐騙分子和正常用戶不同時(shí)間段可能使用同一個(gè)IP地址。例如,“秒撥”IP的使用周期(通常在秒級(jí)或分鐘級(jí))結(jié)束后,可能會(huì)流轉(zhuǎn)到正常用戶手中。因此,鑒別某個(gè)IP地址是否屬于“秒撥”IP資源池技術(shù)難度較大。
(2)“秒撥”IP技術(shù)所用相關(guān)設(shè)施、設(shè)備隱蔽性強(qiáng)。“秒撥”IP上游產(chǎn)業(yè)鏈利用嵌入惡意應(yīng)用程序的路由器和機(jī)頂盒等網(wǎng)絡(luò)設(shè)備,竊取基礎(chǔ)電信企業(yè)動(dòng)態(tài)IP資源,并通過(guò)軟路由等手段,組建并遠(yuǎn)程控制IP資源池。針對(duì)相關(guān)惡意程序、被操控的路由器和機(jī)頂盒等網(wǎng)絡(luò)設(shè)備,監(jiān)測(cè)識(shí)別技術(shù)手段存在短板。
(3)“秒撥”IP技術(shù)尚未有明確的法律定性。“秒撥”IP技術(shù)的直接用途及其實(shí)現(xiàn)過(guò)程并不會(huì)侵犯行政利益或民事權(quán)益,其還有正當(dāng)合法的間接用途,暫未被作為一項(xiàng)危險(xiǎn)技術(shù)予以特殊規(guī)范[5]。因此,“秒撥”IP代理軟件等相關(guān)應(yīng)用程序的開(kāi)發(fā)、測(cè)試以及推廣尚未被明確禁止或限制。聊天群組、社交平臺(tái)、搜索引擎等尚未對(duì)“秒撥”IP的相關(guān)信息針對(duì)性地監(jiān)測(cè)和清理,詐騙分子可以輕松獲取“秒撥”IP代理軟件下載鏈接和應(yīng)用程序包等服務(wù)資源。
(4)IP地址資源管理有待進(jìn)一步探索。一是基礎(chǔ)電信企業(yè)雖然組織對(duì)IDC、ISP企業(yè)申請(qǐng)IP地址資源的使用情況(用途等)進(jìn)行登記,但缺少相應(yīng)的措施定期核實(shí)相關(guān)IP地址的實(shí)際歸屬和使用情況,無(wú)法及時(shí)發(fā)現(xiàn)IP地址資源的層層轉(zhuǎn)租和違規(guī)使用等問(wèn)題,給IP地址的追蹤溯源帶來(lái)了較大挑戰(zhàn);二是部分IDC、ISP企業(yè)等對(duì)相關(guān)服務(wù)申請(qǐng)者的管理相對(duì)松懈,對(duì)服務(wù)內(nèi)容(例如IDC機(jī)房接入的域名、網(wǎng)址、移動(dòng)應(yīng)用軟件等)缺乏有效的管理和監(jiān)測(cè),極易被不法分子利用,接入違規(guī)域名、網(wǎng)址、移動(dòng)應(yīng)用軟件等,源頭治理難度大。
3 應(yīng)對(duì)建議
針對(duì)電信網(wǎng)絡(luò)詐騙領(lǐng)域“秒撥”IP的治理難點(diǎn)問(wèn)題,應(yīng)堅(jiān)持問(wèn)題導(dǎo)向、以技管網(wǎng)、技管結(jié)合的思路,從源頭治理、技術(shù)手段、宣傳引導(dǎo)等方面,探索引導(dǎo)“秒撥”IP服務(wù)市場(chǎng)向良性健康方向發(fā)展。
3.1 規(guī)范業(yè)務(wù)管理
一是建立健全互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)全流程管理機(jī)制。建議基礎(chǔ)電信企業(yè)按照“誰(shuí)接入、誰(shuí)負(fù)責(zé)”的原則,針對(duì)網(wǎng)絡(luò)接入資源服務(wù),探索建立完備的事前資質(zhì)審核、事中定期巡檢、事后溯源通報(bào)的全流程管理機(jī)制。
二是互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)企業(yè)落實(shí)管理責(zé)任。網(wǎng)絡(luò)接入服務(wù)(IDC、ISP等)企業(yè)應(yīng)強(qiáng)化社會(huì)擔(dān)當(dāng),積極落實(shí)服務(wù)申請(qǐng)者的管理責(zé)任。強(qiáng)化用戶背景資質(zhì)審查與服務(wù)用途審核,做好信息登記與定期核查,加強(qiáng)服務(wù)協(xié)議約束,明確懲戒措施,減少I(mǎi)P地址、帶寬等網(wǎng)絡(luò)接入資源層層轉(zhuǎn)租問(wèn)題的發(fā)生。
三是強(qiáng)化上游環(huán)節(jié)安全管理。建議強(qiáng)化路由器、電視機(jī)頂盒等互聯(lián)網(wǎng)設(shè)備商、移動(dòng)應(yīng)用軟件開(kāi)發(fā)商的規(guī)范管理,督促相關(guān)企業(yè)嚴(yán)格落實(shí)法律要求,避免其違規(guī)向不正當(dāng)?shù)摹懊霌堋盜P產(chǎn)業(yè)鏈提供技術(shù)和設(shè)備支持,提高不法分子匯聚IP資源池的成本。
3.2 強(qiáng)化技術(shù)防范
一方面,提升IP地址異常監(jiān)測(cè)識(shí)別技術(shù)能力。一是建議互聯(lián)網(wǎng)企業(yè)探索相關(guān)技術(shù)手段,主動(dòng)發(fā)現(xiàn)頻繁變換IP地址申請(qǐng)登錄的異常賬號(hào),并積極向相關(guān)部門(mén)提供線索。二是建議基礎(chǔ)電信企業(yè)升級(jí)家庭寬帶用戶接入認(rèn)證系統(tǒng),研究異常監(jiān)測(cè)發(fā)現(xiàn)技術(shù)手段,及時(shí)發(fā)現(xiàn)處置切換異常的用戶。
另一方面,建立“秒撥”相關(guān)設(shè)施設(shè)備監(jiān)測(cè)發(fā)現(xiàn)機(jī)制。建議各基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)企業(yè),強(qiáng)化對(duì)“秒撥”IP上游產(chǎn)業(yè)涉及服務(wù)器、路由器、機(jī)頂盒等的主動(dòng)監(jiān)測(cè)處置,并與公安部門(mén)進(jìn)行信息與線索共享。
3.3 加強(qiáng)社會(huì)引導(dǎo)
首先,強(qiáng)化寬帶業(yè)務(wù)用戶服務(wù)提醒。基礎(chǔ)電信企業(yè)在進(jìn)一步規(guī)范家庭寬帶賬號(hào)入網(wǎng)登記流程、做好實(shí)名登記審核與自查的基礎(chǔ)上,應(yīng)加強(qiáng)用戶宣傳,通過(guò)短信、服務(wù)人員轉(zhuǎn)達(dá)等多種方式,引導(dǎo)用戶通過(guò)線下?tīng)I(yíng)業(yè)廳等正規(guī)渠道注銷寬帶賬號(hào),避免私下贈(zèng)送、售賣(mài)。
其次,引導(dǎo)“秒撥”IP服務(wù)代理商提升社會(huì)責(zé)任感。建議代理商做好服務(wù)售賣(mài)信息登記,建立賬號(hào)登記臺(tái)賬,并積極配合行業(yè)主管部門(mén)、公安部門(mén),對(duì)核查后涉及電信網(wǎng)絡(luò)詐騙等違法犯罪活動(dòng)的賬號(hào),及時(shí)處置。
4 結(jié)束語(yǔ)
隨著“秒撥”IP產(chǎn)業(yè)鏈的日益完善,詐騙分子頻繁利用其技術(shù)隱蔽性躲避溯源追查,嚴(yán)重威脅人民的財(cái)產(chǎn)安全。本文詳細(xì)剖析了IP資源池的組建與控制原理,以及用戶利用“秒撥”IP技術(shù)訪問(wèn)互聯(lián)網(wǎng)的技術(shù)原理,進(jìn)而分析出目前監(jiān)測(cè)識(shí)別技術(shù)手段、IDC和ISP業(yè)務(wù)經(jīng)營(yíng)者管理等方面的不足,并針對(duì)性地研提應(yīng)對(duì)建議,希望對(duì)“秒撥”IP的電信網(wǎng)絡(luò)詐騙治理提供借鑒。
