(1.中國信息通信研究院安全研究所,北京100191;2.中國聯(lián)合網(wǎng)絡(luò)通信有限公司,北京 100001)
0 引言
IP地址(Internet Protocol Address),即網(wǎng)絡(luò)互聯(lián)協(xié)議使用的地址,用來唯一標(biāo)識互聯(lián)網(wǎng)上計算機的邏輯地址,每臺聯(lián)網(wǎng)計算機都依靠IP地址來標(biāo)識自己,同時可以根據(jù)IP地址來定位計算機位置[1]。一般情況下,一個實體的計算機位置對應(yīng)的IP地址是基本固定且有限的,即可通過IP地址來識別和限制客戶的登陸行為[1-2]。
“秒撥”IP技術(shù)可以滿足用戶在同一地點、不同時段切換IP地址的需求,具有技術(shù)“兩面性”。正面價值,利用該技術(shù)實現(xiàn)網(wǎng)絡(luò)安全防護。“秒撥”IP技術(shù)可以幫助用戶隱藏真實的IP地址,保護重要的計算機地址免受攻擊;還可以類似防火墻,維護內(nèi)網(wǎng)安全性。負(fù)面影響,被惡意利用違規(guī)牟利。用戶借助該技術(shù)規(guī)避網(wǎng)站或平臺注冊新賬號時的IP封控機制,允許用戶在同一網(wǎng)站或平臺以不同的IP地址同時注冊多個賬號,進(jìn)而被用于批量注冊、投票、刷單等不法場景[3]。
更有甚者,境內(nèi)外詐騙分子借助“秒撥”IP代理軟件,實施電信網(wǎng)絡(luò)詐騙,逃避打擊治理[1]。境內(nèi)詐騙分子通過上述軟件,在引流環(huán)節(jié)自定義頻率改變社交平臺、支付平臺的登錄IP地址,達(dá)到隱藏實際物理位置的目的,躲避公安機關(guān)的溯源追查。不僅如此,“秒撥”IP技術(shù)還可為境外詐騙分子登錄境內(nèi)網(wǎng)站、平臺賬號提供“渠道”。由于大量境外詐騙人員受IP限制無法訪問登錄境內(nèi)網(wǎng)站、社交或支付平臺,利用“秒撥”IP代理軟件切換成境內(nèi)IP地址可以突破地域屏障,登錄境內(nèi)網(wǎng)站或平臺,實施詐騙并轉(zhuǎn)移資產(chǎn)。成功隱藏真實上網(wǎng)鏈路,嚴(yán)重阻礙詐騙案件的溯源與偵破,成為電信網(wǎng)絡(luò)詐騙治理的一大難點。
因此,本文深入剖析“秒撥”IP動態(tài)切換技術(shù),研究“秒撥”IP代理軟件的技術(shù)原理,分析“秒撥”IP的治理難點,進(jìn)而針對性研提應(yīng)對建議。
1 “秒撥”IP技術(shù)原理
如圖1所示,“秒撥”IP代理服務(wù)鏈條包括IP資源池的搭建和控制,以及“秒撥”IP代理軟件的使用。面向后臺,不法分子需要整合IP地址資源搭建資源池,并對資源池進(jìn)行管理;面向用戶,需要提供連接IP資源池的入口與通道。
圖1 “秒撥”IP技術(shù)原理圖
1.1 IP資源池組建與控制
“秒撥”IP技術(shù)的核心是組建和控制IP資源池。不法分子借助多種技術(shù)手段整合不同地域的IP地址資源,捆綁集成構(gòu)建IP資源池,并搭建控制服務(wù)器對IP資源進(jìn)行遠(yuǎn)程調(diào)配與管理。早期組建IP資源池主要是利用高性能服務(wù)器對全網(wǎng)進(jìn)行掃描,掃描開放代理服務(wù)的服務(wù)器,或者是直接爬取其他代理網(wǎng)站的數(shù)據(jù),收錄有效代理IP和端口,但這種方式最大的弊端是無法控制代理IP的有效性和數(shù)量。隨著家庭寬帶、機頂盒等的普及,新型“秒撥”IP資源池組建方式也應(yīng)運而生。
方式一:不法分子嘗試批量購買全國各地寬帶賬號,填寫虛假寬帶裝機地址逃避監(jiān)管并借助“黑機房”提供上網(wǎng)鏈路。同時,搭建“秒撥”IP代理服務(wù)器利用ROS軟路由對寬帶資源進(jìn)行統(tǒng)一調(diào)配和管理,進(jìn)而提供“秒撥”IP服務(wù)。
方式二:不法分子研發(fā)具備回傳IP地址、控制設(shè)備互聯(lián)網(wǎng)信息系統(tǒng)等功能的SDK插件,并通過與路由器、電視機頂盒等互聯(lián)網(wǎng)設(shè)備商、手機應(yīng)用商的非法交易將該插件植入相關(guān)設(shè)備或手機應(yīng)用。該插件獲取設(shè)備終端的IP地址并回傳至后端存儲服務(wù)器,打開設(shè)備終端的IP代理功能,控制設(shè)備終端的互聯(lián)網(wǎng)設(shè)備信息系統(tǒng)。不法分子匯聚回傳的IP地址,借助被控制的設(shè)備終端提供上網(wǎng)鏈路,搭建代理服務(wù)器進(jìn)而提供“秒撥”IP服務(wù)。
方式三:部分基礎(chǔ)電信企業(yè)寬帶賬號上網(wǎng)斷線重連時,可能存在IP地址分配與認(rèn)證系統(tǒng)登記的時間差,不法分子可以利用此時間差,頻繁斷線重連,使得單個賬號可同時獲取多個上網(wǎng)IP,從而積攢出IP資源池。
不法分子除需要匯聚分散在各地的IP地址組建資源池外,還需要穩(wěn)定的IP地址接入“秒撥”IP控制服務(wù)器,對資源池進(jìn)行統(tǒng)一管理和調(diào)配。由于部分互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center,IDC)、互聯(lián)網(wǎng)接入服務(wù)(Internet Service Provider,ISP)業(yè)務(wù)經(jīng)營者缺乏相應(yīng)的管理和監(jiān)測技術(shù)手段,所屬的IP地址資源會被層層轉(zhuǎn)租,流入不法分子手中,用于接入控制服務(wù)器,實現(xiàn)IP資源池的遠(yuǎn)程控制。
1.2 “秒撥”IP代理軟件的使用
不法分子后臺組建IP資源池、組建控制服務(wù)器的同時,會開發(fā)“秒撥”IP代理軟件。代理軟件具備虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)功能,基于VPN隧道技術(shù),為用戶連接IP資源池提供入口與通道[4]。不法分子會在社交軟件、網(wǎng)站、論壇等互聯(lián)網(wǎng)平臺推廣“秒撥”IP代理服務(wù)信息,為用戶下載代理軟件、獲取登錄賬號提供窗口。
用戶在PC端、手機端等終端安裝“秒撥”IP代理軟件并通過賬號登錄,建立終端與IP資源池之間的VPN隧道。用戶終端借助VPN隧道連接IP資源池的某個IP地址并訪問互聯(lián)網(wǎng),登錄微信、QQ、支付寶等互聯(lián)網(wǎng)賬號或者訪問網(wǎng)站等。“秒撥”IP代理軟件可以為用戶按照一定時間間隔,變換接入互聯(lián)網(wǎng)的IP地址,實現(xiàn)在同一地點不同時刻變換登錄互聯(lián)網(wǎng)賬號和訪問網(wǎng)站的IP地址。由于IP定位策略是基于賬號的登錄地和常用地來判定用戶實際所處的物理地址[5],這種借助VPN隧道實施的IP不定向跳變,導(dǎo)致無法對用戶實際物理地址進(jìn)行溯源。
(1)用戶實際使用的IP地址側(cè):由于用戶登錄互聯(lián)網(wǎng)賬號、訪問網(wǎng)站的流量借助加密VPN隧道接入IP資源池,并經(jīng)由IP資源池中的某個IP地址進(jìn)入互聯(lián)網(wǎng)。例如,使用Internet Protocol Security(IPSec)的IPSec VPN技術(shù),為數(shù)據(jù)通過公共網(wǎng)絡(luò)時的完整性、安全性和機密性提供了隧道加密和認(rèn)證方案[6-7]。因此,在用戶IP地址側(cè),無法監(jiān)測和發(fā)現(xiàn)用戶實際訪問的目的地。
(2)代理IP地址側(cè):即IP資源池中的IP地址,可以監(jiān)測用戶登錄的互聯(lián)網(wǎng)賬號和訪問的網(wǎng)站,但由于IP資源池的IP地址在不同時刻被不同用戶使用,很難溯源具體某個時刻真實使用的用戶。
(3)訪問網(wǎng)站或登錄的互聯(lián)網(wǎng)賬號側(cè):可以溯源代理IP地址信息,但無法溯源用戶實際使用的IP地址信息,因此無法確認(rèn)用戶真實所在地的位置信息。
2 “秒撥”IP治理難點
“秒撥”IP的服務(wù)能力需要多環(huán)節(jié)鏈條式配合,例如上游IP地址資源的積聚,中游IP資源池組建與控制、“秒撥”IP代理軟件開發(fā)測試,下游“秒撥”IP服務(wù)信息推廣等,每個環(huán)節(jié)既環(huán)環(huán)相扣、缺一不可,又相對獨立,具有一定的治理復(fù)雜性。目前,“秒撥”IP備受詐騙分子青睞,被廣泛用于隱藏實際物理位置,逃避溯源打擊。結(jié)合其技術(shù)原理,治理難點主要表現(xiàn)在以下幾個方面。
(1)IP資源池監(jiān)測識別難度大。區(qū)別于涉詐網(wǎng)站、涉詐APP、涉詐手機號碼等涉詐資源,IP地址既不具備明顯可見的涉詐屬性,也不是固定分配給某個用戶歸屬和使用。基礎(chǔ)電信企業(yè)為家庭寬帶上網(wǎng)用戶動態(tài)分配IP地址,因此詐騙分子和正常用戶不同時間段可能使用同一個IP地址。例如,“秒撥”IP的使用周期(通常在秒級或分鐘級)結(jié)束后,可能會流轉(zhuǎn)到正常用戶手中。因此,鑒別某個IP地址是否屬于“秒撥”IP資源池技術(shù)難度較大。
(2)“秒撥”IP技術(shù)所用相關(guān)設(shè)施、設(shè)備隱蔽性強。“秒撥”IP上游產(chǎn)業(yè)鏈利用嵌入惡意應(yīng)用程序的路由器和機頂盒等網(wǎng)絡(luò)設(shè)備,竊取基礎(chǔ)電信企業(yè)動態(tài)IP資源,并通過軟路由等手段,組建并遠(yuǎn)程控制IP資源池。針對相關(guān)惡意程序、被操控的路由器和機頂盒等網(wǎng)絡(luò)設(shè)備,監(jiān)測識別技術(shù)手段存在短板。
(3)“秒撥”IP技術(shù)尚未有明確的法律定性。“秒撥”IP技術(shù)的直接用途及其實現(xiàn)過程并不會侵犯行政利益或民事權(quán)益,其還有正當(dāng)合法的間接用途,暫未被作為一項危險技術(shù)予以特殊規(guī)范[5]。因此,“秒撥”IP代理軟件等相關(guān)應(yīng)用程序的開發(fā)、測試以及推廣尚未被明確禁止或限制。聊天群組、社交平臺、搜索引擎等尚未對“秒撥”IP的相關(guān)信息針對性地監(jiān)測和清理,詐騙分子可以輕松獲取“秒撥”IP代理軟件下載鏈接和應(yīng)用程序包等服務(wù)資源。
(4)IP地址資源管理有待進(jìn)一步探索。一是基礎(chǔ)電信企業(yè)雖然組織對IDC、ISP企業(yè)申請IP地址資源的使用情況(用途等)進(jìn)行登記,但缺少相應(yīng)的措施定期核實相關(guān)IP地址的實際歸屬和使用情況,無法及時發(fā)現(xiàn)IP地址資源的層層轉(zhuǎn)租和違規(guī)使用等問題,給IP地址的追蹤溯源帶來了較大挑戰(zhàn);二是部分IDC、ISP企業(yè)等對相關(guān)服務(wù)申請者的管理相對松懈,對服務(wù)內(nèi)容(例如IDC機房接入的域名、網(wǎng)址、移動應(yīng)用軟件等)缺乏有效的管理和監(jiān)測,極易被不法分子利用,接入違規(guī)域名、網(wǎng)址、移動應(yīng)用軟件等,源頭治理難度大。
3 應(yīng)對建議
針對電信網(wǎng)絡(luò)詐騙領(lǐng)域“秒撥”IP的治理難點問題,應(yīng)堅持問題導(dǎo)向、以技管網(wǎng)、技管結(jié)合的思路,從源頭治理、技術(shù)手段、宣傳引導(dǎo)等方面,探索引導(dǎo)“秒撥”IP服務(wù)市場向良性健康方向發(fā)展。
3.1 規(guī)范業(yè)務(wù)管理
一是建立健全互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)全流程管理機制。建議基礎(chǔ)電信企業(yè)按照“誰接入、誰負(fù)責(zé)”的原則,針對網(wǎng)絡(luò)接入資源服務(wù),探索建立完備的事前資質(zhì)審核、事中定期巡檢、事后溯源通報的全流程管理機制。
二是互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)企業(yè)落實管理責(zé)任。網(wǎng)絡(luò)接入服務(wù)(IDC、ISP等)企業(yè)應(yīng)強化社會擔(dān)當(dāng),積極落實服務(wù)申請者的管理責(zé)任。強化用戶背景資質(zhì)審查與服務(wù)用途審核,做好信息登記與定期核查,加強服務(wù)協(xié)議約束,明確懲戒措施,減少IP地址、帶寬等網(wǎng)絡(luò)接入資源層層轉(zhuǎn)租問題的發(fā)生。
三是強化上游環(huán)節(jié)安全管理。建議強化路由器、電視機頂盒等互聯(lián)網(wǎng)設(shè)備商、移動應(yīng)用軟件開發(fā)商的規(guī)范管理,督促相關(guān)企業(yè)嚴(yán)格落實法律要求,避免其違規(guī)向不正當(dāng)?shù)摹懊霌堋盜P產(chǎn)業(yè)鏈提供技術(shù)和設(shè)備支持,提高不法分子匯聚IP資源池的成本。
3.2 強化技術(shù)防范
一方面,提升IP地址異常監(jiān)測識別技術(shù)能力。一是建議互聯(lián)網(wǎng)企業(yè)探索相關(guān)技術(shù)手段,主動發(fā)現(xiàn)頻繁變換IP地址申請登錄的異常賬號,并積極向相關(guān)部門提供線索。二是建議基礎(chǔ)電信企業(yè)升級家庭寬帶用戶接入認(rèn)證系統(tǒng),研究異常監(jiān)測發(fā)現(xiàn)技術(shù)手段,及時發(fā)現(xiàn)處置切換異常的用戶。
另一方面,建立“秒撥”相關(guān)設(shè)施設(shè)備監(jiān)測發(fā)現(xiàn)機制。建議各基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)企業(yè),強化對“秒撥”IP上游產(chǎn)業(yè)涉及服務(wù)器、路由器、機頂盒等的主動監(jiān)測處置,并與公安部門進(jìn)行信息與線索共享。
3.3 加強社會引導(dǎo)
首先,強化寬帶業(yè)務(wù)用戶服務(wù)提醒。基礎(chǔ)電信企業(yè)在進(jìn)一步規(guī)范家庭寬帶賬號入網(wǎng)登記流程、做好實名登記審核與自查的基礎(chǔ)上,應(yīng)加強用戶宣傳,通過短信、服務(wù)人員轉(zhuǎn)達(dá)等多種方式,引導(dǎo)用戶通過線下營業(yè)廳等正規(guī)渠道注銷寬帶賬號,避免私下贈送、售賣。
其次,引導(dǎo)“秒撥”IP服務(wù)代理商提升社會責(zé)任感。建議代理商做好服務(wù)售賣信息登記,建立賬號登記臺賬,并積極配合行業(yè)主管部門、公安部門,對核查后涉及電信網(wǎng)絡(luò)詐騙等違法犯罪活動的賬號,及時處置。
4 結(jié)束語
隨著“秒撥”IP產(chǎn)業(yè)鏈的日益完善,詐騙分子頻繁利用其技術(shù)隱蔽性躲避溯源追查,嚴(yán)重威脅人民的財產(chǎn)安全。本文詳細(xì)剖析了IP資源池的組建與控制原理,以及用戶利用“秒撥”IP技術(shù)訪問互聯(lián)網(wǎng)的技術(shù)原理,進(jìn)而分析出目前監(jiān)測識別技術(shù)手段、IDC和ISP業(yè)務(wù)經(jīng)營者管理等方面的不足,并針對性地研提應(yīng)對建議,希望對“秒撥”IP的電信網(wǎng)絡(luò)詐騙治理提供借鑒。
