【深入解密】315晚会曝光的黑产高频切换IP

近期的央视315晚会中，黑灰产业链又被曝光了，这次是主板机携“切换IP”一起出镜。

事件中的主板机，简单来说就是将多台手机主板集成在一个机箱里，通过软件操控，一台电脑可以同时操作几十甚至上百台手机。

值得关注的是，此类主板机可以通过接入软路由等方式，实现动态更换IP并发动自动化攻击，如恶意注册、刷量、薅羊毛、虚假投票、骗积分、地域伪装等。

通过伪装，网络平台及监管部门很难区分IP背后的用户是真实用户还是虚假用户，传统的安全防御机制难以奏效，导致平台损失大量营销成本，真实用户的权益受到挤压。目前这类操作被广泛应用于网络营销、游戏作弊、社交平台刷量等多种灰色地带。

解密黑产IP切换技术

IP资源是黑产进行规模化攻击的核心资源，为了绕过IP检测，大量黑产使用代理IP、秒拨IP等技术进行攻击。威胁猎人安全运营人员对黑产攻击方式分析发现，存在以下几种主要的换IP方式：

1、秒拨：基于家庭宽带ADSL账号重拨切换IP方式

秒拨的核心在于利用家庭宽带拨号上网（PPPoE）的原理，每次断线重连时都能获取一个新的IP地址。

通过远程地址以及管理员账号密码链接控制，机器的类型可以简单分为单城市以及全国混播，通过选择多台不同城市或者多台混播组成代理池，搭建控制服务器进行远程管理和调配，通过使用脚本、命令或者浏览器插件的方式达到修改本机IP的目的。

2、代理池：用于管理和分发代理IP资源的系统

IP代理池可以用来隐藏用户的真实IP地址，提高访问速度，解决IP限制等问题。IP代理池有两种形式，一种是由多台秒拨机组成的代理池，第二种是提供代理池的公司从运营商的IP池内获取IP。

第三种是通过散布免费软件的形式，如游戏加速器、vip影视共享软件等，植入木马控制正常用户电脑作为中转服务器，把普通用户的家庭宽带IP作为代理IP放入代理池供代理平台网站用户使用，且每次使用时间很短，普通用户难以感知到自己的IP被盗用，这也就是我们所说的“好坏共用-代理”IP。

在代理平台购买了IP套餐后，通过该套餐生成API接口，访问该接口会获得一个IP:端口的组合，通过脚本、命令或者浏览器插件的方式达到修改本机IP的目的。

3、切换IP工具：通过建立SSL/TLS、PPTP、L2TP等VPN加密隧道实现动态切换IP的软件

换IP工具是软件的形式，几乎零门槛使用，用户只需下载对应的软件到本地，注册账号购买套餐后点击连接即可实现全局代理，换IP工具通过建立SSL/TLS、PPTP、L2TP等VPN加密隧道，从而动态切换用户的公网IP地址。

部分换IP工具通过对应的设置还可以实现单窗口单IP，这种工具常用于游戏工作室。

4、软路由：使用软件自定义路由功能的路由器

通过软路由，可以虚拟出20-100个虚拟Wifi，通过对应的设置，可以把虚拟出的Wifi信号当作正常的Wifi信号使用，并且每个虚拟出的Wifi所对应的IP都是不同的，每台机器连接不同的WiFi即可做到单机器单IP。

解密风险IP分布数据

2023年9月至2024年3月，威胁猎人持续监测国内风险IP 2.97亿个，国外风险IP 6.89亿个，如何识别不断变化的风险IP已成为各大企业亟须重视的问题，我们对国内及国外两种类型的风险IP分析发现：

（1）2023年9月至2024年3月国内风险IP归属最多的三个省份：江苏、浙江、安徽

（2）2023年9月至2024年3月国内风险IP归属最多的三个地级市：苏州、珠海、南通

（3）2023年9月至2024年3月国外风险IP归属最多的三个国家：美国、巴西、印度

（4）2023年9月至2024年3月国内风险IP类型中，家庭宽带类型占比超94%

对企业平台而言，有效识别不断变化的风险IP，能够从根本上摸清黑产行径、确保业务安全及真实用户的权益。

对于这种快速变化的风险IP识别，威胁猎人自2018年起就提出针对业务流量中IP的“实时风险检测能力”，提倡IP风险画像产品应该更关注IP的实时风险判定能力，并于2019年正式推出以“实时风险检测能力”为核心的IP风险画像产品。

经过多年迭代与打磨，威胁猎人IP风险画像产品持续提升实时风险检测能力，支持对IPv4和IPv6协议风险IP的精准识别，可覆盖基于秒拨、代理、多开分身、真人作弊、自动化脚本等场景的风险IP。

为了检验对于不断变化的风险IP的识别能力，我们从攻击者视角出发，在各种渠道购买黑产在攻击时常用的代理IP资源池并进行了多次测试，风险IP画像平均召回率达到85.73%。

近期，威胁猎人IP风险画像产品再次升级，在原有的【代理】、【秒拨】等风险标签基础上，新增了【好坏共用-代理】、【好坏共用-云函数】、【VPN】、【搜索引擎爬虫】4个风险标签，实现识别能力翻倍，帮助企业有效识别鱼龙混杂的风险IP。

目前，IPv4近一个月总量达到13亿，每日识别风险IP总量约1100万，IPv6风险库总量600万，实时高风险IP总量38万，已覆盖64个城市，基于秒级更新识别、强时效性、高准确性的风险IP数据库，进一步助力准确识别业务流量风险，解决IP策略误判高的问题。

未来，期望能贴近实际业务场景，在稳步提升产品能力的同时，不断拓展服务边界，更好地满足企业在不同业务场景下的安全需求。

2023年1月5日，永安在线进行品牌焕新，正式更名为“威胁猎人”（详见：）。