主题 ：提供“秒拨”动态IP服务的行为定性*

一、背景情况

进入2017年，公安部、工信部分别针对互联网VPN等网络资源接入乱象，进行专项清理整治。在研究和线下打击非法侵犯公民信息用于网络诈骗犯罪的黑产链条中，腾讯公司守护者计划团队发现近年来互联网的线路资源、IP资源，已成为黑产链条精细化的一个环节，并已形成专门提供IP资源网络服务的“秒拨”动态IP黑产。

IP地址是指Internet协议使用的地址。是用来唯一标识互联网上计算机的逻辑地址，每个Internet包都必须带有IP地址，每台连网计算机都依靠IP地址来标识自己，同时根据IP地址能够定位计算机位置。一般来讲，一个实体的计算机位置对应的IP地址是基本固定且有限的，这也是互联网行业账号体系设定IP判定安全策略的基本逻辑，即根据IP地址可以识别和限制客户的登陆行为。

近年来，网络黑产链条已发展成为产业化、精细化的分工合作，针对互联网行业帐号体系中的注册、登录等操作的具体环节，黑产使用“秒拨”动态IP技术欺骗互联网公司的IP识别判定策略，从而实施撞库晒密、爬虫、诈骗、刷单、刷量、薅羊毛等恶意行为。2017年，腾讯守护者计划安全团队协助警方抓获以陈某、曹某为首的非法架设提供“秒拨”动态IP黑产服务的团伙成员26人。经查，该团伙租用控制服务器线路3000余条，租用ADSL宽带线路5000余条，发展下级代理商69个，注册使用者过万人，年获利上千万。

互联网公司IP策略的目的通常有以下三种：

例1：某社交软件，为防止黑产晒密撞库、窃取帐号密码后冒充好友诈骗，限定社交账号异地登录需短信验证；限定同一IP在10秒内只能请求一次登录验密行为。

例2：某视频平台，与海内外签约，引进高质量内容，但版权授权仅限大陆地区，为保护知识产权，限定注册和登录为中国境内IP的帐号，才可访问内容。

例3：某电商平台，经常会放出优惠券和优惠码，以此促销各种网购活动，为防止羊毛党恶意刷券，限定同一IP仅能参加一次领券活动。

二、操作原理

利用秒拨技术洞穿互联网公司IP策略主要通过以下方法：

以QQ登录为例，当登录IP出现异常，就会命中IP策略，出现类似如下的提醒：

通常情况下，黑产人员拿到QQ信封（网络黑产用语，指黑客通过非法手段得来的QQ号码和密码，以万为单位保存的信息文本）后，会在短时间内批量验证这些QQ帐号密码及关系链等信息的有效性，也就是在一台计算机上同时登录大量QQ号。当黑产人员向服务器发起批量验证密码的请求时，就会命中互联网公司的IP策略和验证码策略。此时，利用秒拨软件（如下图），通过短时间内跳变IP，达到突破IP策略的目的，从而完成验证帐号密码有效性的过程。

“秒拨”动态IP客户端界面（可实现按秒拨号的IP跳变）

电商平台上搜索“秒拨”，能看到不少拨号服务器动态换IP的商品，其功能介绍的核心内容大致为：“多窗口独立IP，独立MAC，每个IP服务器后台都会自动生成一个独立的MAC码，有效防封”；“支持每次登录游戏都自动变换IP，IP保证都是一个城市的，不会造成异地登录”；“单机最少支持1000个动态IP”。

其技术原理，是以Ros软路由、RADIUS认证服务器搭建“秒拨”动态IP集群，整合全国各地的ADSL动态IP、服务器线路、云主机静态IP和国际互联网链路，将多种网络IP资源捆绑集成，提供给下游黑产用户作恶用，实现对黑产用户原始IP的隐匿伪装，达到IP“秒级跳变”的效果。

“秒拨”动态IP提供的线路控制客户端，用以破解洞穿互联网行业的各类IP策略，可实现对其访问服务的源IP 的“自动切换”、“秒级切换”、“断线重拨”、清理 COOKIES缓存、虚拟网卡（MAC）信息、多地域IP资源调换。

三、被黑产利用的“秒拨”动态IP技术的危害性

“秒拨”动态IP技术，可被用于黑产作恶的多种场景，直接绕开了政府监管方及互联网行业通用的IP识别判定策略，其带来的危害是巨大的：

第一，通过“秒拨”动态IP技术，对国内动态IP实时调用和跳变，可调用全国25个省、上百个地市的ADSL宽带动态IP资源，IP池极其庞大。通过IP的跨地域定向跳变，欺骗帐号安全体系的IP判定策略，伪造帐号登录地，用于批量注册、养号、晒密、网络诈骗，规避线上策略打击。由于IP策略是基于帐号的登陆地和常用地来判定，这种通过网络线路源头实施的IP定向跳变，给线上对抗带来极大难度。

“秒拨”动态IP（含VPN）黑产的网络结构图

第二，对于国家网络安全而言，市面上大部分动态IP黑产服务商，都有桥接境外多个国家的服务器、云主机等国际网络链路资源，能够接入境外服务器，用境外IP访问非法网站、发布非法信息，包括访问暗网、国际信用卡CVV盗刷、境外帐号作恶等多种场景。带来无法追查溯源、无法有效封堵的问题，给国家网络空间安全稳定造成危害。