《反欺詐專欄》互聯網黑產剖析—代理和匿名

上一篇報告中，我們介紹了關於「虛假號碼」的方方面面，同盾三大風控基礎維度(手機號、IP地址、設備指紋)中，手機號的防控，起到了至關重要的作用。虛假號碼的防控，僅僅是我們諸多手機號防控規則中的一環。類似的，我們在其他維度上也進入了深入的研究和分析。

這一篇中，我們將為您深入介紹「代理」在各種欺詐行為中扮演的角色。

技術原理

定義 ：代理，英文:Proxy，在這裡特指網路代理。

代理是一種網路服務，用於為客戶端和服務端提供非直接的鏈接。

一般的，根據代理所使用的協議，可以對代理做如下分類:

由於近年來「網路安全」和「隱私保護」的問題成為了熱點，越來越多的人開始追求互聯網上的匿名。因此，代理的匿名程度，也成為區分代理的一個重要標誌。

根據代理的匿名程度，也有做如下區分：

比如，目前很多人在用的SS，就是一種高匿代理。當我使用一個SS代理去訪問互聯網時，平台或網站獲取到的IP地址，就不再是我的真實IP，並且整個訪問過程中，都不會泄露我的真實IP。

部署一個代理的成本其實並不高。相信很多人都擁有自己專屬的代理伺服器，用來訪問一些國外的「資源」。

Nginx中開啟代理只需要做如下配置：

建立Socks代理更為簡單：

用戶只需要使用簡單的代理工具，或者在瀏覽器中設置代理，就可以使用。

總的來說，代理，提供了一種低成本的隱藏用戶真實信息的途徑和方式。

保護隱私的同時，代理也為各種風險行為提供了良好的庇護。就像Tor(洋蔥路由)一樣，最早期Tor由美國海軍研究實驗室贊助開發，用來為特工提供一種高度隱蔽和高度匿名的通信方式。2004年後，Tor開源，在很多高等學府中被使用，為一些從事敏感領域研究的科學家提供身份保護。而後，眾多的Tor節點組成了暗網，成為了毒品、走私、槍支、洗錢的天堂。

代理在欺詐行為中的使用場景

TCP/IP，是互聯網的基礎，沒有TCP/IP，可能就沒有今天的互聯網了。

TCP/IP協議，賦予了每個上網的人都會擁有一個IP。因此，IP地址也成為了風控中非常重要的一環。

一般的，我們的風控策略中，會設置很多頻度方面的策略。比如：同一個IP上一個小時內登陸次數超過50次。

上一期的分享中，提到了某工作室的一個自動註冊機。其中包含了一個更換IP的功能，可以通過設定代理IP或VPN來實現。

那麼，對於一般的風控規則：單個IP在一小時內註冊/登陸/交易次數超過N次，就可以使用代理來進行規避。

根據目前了解到的情報，代理已經成為欺詐分子的必備工具，每完成一次欺詐活動，就會更換一個新的代理。

比如，從註冊賬號、登陸賬號、領取優惠券到使用優惠券下單都使用同一個代理，下單完畢，就標誌這次欺詐活動結束，然後使用一個新的代理繼續進行下一次，繞開IP地址上的頻次限制。

除了規避簡單的頻次限制規則，代理的另外一個用途在於隱藏自己的真實位置。

IP地址的劃分和使用是有跡可循的，根據用戶訪問的IP，可以判斷該用戶所處的大概位置，一般可以精確到城市級別。網站或平台會根據用戶的IP，解析當前用戶的位置，通過比較前後多次登錄的位置是否存在異常，來判斷用戶的活動是否存在風險。

比如，當你從一個長期生活的城市，忽然去到另外一個城市的時候，很多APP都會有異地登陸的提醒。

代理，提供了一種規避位置判斷的手段。

此前我們遇到的一個案例中，欺詐分子通過代理來實施盜卡。我們通過設備指紋的定位信息，確定欺詐分子身處南京，但是使用了一個上海的代理IP，盜用了一張上海的銀行卡準備進行消費。如果僅僅根據IP地址來判斷用戶的位置，那麼這次活動中系統給出的判斷就是「用戶位於上海」。

隨著移動技術的發展，產生出了很多其他的定位手段，正在逐步替換掉IP地址的位置解析結果。但是依然存在很多場景，我們不得不使用IP來對用戶的位置進行判斷。

此前，我們曾實驗性地部署了一台代理伺服器，詳細地記錄通過這台代理髮生的各種請求。事後我們根據伺服器上的日誌來分析用戶們使用這個代理做了些什麼。

大致得出了以下一些統計數據(統計時間片為一周)：

上面的這些風險行為，累計涉及了300多家網站和平台。

你可能會注意到，前面介紹的註冊工具中，可以批量導入代理。而互聯網上，代理的資源非常豐富，欺詐分子輕而易舉就能獲取到上千甚至上萬個代理IP。欺詐份子剛好選中了我們這台伺服器的概率不到萬分之一。

想必，你也能感覺到這其中涌動的暗流了吧？

代理檢測和規避檢測

代理，是一種非常廉價的資源。因為互聯網是開放的，一個開放的代理，只要知道伺服器的IP， 代理協議和代理埠，任何人都可以使用它。從而產生了很多提供代理檢測服務的平台，他們會對整個互聯網進行代理掃描，把可用的代理IP 記錄下來，提供給爬蟲或其他工具使用。

開放性的代理雖然很容易獲取，但是使用的人非常多，魚龍混雜，爬蟲、廣告機、註冊機，甚至某些網路攻擊也會使用這些代理。於是，安全產商和一些軟體聯盟，開始了對這些代理的封堵。

代理運行的時間越長，使用的人越多，經過這個代理產生的風險行為也越多，然後被各大平台拉入黑名單。比如，Wordpress根據全球範圍內的WP博客接收到的垃圾評論及評論IP，整理出了一分規模巨大的 IP黑名單，其中絕大部分都是代理。 著名的開源入侵檢測系統Snort，付費版規則集中屏蔽了上百萬個IP，大部分也都是代理IP。 這些由安全產商、軟體聯盟整理的黑名單數據，目前已經收錄到同盾IP畫像第三方風險證據庫中進行維護。

雖然無法透過代理，去追查幕後的欺詐分子，但是如果能夠有效的識別代理，就可以有效識別出大批的風險行為。為此，同盾建立了一套高性能的代理檢測系統，用於對全網範圍內的IP地址進行代理檢測。

文章開頭，我們提到了代理可以根據協議進行分類，對代理進行檢測的時候，一般也按照代理的協議進行。在反欺詐領域，絕大多數欺詐行為都通過HTTP協議進行，所以，我們只需要對最為常用的一些代理協議進行檢測即可，包括:HTTP/HTTPS, Socks和VPN。

一種監測HTTP代理的簡單方式如下:

其他的代理協議，檢測起來要更複雜一些，這裡就不再逐一列舉了。代理檢測雖然原理簡單，一套建立夠滿足業務需要的代理檢測系統，還是需要投入很大的成本，主要是硬體和帶寬的投入很大。

具備足夠實力的互聯網公司，都會嘗試建立自己的代理檢測系統。長此以往，欺詐分子也意識到，代理一旦被發現，就不能再被使用。於是產生了很多用於規避代理檢測的方法。

一場曠日持久的對抗，由此展開。我們來細數一下，常見的規避手段都有哪些。

使用非常規埠

每個IP上可以使用的埠數量是有限的，從1~65535，不可能對所有埠都進行檢測，這個代價是無法承受的。

一般的代理檢測，會針對特定的埠進行。

我們此前對全網的代理伺服器做過分析，統計各種代理協議和代理埠的對應關係，部分如下：

HTTP代理埠分布：

Socks代理埠分布：

如果代理IP使用的埠，不在常規檢測的列表之內，或者使用一些非常特別的埠，就可以避免被檢測。

我們曾經遇到過一個代理，運行埠為1，測試的時候還以為我們程序出現了問題，反覆確認了好幾遍。

根據我們長期的全網監測，統計全網各類代理最為集中的埠。結果表明，只要對其中20個埠進行代理檢測，就能夠覆蓋全網超過70%的代理，如果掃描埠增加到40個，覆蓋率可以提高到95%以上。

同盾會定期統計代理埠的分布情況，並更新掃描埠列表，保證代理的檢出率。

用後即毀

代理有兩個非常重要的指標：「響應延遲」和「生存期」。

很多提供代理檢測服務的平台，都會把代理節點的延遲作為一個重要參數，代理的延遲越低，使用的人就越多。

另一方面，絕大部分代理並不會長期運行，根據我們的統計，80%的代理存活時間只能以分鐘計算。如果一個代理的存活時間非常短，就可以完全避免被代理檢測發現。

上圖是國內一個比較大的代理服務平台，他們提供的短效代理，平均存活時間只有2分鐘。

是否可以提升代理掃描器的性能，來滿足分鐘級別的監控呢？

如果有足夠的軟硬體資源和帶寬資源，理論上是可行的。但是大規模的埠掃描，本身並不是一件好事。大量的數據包發送，有可能會導致運營商層面的設施故障、網路擁堵，影響其他用戶的使用。因此，運營商對待MassScan這類埠掃描器的態度是非常堅決的。

那麼，在現有的條件下，如何對這類代理進行防控呢？

部署代理雖然很簡單，但並不是任何地方都可以部署。首先需要具備獨立的公網IP，其次是有穩定的線路，保證虛構的上下行帶寬，這些條件限制了代理只能在數據中心中部署。如果我們能夠準確判斷一個IP是否來自於某個數據中心，比如阿里雲、騰訊雲，配合其他的一些信息，就可以做出準確的判斷。

具體如何識別一個IP是否來自於某個數據中心，我們將在下一篇文章中進行介紹。

殭屍網路

這個詞業內人士應該並不陌生。殭屍網路是通過各種遠程控制程序組建起來的龐大網路，通過C&C伺服器，向各個殭屍節點下髮指令，進行各種網路攻擊。

某些遠程控制程序中提供簡單的代理功能，欺詐分析可以通過這些殭屍節點來發起欺詐活動。

殭屍節點又稱為「肉雞」，雖然並不像「四要素」那樣炙手可熱，但是銷路一直很不錯。黑產會收集大量的肉雞節點，用於發起DDOS攻擊。

殭屍網路的分析和研究，是全社會面臨的一個嚴峻的問題。國內外眾多安全公司投入了巨大的人力和物力來對殭屍網路進行監控，有的安全公司也會公開自己長期監控的殭屍網路信息，提供殭屍節點的IP地址列表。

國內有不少傑出的安全公司在這個領域有著深入的研究，在與之深度合作下，同盾也能夠在反欺詐場景中，對殭屍節點進行有效的識別。

（上圖是2017年3月15日，殭屍節點在全球範圍內的分布情況）

結語

判斷IP是否有風險，有很多種途徑，代理檢測只是其中一種，和虛假號碼一樣，僅僅是同盾眾多風控手段中的一個環節。並不能單純的因為一個IP被判斷為代理，就直接封殺。比如，很多公司的辦公網路出口上，會部署VPN網關，但並不代表這個IP下的用戶都存在風險。

為此，我們建立了同盾IP畫像，儘可能多地提供關於IP的所有信息，在風險決策中進行綜合評定。

關於同盾IP畫像的詳細內容，將在下一篇文章中進行介紹，盡請期待。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！