黑产研究之秒拨IP

黑产研究——“秒拨IP挖掘机”制作

Author:黑产研究院N10th

故事背景

黑产的本质是利益，因利益而存，为利益而生。正是因为有了黑产的存在，才有了风控的诞生。风控和黑产的战斗，是一场资源与技术的对抗，黑产研究人员，是最深入敌方内部的前线特种部队，搜集情报，工具研究，手法复现，决定了黑产攻防研究者的一生宿命。

注册、登录、撞库、薅羊毛、刷量等等，在所有的黑产业务场景中，离不开的是IP，所以IP是必备的资源特征。天网风控系统会对IP进行打标签，来作为判断是“好人”还是“坏人”的一个特征标记。而黑产会通过变化IP的手法来绕过风控策略，让风控系统误判其为“好人”。这种变化IP的手法，叫做动态IP，而黑产使用动态IP的工具经常几秒钟切换一个新IP， “秒拨”IP，因此得名。

“魔高一尺，道高一丈”，黑产秒拨IP的出现，驱使我们有新的攻防研究成果去升级防御系统。黑产研究院的秒拨IP池搭建，逢时而生。

知识储备

       在深入敌方内部阵地前，我们先来储备一些知识干粮。

①   共享型IP：基站、专用出口等；

独占型IP：对于像家庭宽带IP、数据中心主机IP等

②   pppoe拨号：最传统的家庭宽带拨号连接。

③   PPTP/L2TP/SSTP：分别对应，“点对点隧道协议/第二层隧道协议（使用证书的隧道协议）/安全套接字隧道协议”，这三者都属于VPN协议。其中区别在于L2TP一般应用在工业，是一种链路层协议。PPTP和SSTP要求网络为IP网络，，而SSTP只是在PPTP上加了一层安全套接字，不扯这么多，我们要用的就是PPTP，仅此而已。

④   秒拨机：一台运行切换ip脚本的vps服务器。

⑤   全国混拨：可以切换到全国地区的IP资源

⑥   动态拨号：只能切换到单一地区的IP资源。

⑦   PPTP账号：从黑产手里购买到的拨号资源，采用PPTP类型的VPN进行切换获得取新IP。

相关资料

1.   威胁猎人介绍秒拨IP科普文：

     https://zhuanlan.zhihu.com/p/68528854

2.      黑产动态拨号vps厂商：

         圣高云：http://www.shenggaocloud.com/vps.asp?typeid=50032

    3.     黑产PPTP账号购买：

逻辑流程

有两种可以部署的方案

①   PPTP拨号

优势：a. 对于最终要上传数据到公司服务器较为方便；b. 机器性能较好

缺点：a. 规模化需要动用公司电脑，占用空间面积；b. PPTP账号价格6元一天稍贵

②   秒拨机拨号

优势：a. vps价格较低，特价仅为3-4元一天

缺点：a. 机器内存512M，性能较差，容易宕机造成数据丢失；b. 数据返回内网较麻烦

开始行动

方案Ⅰ——PPTP账号秒拨

①   购买完PPTP账号后，初次使用，须要添加VPN连接

填写相关信息，最关键的一步，一定要选择VPN类型，不然后期会容易出现难以连接状态

②   测试连接

                             

③   DOS命令实现VPN连接，并python化

格式：“rasdial VPN名 用户名 密码“

④   请求可以返回IP地址的API接口，这里用的sohu

http://pv.sohu.com/cityjson?ie=utf-8

⑤   将IP数据保存写入本地（注意格式）

⑥   每天定时上传到服务器

Ps：a. 上传流程：内网PC>>跳板机>>开发机>>hdfs>>灌库

b. windows机器不自带scp工具，已打包好在压缩包内。自行安装

c. 写好定时任务

方案Ⅱ——秒拨机

①   购买完vps后，等待5分钟，使用mstsc远程连接桌面

②   测试pppoe宽带连接账户密码

③   DOS命令实现宽带连接，并python化

④⑤和上述步骤一致

⑥  因为API接口写入的数据保存在vps秒拨机上，所以需要从外网将数据传回来

       解决思路：自主搭建了一台拥有文件上传的Flask轻量型服务器，

代码实现

将上述行动用Python实现全流程自动化，我把它称之为：“秒拨IP挖掘机”自动化工具。

一共经历了数个版本，最终v3.5持续工作挖掘了一个月的秒拨IP，形成了每日增益3w IP入库量。代码已放入压缩包内。

处理细节

       1.流程涉及部门：黑产研究院、数据挖掘部、行为策略部、架构部

       2.最终数据统计：

       每日数据实时发送到自己和策略邮箱，前日数据统计发送自己和黑产研究院院长邮箱。

       3.拦截量：策略部；灌库：数据挖掘部；数据分析：架构部