黑产研究——“秒拨IP挖掘机”制作
Author:黑产研究院N10th
黑产的本质是利益,因利益而存,为利益而生。正是因为有了黑产的存在,才有了风控的诞生。风控和黑产的战斗,是一场资源与技术的对抗,黑产研究人员,是最深入敌方内部的前线特种部队,搜集情报,工具研究,手法复现,决定了黑产攻防研究者的一生宿命。
注册、登录、撞库、薅羊毛、刷量等等,在所有的黑产业务场景中,离不开的是IP,所以IP是必备的资源特征。天网风控系统会对IP进行打标签,来作为判断是“好人”还是“坏人”的一个特征标记。而黑产会通过变化IP的手法来绕过风控策略,让风控系统误判其为“好人”。这种变化IP的手法,叫做动态IP,而黑产使用动态IP的工具经常几秒钟切换一个新IP, “秒拨”IP,因此得名。
“魔高一尺,道高一丈”,黑产秒拨IP的出现,驱使我们有新的攻防研究成果去升级防御系统。黑产研究院的秒拨IP池搭建,逢时而生。
在深入敌方内部阵地前,我们先来储备一些知识干粮。
① 共享型IP:基站、专用出口等;
独占型IP:对于像家庭宽带IP、数据中心主机IP等
② pppoe拨号:最传统的家庭宽带拨号连接。
③ PPTP/L2TP/SSTP:分别对应,“点对点隧道协议/第二层隧道协议(使用证书的隧道协议)/安全套接字隧道协议”,这三者都属于VPN协议。其中区别在于L2TP一般应用在工业,是一种链路层协议。PPTP和SSTP要求网络为IP网络,,而SSTP只是在PPTP上加了一层安全套接字,不扯这么多,我们要用的就是PPTP,仅此而已。
④ 秒拨机:一台运行切换ip脚本的vps服务器。
⑤ 全国混拨:可以切换到全国地区的IP资源
⑥ 动态拨号:只能切换到单一地区的IP资源。
⑦ PPTP账号:从黑产手里购买到的拨号资源,采用PPTP类型的VPN进行切换获得取新IP。
相关资料
威胁猎人介绍秒拨IP科普文:
黑产动态拨号vps厂商:
圣高云:http://www.shenggaocloud.com/vps.asp?typeid=50032
3. 黑产PPTP账号购买:
有两种可以部署的方案
① PPTP拨号
优势:a. 对于最终要上传数据到公司服务器较为方便;b. 机器性能较好
缺点:a. 规模化需要动用公司电脑,占用空间面积;b. PPTP账号价格6元一天稍贵
② 秒拨机拨号
优势:a. vps价格较低,特价仅为3-4元一天
缺点:a. 机器内存512M,性能较差,容易宕机造成数据丢失;b. 数据返回内网较麻烦
开始行动
方案Ⅰ——PPTP账号秒拨
① 购买完PPTP账号后,初次使用,须要添加VPN连接
填写相关信息,最关键的一步,一定要选择VPN类型,不然后期会容易出现难以连接状态
② 测试连接
③ DOS命令实现VPN连接,并python化
格式:“rasdial VPN名 用户名 密码“
④ 请求可以返回IP地址的API接口,这里用的sohu
http://pv.sohu.com/cityjson?ie=utf-8
⑤ 将IP数据保存写入本地(注意格式)
⑥ 每天定时上传到服务器
Ps:a. 上传流程:内网PC>>跳板机>>开发机>>hdfs>>灌库
b. windows机器不自带scp工具,已打包好在压缩包内。自行安装
c. 写好定时任务
方案Ⅱ——秒拨机
① 购买完vps后,等待5分钟,使用mstsc远程连接桌面
② 测试pppoe宽带连接账户密码
③ DOS命令实现宽带连接,并python化
④⑤和上述步骤一致
⑥ 因为API接口写入的数据保存在vps秒拨机上,所以需要从外网将数据传回来
解决思路:自主搭建了一台拥有文件上传的Flask轻量型服务器,
代码实现
将上述行动用Python实现全流程自动化,我把它称之为:“秒拨IP挖掘机”自动化工具。
一共经历了数个版本,最终v3.5持续工作挖掘了一个月的秒拨IP,形成了每日增益3w IP入库量。代码已放入压缩包内。
处理细节
1.流程涉及部门:黑产研究院、数据挖掘部、行为策略部、架构部
2.最终数据统计:
每日数据实时发送到自己和策略邮箱,前日数据统计发送自己和黑产研究院院长邮箱。
3.拦截量:策略部;灌库:数据挖掘部;数据分析:架构部