(1.中国信息通信研究院安全研究所,北京100191;2.中国联合网络通信有限公司,北京 100001)
0 引言
IP地址(Internet Protocol Address),即网络互联协议使用的地址,用来唯一标识互联网上计算机的逻辑地址,每台联网计算机都依靠IP地址来标识自己,同时可以根据IP地址来定位计算机位置[1]。一般情况下,一个实体的计算机位置对应的IP地址是基本固定且有限的,即可通过IP地址来识别和限制客户的登陆行为[1-2]。
“秒拨”IP技术可以满足用户在同一地点、不同时段切换IP地址的需求,具有技术“两面性”。正面价值,利用该技术实现网络安全防护。“秒拨”IP技术可以帮助用户隐藏真实的IP地址,保护重要的计算机地址免受攻击;还可以类似防火墙,维护内网安全性。负面影响,被恶意利用违规牟利。用户借助该技术规避网站或平台注册新账号时的IP封控机制,允许用户在同一网站或平台以不同的IP地址同时注册多个账号,进而被用于批量注册、投票、刷单等不法场景[3]。
更有甚者,境内外诈骗分子借助“秒拨”IP代理软件,实施电信网络诈骗,逃避打击治理[1]。境内诈骗分子通过上述软件,在引流环节自定义频率改变社交平台、支付平台的登录IP地址,达到隐藏实际物理位置的目的,躲避公安机关的溯源追查。不仅如此,“秒拨”IP技术还可为境外诈骗分子登录境内网站、平台账号提供“渠道”。由于大量境外诈骗人员受IP限制无法访问登录境内网站、社交或支付平台,利用“秒拨”IP代理软件切换成境内IP地址可以突破地域屏障,登录境内网站或平台,实施诈骗并转移资产。成功隐藏真实上网链路,严重阻碍诈骗案件的溯源与侦破,成为电信网络诈骗治理的一大难点。
因此,本文深入剖析“秒拨”IP动态切换技术,研究“秒拨”IP代理软件的技术原理,分析“秒拨”IP的治理难点,进而针对性研提应对建议。
1 “秒拨”IP技术原理
如图1所示,“秒拨”IP代理服务链条包括IP资源池的搭建和控制,以及“秒拨”IP代理软件的使用。面向后台,不法分子需要整合IP地址资源搭建资源池,并对资源池进行管理;面向用户,需要提供连接IP资源池的入口与通道。
图1 “秒拨”IP技术原理图
1.1 IP资源池组建与控制
“秒拨”IP技术的核心是组建和控制IP资源池。不法分子借助多种技术手段整合不同地域的IP地址资源,捆绑集成构建IP资源池,并搭建控制服务器对IP资源进行远程调配与管理。早期组建IP资源池主要是利用高性能服务器对全网进行扫描,扫描开放代理服务的服务器,或者是直接爬取其他代理网站的数据,收录有效代理IP和端口,但这种方式最大的弊端是无法控制代理IP的有效性和数量。随着家庭宽带、机顶盒等的普及,新型“秒拨”IP资源池组建方式也应运而生。
方式一:不法分子尝试批量购买全国各地宽带账号,填写虚假宽带装机地址逃避监管并借助“黑机房”提供上网链路。同时,搭建“秒拨”IP代理服务器利用ROS软路由对宽带资源进行统一调配和管理,进而提供“秒拨”IP服务。
方式二:不法分子研发具备回传IP地址、控制设备互联网信息系统等功能的SDK插件,并通过与路由器、电视机顶盒等互联网设备商、手机应用商的非法交易将该插件植入相关设备或手机应用。该插件获取设备终端的IP地址并回传至后端存储服务器,打开设备终端的IP代理功能,控制设备终端的互联网设备信息系统。不法分子汇聚回传的IP地址,借助被控制的设备终端提供上网链路,搭建代理服务器进而提供“秒拨”IP服务。
方式三:部分基础电信企业宽带账号上网断线重连时,可能存在IP地址分配与认证系统登记的时间差,不法分子可以利用此时间差,频繁断线重连,使得单个账号可同时获取多个上网IP,从而积攒出IP资源池。
不法分子除需要汇聚分散在各地的IP地址组建资源池外,还需要稳定的IP地址接入“秒拨”IP控制服务器,对资源池进行统一管理和调配。由于部分互联网数据中心(Internet Data Center,IDC)、互联网接入服务(Internet Service Provider,ISP)业务经营者缺乏相应的管理和监测技术手段,所属的IP地址资源会被层层转租,流入不法分子手中,用于接入控制服务器,实现IP资源池的远程控制。
1.2 “秒拨”IP代理软件的使用
不法分子后台组建IP资源池、组建控制服务器的同时,会开发“秒拨”IP代理软件。代理软件具备虚拟专用网络(Virtual Private Network,VPN)功能,基于VPN隧道技术,为用户连接IP资源池提供入口与通道[4]。不法分子会在社交软件、网站、论坛等互联网平台推广“秒拨”IP代理服务信息,为用户下载代理软件、获取登录账号提供窗口。
用户在PC端、手机端等终端安装“秒拨”IP代理软件并通过账号登录,建立终端与IP资源池之间的VPN隧道。用户终端借助VPN隧道连接IP资源池的某个IP地址并访问互联网,登录微信、QQ、支付宝等互联网账号或者访问网站等。“秒拨”IP代理软件可以为用户按照一定时间间隔,变换接入互联网的IP地址,实现在同一地点不同时刻变换登录互联网账号和访问网站的IP地址。由于IP定位策略是基于账号的登录地和常用地来判定用户实际所处的物理地址[5],这种借助VPN隧道实施的IP不定向跳变,导致无法对用户实际物理地址进行溯源。
(1)用户实际使用的IP地址侧:由于用户登录互联网账号、访问网站的流量借助加密VPN隧道接入IP资源池,并经由IP资源池中的某个IP地址进入互联网。例如,使用Internet Protocol Security(IPSec)的IPSec VPN技术,为数据通过公共网络时的完整性、安全性和机密性提供了隧道加密和认证方案[6-7]。因此,在用户IP地址侧,无法监测和发现用户实际访问的目的地。
(2)代理IP地址侧:即IP资源池中的IP地址,可以监测用户登录的互联网账号和访问的网站,但由于IP资源池的IP地址在不同时刻被不同用户使用,很难溯源具体某个时刻真实使用的用户。
(3)访问网站或登录的互联网账号侧:可以溯源代理IP地址信息,但无法溯源用户实际使用的IP地址信息,因此无法确认用户真实所在地的位置信息。
2 “秒拨”IP治理难点
“秒拨”IP的服务能力需要多环节链条式配合,例如上游IP地址资源的积聚,中游IP资源池组建与控制、“秒拨”IP代理软件开发测试,下游“秒拨”IP服务信息推广等,每个环节既环环相扣、缺一不可,又相对独立,具有一定的治理复杂性。目前,“秒拨”IP备受诈骗分子青睐,被广泛用于隐藏实际物理位置,逃避溯源打击。结合其技术原理,治理难点主要表现在以下几个方面。
(1)IP资源池监测识别难度大。区别于涉诈网站、涉诈APP、涉诈手机号码等涉诈资源,IP地址既不具备明显可见的涉诈属性,也不是固定分配给某个用户归属和使用。基础电信企业为家庭宽带上网用户动态分配IP地址,因此诈骗分子和正常用户不同时间段可能使用同一个IP地址。例如,“秒拨”IP的使用周期(通常在秒级或分钟级)结束后,可能会流转到正常用户手中。因此,鉴别某个IP地址是否属于“秒拨”IP资源池技术难度较大。
(2)“秒拨”IP技术所用相关设施、设备隐蔽性强。“秒拨”IP上游产业链利用嵌入恶意应用程序的路由器和机顶盒等网络设备,窃取基础电信企业动态IP资源,并通过软路由等手段,组建并远程控制IP资源池。针对相关恶意程序、被操控的路由器和机顶盒等网络设备,监测识别技术手段存在短板。
(3)“秒拨”IP技术尚未有明确的法律定性。“秒拨”IP技术的直接用途及其实现过程并不会侵犯行政利益或民事权益,其还有正当合法的间接用途,暂未被作为一项危险技术予以特殊规范[5]。因此,“秒拨”IP代理软件等相关应用程序的开发、测试以及推广尚未被明确禁止或限制。聊天群组、社交平台、搜索引擎等尚未对“秒拨”IP的相关信息针对性地监测和清理,诈骗分子可以轻松获取“秒拨”IP代理软件下载链接和应用程序包等服务资源。
(4)IP地址资源管理有待进一步探索。一是基础电信企业虽然组织对IDC、ISP企业申请IP地址资源的使用情况(用途等)进行登记,但缺少相应的措施定期核实相关IP地址的实际归属和使用情况,无法及时发现IP地址资源的层层转租和违规使用等问题,给IP地址的追踪溯源带来了较大挑战;二是部分IDC、ISP企业等对相关服务申请者的管理相对松懈,对服务内容(例如IDC机房接入的域名、网址、移动应用软件等)缺乏有效的管理和监测,极易被不法分子利用,接入违规域名、网址、移动应用软件等,源头治理难度大。
3 应对建议
针对电信网络诈骗领域“秒拨”IP的治理难点问题,应坚持问题导向、以技管网、技管结合的思路,从源头治理、技术手段、宣传引导等方面,探索引导“秒拨”IP服务市场向良性健康方向发展。
3.1 规范业务管理
一是建立健全互联网网络接入服务全流程管理机制。建议基础电信企业按照“谁接入、谁负责”的原则,针对网络接入资源服务,探索建立完备的事前资质审核、事中定期巡检、事后溯源通报的全流程管理机制。
二是互联网网络接入服务企业落实管理责任。网络接入服务(IDC、ISP等)企业应强化社会担当,积极落实服务申请者的管理责任。强化用户背景资质审查与服务用途审核,做好信息登记与定期核查,加强服务协议约束,明确惩戒措施,减少IP地址、带宽等网络接入资源层层转租问题的发生。
三是强化上游环节安全管理。建议强化路由器、电视机顶盒等互联网设备商、移动应用软件开发商的规范管理,督促相关企业严格落实法律要求,避免其违规向不正当的“秒拨”IP产业链提供技术和设备支持,提高不法分子汇聚IP资源池的成本。
3.2 强化技术防范
一方面,提升IP地址异常监测识别技术能力。一是建议互联网企业探索相关技术手段,主动发现频繁变换IP地址申请登录的异常账号,并积极向相关部门提供线索。二是建议基础电信企业升级家庭宽带用户接入认证系统,研究异常监测发现技术手段,及时发现处置切换异常的用户。
另一方面,建立“秒拨”相关设施设备监测发现机制。建议各基础电信企业、互联网网络接入服务企业,强化对“秒拨”IP上游产业涉及服务器、路由器、机顶盒等的主动监测处置,并与公安部门进行信息与线索共享。
3.3 加强社会引导
首先,强化宽带业务用户服务提醒。基础电信企业在进一步规范家庭宽带账号入网登记流程、做好实名登记审核与自查的基础上,应加强用户宣传,通过短信、服务人员转达等多种方式,引导用户通过线下营业厅等正规渠道注销宽带账号,避免私下赠送、售卖。
其次,引导“秒拨”IP服务代理商提升社会责任感。建议代理商做好服务售卖信息登记,建立账号登记台账,并积极配合行业主管部门、公安部门,对核查后涉及电信网络诈骗等违法犯罪活动的账号,及时处置。
4 结束语
随着“秒拨”IP产业链的日益完善,诈骗分子频繁利用其技术隐蔽性躲避溯源追查,严重威胁人民的财产安全。本文详细剖析了IP资源池的组建与控制原理,以及用户利用“秒拨”IP技术访问互联网的技术原理,进而分析出目前监测识别技术手段、IDC和ISP业务经营者管理等方面的不足,并针对性地研提应对建议,希望对“秒拨”IP的电信网络诈骗治理提供借鉴。