“動態IP”的犯罪生態與防控治理對策

江漢祥 ，曾 鵬

（1.廈門市美亞柏科信息股份有限公司，福建 廈門 361008；2.福建省電子數據存取證重點實驗室，福建 廈門 361008；3.廈門市公安局，福建 廈門 361008）

IP 協議是互聯網的最基本協議，它能夠讓所有的計算機或智能設備通過網絡進行通信與互聯。IP 地址是IP 協議中約定的一種地址格式，為互聯網上每一個網絡和每一臺設備分配的邏輯地址，從而屏蔽物理地址的差異。它是互聯網空間最基礎的身份標識，也是網絡通信的最基本要素。隨著互聯網的蓬勃發展，接入終端的數量急劇增加，IP 地址的需求量越來越大，IP 資源變得十分緊張和短缺。網絡犯罪及其相關黑灰產對IP 的需求與日俱增，掌握大量的IP 資源有利于違法犯罪嫌疑人隱藏真實IP，也可以用于對抗網絡應用服務商的風控規則[1]8-12。

傳統規避風控的方法是Socks5 代理和VPN（虛擬專用網絡）代理。Socks5 代理主要是利用高性能服務器在全網進行掃描，獲取代理服務器的IP 及端口，或者直接爬取其他代理網站的數據。Socks5 代理最大的弊端是代理IP 的有效性無法把控（服務器關閉、端口關閉、代理網速太慢造成掉線等），以及代理IP 數量相對有限。VPN 代理的IP 資源主要是服務器IP，雖然網絡相對穩定，但存在成本高且IP 數量有限的弊端，也無法完全滿足黑灰產的需求。

“動態IP”（俗稱“秒撥IP”）服務就是在這種形勢下應運而生的，它大致誕生于2014 年，興起于2019 年，被廣泛用于批量注冊、批量養號、薅羊毛、刷單、撞庫等短時間內需要大量IP 資源的場景[1]5-7。目前，黑灰產使用的代理IP 資源中，“動態IP”占75%以上，傳統型代理IP 占25%左右[2]?！皠討BIP”嚴重擾亂了互聯網管理秩序，給國家安全、政治安全和社會穩定帶來嚴重風險隱患，給公安機關落地調查工作造成嚴重干擾。如何徹底鏟除“動態IP”的滋生土壤，防控治理動態IP 犯罪產業鏈已經成為亟須解決的難題。

一、“動態IP”的原理、類型、外在特點及生態環節

（一）“動態IP”的原理

“動態IP”利用寬帶撥號上網每次聯網都會獲取一個新IP 的原理，在接入服務器上創建大量VPS（虛擬專用服務器），并在VPS 上安裝秒撥軟件（如圖1 所示）。為了能更換IP 而進行各種設置，如：秒級切換、斷線重撥、清理COOKIES 緩存等，黑灰產通過獲取全國各地大量寬帶線路資源，利用虛擬化和云計算技術把各地的IP 資源整體打包成了云服務，并利用ROS（路由器操作系統，即軟路由）對虛擬主機和寬帶資源做統一調配和管理。通過開發專用客戶端軟件，或提供API（應用程序接口數據）接口服務，將獲取的海量“動態IP”提供給下游用戶使用。當把全國不同地區的IP資源整合并“自動切換”后，就可以實現某個虛擬身份短時間內在全國多地IP 切換。

（二）“動態IP”的類型

按照獲取的IP 資源歸屬地不同，“動態IP”可以分為“秒撥”和“混撥”兩種，這兩種技術可分開或結合使用。

1.“秒撥”技術

直接提供“秒撥機”（如圖2 所示的VPS 秒撥機）給下游用戶使用。之所以稱為“秒撥機”，是因為在VPS 上安裝了秒撥軟件，其主要功能是可以秒級進行斷線重撥，從而獲取新的IP 資源?，F實中很少進行秒級切換，因為大多時候不能在秒級完成，秒撥機會在十秒級或分鐘級斷線重撥。租用秒撥機的用戶會通過RDP（遠程桌面協議）、VNC（虛擬網絡控制臺，即遠程控制工具軟件）或者SSH（安全外殼協議）連接，然后進行違法犯罪活動。秒撥機的接入線路是直接連接到當地運營商的BRAS（寬帶接入服務器），撥號認證分配是運營商的賬戶認證，撥號出來的IP 地址是公網IPv4的地址，其IP 數量取決于運營商分配的IP 數量。

2.“混撥”技術

“混撥”就是黑灰產把多個地區的IP 資源通過層層代理，并通過網絡云服務技術打通，從而實現在單臺主機（即混撥機）上獲得全國的IP 資源（如圖3 所示）。為了實現混撥，服務提供商做了二次撥號認證，一般是用ROS 軟路由系統，撥號后獲取的IP 是一個內網IP 地址，端口無法對外開放，只能訪問外網。其帶寬速度是共享的，相對會慢一些。其IP 地址池，取決于加入動態資源的各地區運營商的IP 數量。

圖3 “混撥”網絡結構圖

（三）“動態IP”的外在特點

“動態IP”被大量用于網絡黑灰產中，直接繞開了政府監管及互聯網行業通用的IP 風控策略，因而在網絡層面表現出以下特點。

1.隱藏真實IP。這種特點導致網絡行為的倒查機制失效，違法犯罪案件發生后通過IP 日志只能倒查到接入寬帶賬號，而無法倒查到真正使用該IP 的行為人[1]8-17。

2.頻繁切換IP。其導致基于“同一IP”的安全風控策略徹底失效，該安全風控策略通過識別同一IP 所指向的單一設備的訪問頻率或登錄頻率來拒絕該類行為。而如果行為人使用的IP 發生了變化，相關策略就失效了。

3.橋接境外IP。有的動態IP 服務商會橋接境外多個國家的服務器、云主機等國際網絡鏈路資源，用境外IP 訪問非法網站（包括暗網）、發布非法信息、開展網絡詐騙等違法犯罪行為。

（四）“動態IP”犯罪的生態環節

根據偵查打擊實踐，“動態IP”服務黑灰產生態鏈可以分為電信運營商、租賃倒賣寬帶賬號人員、“動態IP”技術服務提供商、推廣人員以及下游違法犯罪嫌疑人五個環節（如圖4 所示）。電信運營商主要包括移動、聯通、電信、廣電寬帶、長城寬帶等電信接入服務提供商。租賃倒賣寬帶賬號人員指的是通過電信運營商大量辦理寬帶賬號，并對寬帶賬號資源進行租賃和倒賣的人員?！皠討BIP”技術服務提供商通過部署主機、服務器或者建設機房，對外提供“秒撥”或“混撥”VPS 以及“軟路由”虛擬機。推廣人員為通過各種途徑進行宣傳和推廣的人員。下游違法犯罪嫌疑人，即終端用戶是使用“動態IP”服務的各類網絡黑灰產從業人員。

圖4 “動態IP”生態鏈示意圖

二、“動態IP”帶來的危害

IP 地址是公安機關進行網絡行為溯源的基本要素?！皠討BIP”服務的出現，破壞身份標識的唯一性，割裂網絡行為追蹤的關聯性。動態IP 在正常網絡通信的基礎上“制造”另一層IP 網絡，已成為黑灰產的“新基建”，直接或間接為網絡違法犯罪行為提供幫助?！皠討BIP”服務實質上突破了計算機信息系統安全保護措施，破壞了網絡風控規則，助長了違法犯罪行為，給網絡空間的治理帶來了危害。

（一）“動態IP”破壞了網絡風控規則

大多數網絡服務提供商為了公平性和真實性，會對用戶的IP 進行風控。如網絡投票中，風控規則很可能會限制同一IP 一天操作的次數。另外，許多網絡服務提供商為了防止惡意注冊、批量養號和批量刷單行為，也會對用戶的IP 進行風控。然而，“動態IP”讓上述風控規則基本失效，一是由于它所使用的IP 不是服務器IP，無法事先收集而進行風控；二是該類IP 是寬帶撥號使用的IP，該類IP 可能此刻為黑灰產所用，下一刻則為普通用戶所用，因而無法對它進行封禁。

（二）“動態IP”助長了違法犯罪行為

違法犯罪人員通過“動態IP”可以快速切換IP，繞過網絡服務提供商風控規則中時間、地域、次數等限制，隱藏真實上網地址，直接破壞各類互聯網應用的安全策略。它已經成為網絡黑灰產（包括流量刷單、網絡推廣優化、廣告群發、批量注冊等）、網絡詐騙、網絡賭博、網絡水軍、網絡謠言、黑客攻擊等違法犯罪活動的重要基礎資源。

（三）“動態IP”導致網絡安全管理承壓

“動態IP”服務經營者很可能違反行政管理相關規定，甚至涉及刑事案件，如幫助信息網絡犯罪活動罪、非法經營罪及拒不履行信息網絡安全管理義務罪[3]?！皠討BIP”相關的犯罪行為還需要具體問題具體分析，如動態IP 經營者如果有合規的增值電信經營證照和手續，則非法經營罪可能難以成立；又如拒不履行信息網絡安全管理義務罪需要相應的前提條件，但該罪目前在司法案件中相對缺乏案例參考[4]。這些因素導致對這類案件的打擊相對困難，往往是高投入低產出狀態，使相關部門依法管網治網面臨一定的壓力。

三、“動態IP”在新型網絡犯罪中的應用

“動態IP”在網絡黑灰產違法犯罪中有廣泛的應用，主要體現在變換IP、隱藏真實IP 兩個方面上。

（一）變換IP 類網絡違法犯罪

變換IP 方面的應用主要有：“料商灰產”在進行賬號批量注冊、批量養號時，為了對抗服務提供商的風控規則，需要以不同的IP 進行申請和登錄；“薅羊毛黑產”需要大量不同城市的寬帶動態IP，以顯得更像真實家庭用戶；“撞庫黑產”需要大量不同IP，以便能夠開展大量用戶名和密碼登錄請求服務；“刷單灰產”在開展的刷單活動時，需要大量不同城市IP 登錄，產生大量的虛假交易，從而無端提升平臺或商鋪的排名。

（二）隱藏真實IP 類網絡違法犯罪

隱藏真實IP 方面的應用主要有：“黑客”在進行攻擊活動時，可以借用“動態IP”的大量VPS 來隱藏自己的真實IP?！八姟痹谶M行灌水時，需要國內不同城市IP，以隱藏其真實身份，特別是境外“水軍”。各種網絡詐騙、網絡賭博、涉槍涉爆、涉政涉恐謠言等違法犯罪人員會利用“動態IP”來隱藏其真實IP。

四、“動態IP”帶來的偵查困境

IP 是網絡行為追蹤的基本要素，而“動態IP”破壞了溯源規則，給偵查工作帶來了很大困擾，主要有以下幾個方面。

（一）前端機房管理不善，缺乏日志管理和審計系統

“動態IP”的前端機房對接電信或聯通等運營商，將大量的ADSL（非對稱數字用戶線路）線路接入租用的簡陋機房。ADSL 賬號接入數據一般高達幾千路，但物理光纖一般只有5～10 路，通過分光器多出3～5 倍線路數量，接入交換機，再接入服務器，最后通過軟路由ROS 來撥號聯網服務。這種機房一般不符合機房管理基本規范，如存在消防隱患，更大的問題是它們的服務器或虛擬主機的租用缺乏日志管理和審計系統。比如，一個VPS 可能頻繁租用給不同的用戶，但并沒有使用日志，一旦IP 溯源到某臺VPS 時，對應時間的用戶無法查詢，從而影響IP 溯源。

（二）IP 虛擬化資源經過多層違規代理，難以溯源

“動態IP”服務黑灰產通過對全國多地的動態IP 資源進行層層代理，并進行重新整合，最終形成全國各地區的IP 資源池，再提供給終端黑灰產用戶。當終端黑灰產用戶利用“動態IP”開展違法犯罪活動時，IP 溯源只能追蹤到前端的ADSL機房，以及對應的服務器或VPS。要追蹤真實使用者就得層層跟蹤代理，找出最終提供“動態IP”服務的提供商，結合日志信息才能達到溯源目標。然而，很多時候由于人力和財力原因，辦案單位都只能選擇放棄，因為這種代理往往跨多個省市，要花費巨大的人力財力進行追蹤，一般辦案單位難以承受。

（三）“動態IP”終端用戶通信加密，無法解析

“動態IP”終端用戶可以通過多種加密協議撥號，以便在多地區的IP 資源中來回切換。這些協議包括有PPTP（即點對點隧道協議）、L2TP（二層隧道協議）、SSTP（安全套接字隧道協議）、OVPN（開源VPN 協議）等[5]。其中以PPTP 最為常見，它是VPN 協議中最快的協議，無須安裝各種軟件插件，立足操作系統本身就可以滿足業務需求。這些協議是基于密鑰來加密的，而密鑰是通過多種認證方式來提供的，從而強化了密鑰被破解的難度，保證了傳輸流量的安全性。各類違法犯罪嫌疑人會利用“動態IP”服務的通信加密特點來對抗偵查工作。

五、“動態IP”的防控治理

“動態IP”服務為其他各類網絡黑灰產提供違規服務的同時，給公共網絡管理工作帶來了新的問題和挑戰，如何防控治理“動態IP”已經成為公安機關必須面對的難題。

（一）教育引導，提高運營商網絡接入管理義務意識

電信運營商提供網絡接入服務，按照《中華人民共和國網絡安全法》《計算機信息網絡國際聯網安全保護管理辦法》《中華人民共和國計算機信息系統安全保護條例》等[6]，電信運營商應該履行的網絡安全責任如下。

1.開展實名制工作?！吨腥A人民共和國網絡安全法》第二十四條規定：“網絡運營者為用戶辦理網絡接入……或者……在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息?！?/p>

2.依法記錄和留存相關網絡日志?！吨腥A人民共和國網絡安全法》第二十一條規定：“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改……采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月……?！?/p>

3.落實公安備案制度。根據《計算機信息網絡國際聯網安全保護管理辦法》（公安部令第33 號）第十二條：“互聯單位、接入單位、使用計算機信息網絡國際聯網的法人和其他組織（包括跨省、自治區、直轄市聯網的單位和所屬的分支機構），應當自網絡正式聯通之日起30 日內，到所在地的省、自治區、直轄市人民政府公安機關指定的受理機關辦理備案手續?！?/p>

4.有效監管寬帶賬號使用，不得進行轉借、轉讓。根據《計算機信息網絡國際聯網安全保護管理辦法》（公安部令第33 號）第十三條：“使用公用賬號的注冊者應當加強對公用賬號的管理，建立賬號使用登記制度。用戶賬號不得轉借、轉讓?！?/p>

（二）源頭治理，建立運營商網絡接入業務管理機制

電信運營商在綜合治理“動態IP”黑灰產業鏈的過程中扮演著極為重要的作用，需要建立防控治理機制，落實源頭治理理念，建立風險管理、預警與反饋的工作閉環，具體如下。

1.把好申請準入關?！皠討BIP”一般會利用簡陋機房接入幾千條的寬帶，針對這種異常業務，一方面，運營商必須要求接入單位要有相關的營業執照，并進行業務合規性審查；另一方面，對一次性申請大量寬帶線路的企業進行審查，從嚴把好“動態IP”預防的第一關，明確寬帶接入和核準標準。

2.落實寬帶用戶真實身份信息核驗制度。用戶真實身份信息核驗包括同一身份信息開通多條寬帶賬號，同一裝機地址開通多條寬帶賬號，寬帶違規解綁情況等，應當采取必要的手段，在發現“動態IP”的苗頭性、傾向性線索時，結合遠程身份認證等手段，及時開展用戶身份核驗。

3.通過大數據手段，建立監測預警機制。利用大數據技術，設置合理的一天之內IP 變化閾值，對認證日志數據進行數據建模，對認證日志數據進行監測預警；圍繞同一地址登記大量寬帶、同一證件號（身份證號碼及社會統一信用代碼）登記大量寬帶建立數據模型，及時發現各類違規線索，發現線索后提供給公安機關以進一步核實情況。這種監測手段非常簡單有效，也就是說一旦案件發生，要通過偵查手段去追溯通常是很困難的，但是事前的管理監測，很容易找到可能存在危害的場所，從而通過管理手段來消除這些隱患。因而，公安機關要轉變意識，要認識到管理手段的重要性，還要增強管理的數據意識。

4.結合信用黑名單制，探索治理新路徑。對曾經開展“動態IP”等電信增值業務而被行政或刑事處罰過的人員或公司，可以考慮建立辦理電信業務的信用黑名單，不得再為其辦理其他網絡增值業務，實現對個人與企業警示的作用。

（三）加大綜合處置力度，形成威懾力

“動態IP”服務黑灰產業鏈有電信運營商、租賃倒賣寬帶賬號人員、“動態IP”技術服務提供商、推廣人員以及下游違法犯罪嫌疑人等角色。對于企業或個人，相關行政執法機關可以依據實名制是否落實、網絡日志是否留存、網絡應用是否進行公安備案等三項網絡服務商基本責任開展執法檢查?？傮w來說，對違反相關規定的企業或者個人，行政管理機關可依據《中華人民共和國網絡安全法》第五十九條、第六十一條和《計算機信息網絡國際聯網安全保護管理辦法》第二十一條、第二十三條予以行政處罰，涉及刑事犯罪的依法追究其刑事責任。根據不同的違法犯罪行為，可能涉嫌諸如幫助信息網絡犯罪活動罪、非法經營罪，或者與下游犯罪形成各類共同犯罪[7]。

對于“動態IP”黑灰產業鏈中的企業或人員，行政執法部門可以按照分類處置的原則，嚴格依法依規予以處理。比如：對于電信運營商，可以重點從落實實名制的角度依法處置，拒不整改的運營商，可以按照“拒不履行信息網絡安全管理義務罪”予以打擊和處罰；對租賃倒賣寬帶賬號的企業或者個人，未取得經營許可卻提供增值電信服務或者超范圍經營的，則相關行為涉嫌非法經營罪；對于”動態IP“技術服務提供商，行政執法機關可以從電信增值業務的資格審查、網絡日志的依法留存情況等開展執法工作，確保其能全面落實網絡安全主體責任，拒不整改的，可以依法打擊查處。

總之，介于當前嚴峻的黑灰產態勢，應該從傳統的保守型司法觀念向擴張型司法觀念轉變，對主觀明知的認定以及為犯罪活動提供工具的認定要靈活，從而有效懲治黑灰產違法犯罪活動，遏制新型網絡犯罪的勢頭[8]。

（四）加強對“動態IP”全環節的研究

黑灰產上游為犯罪集團提供技術工具、收集個人信息，或引流獲客、廣告推廣；中游實施詐騙或開設賭場等；下游利用支付通道“洗白”資金，構建起完整黑灰產生態圈?！皠討BIP”服務黑灰產業鏈為犯罪集團提供IP 代理的上游產業，其業務的開展也需要大量的軟件硬件支撐，所以相關偵查人員需要熟悉其全環節的業務流程，不僅從事前的日志審計、流量分析等技術方法方面開展研究工作，尋找突破點，同時也要從事后的取證角度開展研究，以獲取更多的相關證據。

六、結語

網絡安全事關國家安全，事關經濟社會穩定運行，事關廣大人民群眾利益，必須予以高度重視?！皠討BIP”服務黑灰產業鏈作為違法犯罪活動的互聯網基礎設施，給公安機關的偵查工作帶來巨大的挑戰，所以公安執法機關、運營商以及網絡安全企業要形成合力，秉持網絡空間“共建、共治、共享”的理念，共同發力，從管理、研究和處置多角度同抓共舉，還網絡空間清朗。