黑产研究——“秒拨IP挖掘机”制作
黑产的本质是利益,因利益而存,为利益而生。正是因为有了黑产的存在,才有了风控的诞生。风控和黑产的战斗,是一场资源与技术的对抗,黑产研究人员,是最深入敌方内部的前线特种部队,搜集情报,工具研究,手法复现,决定了黑产攻防研究者的一生宿命。
注册、登录、撞库、薅羊毛、刷量等等,在所有的黑产业务场景中,离不开的是IP,所以IP是必备的资源特征。天网风控系统会对IP进行打标签,来作为判断是“好人”还是“坏人”的一个特征标记。而黑产会通过变化IP的手法来绕过风控策略,让风控系统误判其为“好人”。这种变化IP的手法,叫做动态IP,而黑产使用动态IP的工具经常几秒钟切换一个新IP, “秒拨”IP,因此得名。
“魔高一尺,道高一丈”,黑产秒拨IP的出现,驱使我们有新的攻防研究成果去升级防御系统。黑产研究院的秒拨IP池搭建,逢时而生。
知识储备
在深入敌方内部阵地前,我们先来储备一些知识干粮。①共享型IP:基站、专用出口等;独占型IP:对于像家庭宽带IP、数据中心主机IP等②pppoe拨号:最传统的家庭宽带拨号连接。③PPTP/L2TP/SSTP:分别对应,“点对点隧道协议/第二层隧道协议(使用证书的隧道协议)/安全套接字隧道协议”,这三者都属于VPN协议。其中区别在于L2TP一般应用在工业,是一种链路层协议。PPTP和SSTP要求网络为IP网络,,而SSTP只是在PPTP上加了一层安全套接字,不扯这么多,我们要用的就是PPTP,仅此而已。④秒拨机:一台运行切换ip脚本的vps服务器。⑤全国混拨:可以切换到全国地区的IP资源⑥动态拨号:只能切换到单一地区的IP资源。⑦PPTP账号:从黑产手里购买到的拨号资源,采用PPTP类型的VPN进行切换获得取新IP。相关资料。
[*]威胁猎人介绍秒拨IP科普文:
https://zhuanlan.zhihu.com/p/68528854
[*]黑产动态拨号vps厂商:
圣高云:http://www.shenggaocloud.com/vps.asp?typeid=50032https://www.fhlm33.com/_upload/supplier/files/image(476).png
[*]黑产PPTP账号购买:
https://www.fhlm33.com/_upload/supplier/files/image(477).png
逻辑流程有两种可以部署的方案①PPTP拨号优势:a. 对于最终要上传数据到公司服务器较为方便;b. 机器性能较好缺点:a. 规模化需要动用公司电脑,占用空间面积;b. PPTP账号价格6元一天稍贵。
https://www.fhlm33.com/_upload/supplier/files/image(478).png
②秒拨机拨号优势:a. vps价格较低,特价仅为3-4元一天缺点:a. 机器内存512M,性能较差,容易宕机造成数据丢失;b. 数据返回内网较麻烦。
https://www.fhlm33.com/_upload/supplier/files/image(479).png
开始行动方案Ⅰ——PPTP账号秒拨①购买完PPTP账号后,初次使用,须要添加VPN连接https://www.fhlm33.com/_upload/supplier/files/image(480).png填写相关信息,最关键的一步,一定要选择VPN类型,不然后期会容易出现难以连接状态。https://www.fhlm33.com/_upload/supplier/files/image(481).png
②测试链接https://www.fhlm33.com/_upload/supplier/files/image(482).png③DOS命令实现VPN连接,并python化格式:“rasdial VPN名 用户名 密码“https://www.fhlm33.com/_upload/supplier/files/image(483).png
④请求可以返回IP地址的API接口,这里用的sohuhttp://pv.sohu.com/cityjson?ie=utf-8
https://www.fhlm33.com/_upload/supplier/files/image(484).png
⑤将IP数据保存写入本地(注意格式)https://www.fhlm33.com/_upload/supplier/files/image(485).png
⑥每天定时上传到服务器Ps:a. 上传流程:内网PC>>跳板机>>开发机>>hdfs>>灌库b. windows机器不自带scp工具,已打包好在压缩包内。自行安装c. 写好定时任务
方案Ⅱ——秒拨机
①购买完vps后,等待5分钟,使用mstsc远程连接桌面
② 测试pppoe宽带连接账户密码
③DOS命令实现宽带连接,并python化https://www.fhlm33.com/_upload/supplier/files/image(486).png④⑤和上述步骤一致
⑥ 因为API接口写入的数据保存在vps秒拨机上,所以需要从外网将数据传回来https://www.fhlm33.com/_upload/supplier/files/image(487).png解决思路:自主搭建了一台拥有文件上传的Flask轻量型服务器,
代码实现将上述行动用Python实现全流程自动化,我把它称之为:“秒拨IP挖掘机”自动化工具。https://www.fhlm33.com/_upload/supplier/files/image(488).png一共经历了数个版本,最终v3.5持续工作挖掘了一个月的秒拨IP,形成了每日增益3w IP入库量。代码已放入压缩包内。
处理细节1.流程涉及部门:黑产研究院、数据挖掘部、行为策略部、架构部2.最终数据统计:https://www.fhlm33.com/_upload/supplier/files/image(489).pnghttps://www.fhlm33.com/_upload/supplier/files/image(490).png
每日数据实时发送到自己和策略邮箱,前日数据统计发送自己和黑产研究院院长邮箱。
3.拦截量:策略部;灌库:数据挖掘部;数据分析:架构部
页:
[1]