近期FBI警告說(shuō),網(wǎng)絡(luò)犯罪分子使用住宅代理IP進(jìn)行大規(guī)模撞庫(kù)攻擊而攻擊源卻不被跟蹤、標(biāo)記的趨勢(shì)正在上升。
該警告是聯(lián)邦調(diào)查局的互聯(lián)網(wǎng)犯罪投訴中心(IC3)上作為私營(yíng)行業(yè)通知發(fā)布的主要是用來(lái)提高需要實(shí)施針對(duì)撞庫(kù)攻擊的防御的互聯(lián)網(wǎng)平臺(tái)管理員的意識(shí)。
一、撞庫(kù)攻擊
撞庫(kù)是一種攻擊類型,威脅行為者使用以前數(shù)據(jù)泄露中暴露的大量用戶名、密碼組合來(lái)嘗試訪問(wèn)其他在線平臺(tái)。由于大部分用戶通常會(huì)在不同的網(wǎng)站上使用相同的密碼,因此網(wǎng)絡(luò)犯罪分子有充分的機(jī)會(huì)獲取賬戶,而無(wú)需破解密碼或網(wǎng)絡(luò)釣魚。
FBI對(duì)于此次利用住宅代理IP的撞庫(kù)攻擊進(jìn)行了詳細(xì)的說(shuō)明“惡意攻擊者利用用戶泄露的賬號(hào)密碼可以訪問(wèn)多個(gè)行業(yè)的眾多賬戶和服務(wù),包括媒體公司、電商零售、醫(yī)療保健、外賣平臺(tái)等。然后以欺詐手段獲取商品、服務(wù)和訪問(wèn)其他在線資源,如金融賬戶的財(cái)產(chǎn)等”。那么網(wǎng)絡(luò)犯罪分子使用住宅代理IP進(jìn)行大規(guī)模撞庫(kù)攻擊為何不會(huì)被發(fā)現(xiàn)呢?
二、撞庫(kù)與代理IP
由于撞庫(kù)攻擊具有區(qū)別于常規(guī)登錄且不斷嘗試的特定特征,因此網(wǎng)站可以通過(guò)IP代理檢測(cè)軟件檢測(cè)出而已攻擊者的撞庫(kù)行為并阻止它們。
所以惡意攻擊者為了解決普通的IP代理檢測(cè),開始使用大量住宅代理IP。FBI表示這些威脅者如今大部分都在使用住宅代理IP,這樣就可以把真實(shí)的IP地址隱藏在普通家庭用戶相關(guān)的IP地址后面。為什么攻擊者會(huì)選擇使用住宅代理呢?首先我們要了解代理的性質(zhì)。
代理是代替常規(guī)Inte.NET服務(wù)提供商(ISP)工作的中間服務(wù)器。我們也可以理解為代理人是一個(gè)中介服務(wù)器,代替常規(guī)互聯(lián)網(wǎng)服務(wù)提供商(ISP)工作。
后者為您提供互聯(lián)網(wǎng)的同時(shí)還可以提供:
①一個(gè)用于連接互聯(lián)網(wǎng)的IP地址
②訪問(wèn)互聯(lián)網(wǎng)所通過(guò)的網(wǎng)絡(luò)
因此,代理給你一個(gè)新的IP地址和一個(gè)新的網(wǎng)絡(luò)連接,這將使你的在互聯(lián)網(wǎng)中匿名瀏覽。更準(zhǔn)確地說(shuō),代理給你一堆新的IP地址,可以一個(gè)接一個(gè)輪流使用它們。
不同的IP地址會(huì)分散你在互聯(lián)網(wǎng)上的行為,這樣就無(wú)法在同一個(gè)IP地址下被追蹤到。這意味著可以減少不必要的關(guān)注,因?yàn)槟阍诨ヂ?lián)網(wǎng)上的行為不能組合在一起,所以不能被視為太廣泛或其他意義上的異常行為。
通過(guò)代理,你的互聯(lián)網(wǎng)監(jiān)視可以最小化同時(shí)也不會(huì)有被阻止或者被封鎖的風(fēng)險(xiǎn)。此外,即使你代理使用的這些IP地址之一被阻止,它也不會(huì)影響你上網(wǎng),因?yàn)榇頃?huì)為你提供許多不同的IP地址。它們中的每一個(gè)都可以很容易地被另一個(gè)替換。
而且全球的任何區(qū)域限制也不會(huì)影響你的互聯(lián)網(wǎng)行為。如果你的IP地址包含有關(guān)使用該IP的不同地點(diǎn)的信息,那么您的真實(shí)位置將變得不可追溯,你將能夠訪問(wèn)所有受地理限制的內(nèi)容、商品、價(jià)格等。
三、什么是住宅代理IP及作用
如果代理是中間服務(wù)器,那它們?cè)趺醋兂勺≌琁P的?確實(shí)一般情況下IP地址歸ISP所有及分配,但是我們通常會(huì)把IP地址分為十幾類應(yīng)用場(chǎng)景方便使用,其中一部分IP地址是住宅屬性,也就是我們常說(shuō)的家庭寬帶用戶。
所謂住宅代理IP的特殊性源于使用的IP地址是由不同的ISP分配給不同住宅區(qū)的真實(shí)設(shè)備。換句話說(shuō),當(dāng)你使用住宅代理時(shí),其實(shí)你是通過(guò)使用不同家庭中不同設(shè)備的IP來(lái)掩蓋你的真實(shí)IP地址。
代理的主要思想是讓你看起來(lái)像一個(gè)眾多互聯(lián)網(wǎng)用戶的普通用戶。住宅代理IP則是讓你通過(guò)使用不同家庭寬帶的不同互聯(lián)網(wǎng)訪問(wèn)來(lái)執(zhí)行此任務(wù)。這就可以掩蓋你的的原始可識(shí)別的IP地址。
而且因?yàn)樽≌頁(yè)碛旋嫶蟮牟煌?IP 地址池,可以覆蓋大多數(shù)地理位置,可以在全世界使用來(lái)自不同設(shè)備的 IP 地址。
網(wǎng)絡(luò)犯罪分子還可以通過(guò)入侵調(diào)制解調(diào)器或其他物聯(lián)網(wǎng)等方式,在用戶不知情的情況下將家庭用戶的計(jì)算機(jī)轉(zhuǎn)換為代理,從而使這些住宅IP供網(wǎng)絡(luò)犯罪分子使用。而且住宅IP是隨機(jī)分配使用,溯源難度會(huì)更大。
住宅代理IP與他們巨大的IP數(shù)量和高水平的合法性允許機(jī)器人幾乎完全自由地運(yùn)作,他們的不同行動(dòng)將在不同的IP地址下完成。因此,他們將看起來(lái)像不同的互聯(lián)網(wǎng)用戶,彼此之間沒有任何聯(lián)系。所以,在網(wǎng)絡(luò)攻擊方面,住宅代理可以使攻擊者的IP地址看起來(lái)像是來(lái)自互聯(lián)網(wǎng)的普通家庭寬帶連接,而不是網(wǎng)絡(luò)攻擊。
住宅代理龐大IP地址池導(dǎo)致了防火墻等保護(hù)機(jī)制很難區(qū)分到底是可疑的攻擊者還是普通消費(fèi)者流量。而且這些住宅IP地址一般情況下不會(huì)出現(xiàn)在高風(fēng)險(xiǎn)IP阻止列表中或者安全軟件中。這也是攻擊者選擇住宅代理IP的原因,住宅代理IP地址池龐大,同時(shí)在代理IP的基礎(chǔ)上又偽裝了一層,無(wú)法識(shí)別,追溯難度較大,可以為攻擊者們掩蓋真實(shí)的IP地址,進(jìn)入網(wǎng)站也是暢通無(wú)阻。
