“动态IP”的犯罪生态与防控治理对策

江汉祥 ，曾 鹏

（1.厦门市美亚柏科信息股份有限公司，福建 厦门 361008；2.福建省电子数据存取证重点实验室，福建 厦门 361008；3.厦门市公安局，福建 厦门 361008）

IP 协议是互联网的最基本协议，它能够让所有的计算机或智能设备通过网络进行通信与互联。IP 地址是IP 协议中约定的一种地址格式，为互联网上每一个网络和每一台设备分配的逻辑地址，从而屏蔽物理地址的差异。它是互联网空间最基础的身份标识，也是网络通信的最基本要素。随着互联网的蓬勃发展，接入终端的数量急剧增加，IP 地址的需求量越来越大，IP 资源变得十分紧张和短缺。网络犯罪及其相关黑灰产对IP 的需求与日俱增，掌握大量的IP 资源有利于违法犯罪嫌疑人隐藏真实IP，也可以用于对抗网络应用服务商的风控规则[1]8-12。

传统规避风控的方法是Socks5 代理和VPN（虚拟专用网络）代理。Socks5 代理主要是利用高性能服务器在全网进行扫描，获取代理服务器的IP 及端口，或者直接爬取其他代理网站的数据。Socks5 代理最大的弊端是代理IP 的有效性无法把控（服务器关闭、端口关闭、代理网速太慢造成掉线等），以及代理IP 数量相对有限。VPN 代理的IP 资源主要是服务器IP，虽然网络相对稳定，但存在成本高且IP 数量有限的弊端，也无法完全满足黑灰产的需求。

“动态IP”（俗称“秒拨IP”）服务就是在这种形势下应运而生的，它大致诞生于2014 年，兴起于2019 年，被广泛用于批量注册、批量养号、薅羊毛、刷单、撞库等短时间内需要大量IP 资源的场景[1]5-7。目前，黑灰产使用的代理IP 资源中，“动态IP”占75%以上，传统型代理IP 占25%左右[2]。“动态IP”严重扰乱了互联网管理秩序，给国家安全、政治安全和社会稳定带来严重风险隐患，给公安机关落地调查工作造成严重干扰。如何彻底铲除“动态IP”的滋生土壤，防控治理动态IP 犯罪产业链已经成为亟须解决的难题。

一、“动态IP”的原理、类型、外在特点及生态环节

（一）“动态IP”的原理

“动态IP”利用宽带拨号上网每次联网都会获取一个新IP 的原理，在接入服务器上创建大量VPS（虚拟专用服务器），并在VPS 上安装秒拨软件（如图1 所示）。为了能更换IP 而进行各种设置，如：秒级切换、断线重拨、清理COOKIES 缓存等，黑灰产通过获取全国各地大量宽带线路资源，利用虚拟化和云计算技术把各地的IP 资源整体打包成了云服务，并利用ROS（路由器操作系统，即软路由）对虚拟主机和宽带资源做统一调配和管理。通过开发专用客户端软件，或提供API（应用程序接口数据）接口服务，将获取的海量“动态IP”提供给下游用户使用。当把全国不同地区的IP资源整合并“自动切换”后，就可以实现某个虚拟身份短时间内在全国多地IP 切换。

（二）“动态IP”的类型

按照获取的IP 资源归属地不同，“动态IP”可以分为“秒拨”和“混拨”两种，这两种技术可分开或结合使用。

1.“秒拨”技术

直接提供“秒拨机”（如图2 所示的VPS 秒拨机）给下游用户使用。之所以称为“秒拨机”，是因为在VPS 上安装了秒拨软件，其主要功能是可以秒级进行断线重拨，从而获取新的IP 资源。现实中很少进行秒级切换，因为大多时候不能在秒级完成，秒拨机会在十秒级或分钟级断线重拨。租用秒拨机的用户会通过RDP（远程桌面协议）、VNC（虚拟网络控制台，即远程控制工具软件）或者SSH（安全外壳协议）连接，然后进行违法犯罪活动。秒拨机的接入线路是直接连接到当地运营商的BRAS（宽带接入服务器），拨号认证分配是运营商的账户认证，拨号出来的IP 地址是公网IPv4的地址，其IP 数量取决于运营商分配的IP 数量。

2.“混拨”技术

“混拨”就是黑灰产把多个地区的IP 资源通过层层代理，并通过网络云服务技术打通，从而实现在单台主机（即混拨机）上获得全国的IP 资源（如图3 所示）。为了实现混拨，服务提供商做了二次拨号认证，一般是用ROS 软路由系统，拨号后获取的IP 是一个内网IP 地址，端口无法对外开放，只能访问外网。其带宽速度是共享的，相对会慢一些。其IP 地址池，取决于加入动态资源的各地区运营商的IP 数量。

图3 “混拨”网络结构图

（三）“动态IP”的外在特点

“动态IP”被大量用于网络黑灰产中，直接绕开了政府监管及互联网行业通用的IP 风控策略，因而在网络层面表现出以下特点。

1.隐藏真实IP。这种特点导致网络行为的倒查机制失效，违法犯罪案件发生后通过IP 日志只能倒查到接入宽带账号，而无法倒查到真正使用该IP 的行为人[1]8-17。

2.频繁切换IP。其导致基于“同一IP”的安全风控策略彻底失效，该安全风控策略通过识别同一IP 所指向的单一设备的访问频率或登录频率来拒绝该类行为。而如果行为人使用的IP 发生了变化，相关策略就失效了。

3.桥接境外IP。有的动态IP 服务商会桥接境外多个国家的服务器、云主机等国际网络链路资源，用境外IP 访问非法网站（包括暗网）、发布非法信息、开展网络诈骗等违法犯罪行为。

（四）“动态IP”犯罪的生态环节

根据侦查打击实践，“动态IP”服务黑灰产生态链可以分为电信运营商、租赁倒卖宽带账号人员、“动态IP”技术服务提供商、推广人员以及下游违法犯罪嫌疑人五个环节（如图4 所示）。电信运营商主要包括移动、联通、电信、广电宽带、长城宽带等电信接入服务提供商。租赁倒卖宽带账号人员指的是通过电信运营商大量办理宽带账号，并对宽带账号资源进行租赁和倒卖的人员。“动态IP”技术服务提供商通过部署主机、服务器或者建设机房，对外提供“秒拨”或“混拨”VPS 以及“软路由”虚拟机。推广人员为通过各种途径进行宣传和推广的人员。下游违法犯罪嫌疑人，即终端用户是使用“动态IP”服务的各类网络黑灰产从业人员。

图4 “动态IP”生态链示意图

二、“动态IP”带来的危害

IP 地址是公安机关进行网络行为溯源的基本要素。“动态IP”服务的出现，破坏身份标识的唯一性，割裂网络行为追踪的关联性。动态IP 在正常网络通信的基础上“制造”另一层IP 网络，已成为黑灰产的“新基建”，直接或间接为网络违法犯罪行为提供帮助。“动态IP”服务实质上突破了计算机信息系统安全保护措施，破坏了网络风控规则，助长了违法犯罪行为，给网络空间的治理带来了危害。

（一）“动态IP”破坏了网络风控规则

大多数网络服务提供商为了公平性和真实性，会对用户的IP 进行风控。如网络投票中，风控规则很可能会限制同一IP 一天操作的次数。另外，许多网络服务提供商为了防止恶意注册、批量养号和批量刷单行为，也会对用户的IP 进行风控。然而，“动态IP”让上述风控规则基本失效，一是由于它所使用的IP 不是服务器IP，无法事先收集而进行风控；二是该类IP 是宽带拨号使用的IP，该类IP 可能此刻为黑灰产所用，下一刻则为普通用户所用，因而无法对它进行封禁。

（二）“动态IP”助长了违法犯罪行为

违法犯罪人员通过“动态IP”可以快速切换IP，绕过网络服务提供商风控规则中时间、地域、次数等限制，隐藏真实上网地址，直接破坏各类互联网应用的安全策略。它已经成为网络黑灰产（包括流量刷单、网络推广优化、广告群发、批量注册等）、网络诈骗、网络赌博、网络水军、网络谣言、黑客攻击等违法犯罪活动的重要基础资源。

（三）“动态IP”导致网络安全管理承压

“动态IP”服务经营者很可能违反行政管理相关规定，甚至涉及刑事案件，如帮助信息网络犯罪活动罪、非法经营罪及拒不履行信息网络安全管理义务罪[3]。“动态IP”相关的犯罪行为还需要具体问题具体分析，如动态IP 经营者如果有合规的增值电信经营证照和手续，则非法经营罪可能难以成立；又如拒不履行信息网络安全管理义务罪需要相应的前提条件，但该罪目前在司法案件中相对缺乏案例参考[4]。这些因素导致对这类案件的打击相对困难，往往是高投入低产出状态，使相关部门依法管网治网面临一定的压力。

三、“动态IP”在新型网络犯罪中的应用

“动态IP”在网络黑灰产违法犯罪中有广泛的应用，主要体现在变换IP、隐藏真实IP 两个方面上。

（一）变换IP 类网络违法犯罪

变换IP 方面的应用主要有：“料商灰产”在进行账号批量注册、批量养号时，为了对抗服务提供商的风控规则，需要以不同的IP 进行申请和登录；“薅羊毛黑产”需要大量不同城市的宽带动态IP，以显得更像真实家庭用户；“撞库黑产”需要大量不同IP，以便能够开展大量用户名和密码登录请求服务；“刷单灰产”在开展的刷单活动时，需要大量不同城市IP 登录，产生大量的虚假交易，从而无端提升平台或商铺的排名。

（二）隐藏真实IP 类网络违法犯罪

隐藏真实IP 方面的应用主要有：“黑客”在进行攻击活动时，可以借用“动态IP”的大量VPS 来隐藏自己的真实IP。“水军”在进行灌水时，需要国内不同城市IP，以隐藏其真实身份，特别是境外“水军”。各种网络诈骗、网络赌博、涉枪涉爆、涉政涉恐谣言等违法犯罪人员会利用“动态IP”来隐藏其真实IP。

四、“动态IP”带来的侦查困境

IP 是网络行为追踪的基本要素，而“动态IP”破坏了溯源规则，给侦查工作带来了很大困扰，主要有以下几个方面。

（一）前端机房管理不善，缺乏日志管理和审计系统

“动态IP”的前端机房对接电信或联通等运营商，将大量的ADSL（非对称数字用户线路）线路接入租用的简陋机房。ADSL 账号接入数据一般高达几千路，但物理光纤一般只有5～10 路，通过分光器多出3～5 倍线路数量，接入交换机，再接入服务器，最后通过软路由ROS 来拨号联网服务。这种机房一般不符合机房管理基本规范，如存在消防隐患，更大的问题是它们的服务器或虚拟主机的租用缺乏日志管理和审计系统。比如，一个VPS 可能频繁租用给不同的用户，但并没有使用日志，一旦IP 溯源到某台VPS 时，对应时间的用户无法查询，从而影响IP 溯源。

（二）IP 虚拟化资源经过多层违规代理，难以溯源

“动态IP”服务黑灰产通过对全国多地的动态IP 资源进行层层代理，并进行重新整合，最终形成全国各地区的IP 资源池，再提供给终端黑灰产用户。当终端黑灰产用户利用“动态IP”开展违法犯罪活动时，IP 溯源只能追踪到前端的ADSL机房，以及对应的服务器或VPS。要追踪真实使用者就得层层跟踪代理，找出最终提供“动态IP”服务的提供商，结合日志信息才能达到溯源目标。然而，很多时候由于人力和财力原因，办案单位都只能选择放弃，因为这种代理往往跨多个省市，要花费巨大的人力财力进行追踪，一般办案单位难以承受。

（三）“动态IP”终端用户通信加密，无法解析

“动态IP”终端用户可以通过多种加密协议拨号，以便在多地区的IP 资源中来回切换。这些协议包括有PPTP（即点对点隧道协议）、L2TP（二层隧道协议）、SSTP（安全套接字隧道协议）、OVPN（开源VPN 协议）等[5]。其中以PPTP 最为常见，它是VPN 协议中最快的协议，无须安装各种软件插件，立足操作系统本身就可以满足业务需求。这些协议是基于密钥来加密的，而密钥是通过多种认证方式来提供的，从而强化了密钥被破解的难度，保证了传输流量的安全性。各类违法犯罪嫌疑人会利用“动态IP”服务的通信加密特点来对抗侦查工作。

五、“动态IP”的防控治理

“动态IP”服务为其他各类网络黑灰产提供违规服务的同时，给公共网络管理工作带来了新的问题和挑战，如何防控治理“动态IP”已经成为公安机关必须面对的难题。

（一）教育引导，提高运营商网络接入管理义务意识

电信运营商提供网络接入服务，按照《中华人民共和国网络安全法》《计算机信息网络国际联网安全保护管理办法》《中华人民共和国计算机信息系统安全保护条例》等[6]，电信运营商应该履行的网络安全责任如下。

1.开展实名制工作。《中华人民共和国网络安全法》第二十四条规定：“网络运营者为用户办理网络接入……或者……在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。”

2.依法记录和留存相关网络日志。《中华人民共和国网络安全法》第二十一条规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改……采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月……。”

3.落实公安备案制度。根据《计算机信息网络国际联网安全保护管理办法》（公安部令第33 号）第十二条：“互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织（包括跨省、自治区、直辖市联网的单位和所属的分支机构），应当自网络正式联通之日起30 日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。”

4.有效监管宽带账号使用，不得进行转借、转让。根据《计算机信息网络国际联网安全保护管理办法》（公安部令第33 号）第十三条：“使用公用账号的注册者应当加强对公用账号的管理，建立账号使用登记制度。用户账号不得转借、转让。”

（二）源头治理，建立运营商网络接入业务管理机制

电信运营商在综合治理“动态IP”黑灰产业链的过程中扮演着极为重要的作用，需要建立防控治理机制，落实源头治理理念，建立风险管理、预警与反馈的工作闭环，具体如下。

1.把好申请准入关。“动态IP”一般会利用简陋机房接入几千条的宽带，针对这种异常业务，一方面，运营商必须要求接入单位要有相关的营业执照，并进行业务合规性审查；另一方面，对一次性申请大量宽带线路的企业进行审查，从严把好“动态IP”预防的第一关，明确宽带接入和核准标准。

2.落实宽带用户真实身份信息核验制度。用户真实身份信息核验包括同一身份信息开通多条宽带账号，同一装机地址开通多条宽带账号，宽带违规解绑情况等，应当采取必要的手段，在发现“动态IP”的苗头性、倾向性线索时，结合远程身份认证等手段，及时开展用户身份核验。

3.通过大数据手段，建立监测预警机制。利用大数据技术，设置合理的一天之内IP 变化阈值，对认证日志数据进行数据建模，对认证日志数据进行监测预警；围绕同一地址登记大量宽带、同一证件号（身份证号码及社会统一信用代码）登记大量宽带建立数据模型，及时发现各类违规线索，发现线索后提供给公安机关以进一步核实情况。这种监测手段非常简单有效，也就是说一旦案件发生，要通过侦查手段去追溯通常是很困难的，但是事前的管理监测，很容易找到可能存在危害的场所，从而通过管理手段来消除这些隐患。因而，公安机关要转变意识，要认识到管理手段的重要性，还要增强管理的数据意识。

4.结合信用黑名单制，探索治理新路径。对曾经开展“动态IP”等电信增值业务而被行政或刑事处罚过的人员或公司，可以考虑建立办理电信业务的信用黑名单，不得再为其办理其他网络增值业务，实现对个人与企业警示的作用。

（三）加大综合处置力度，形成威慑力

“动态IP”服务黑灰产业链有电信运营商、租赁倒卖宽带账号人员、“动态IP”技术服务提供商、推广人员以及下游违法犯罪嫌疑人等角色。对于企业或个人，相关行政执法机关可以依据实名制是否落实、网络日志是否留存、网络应用是否进行公安备案等三项网络服务商基本责任开展执法检查。总体来说，对违反相关规定的企业或者个人，行政管理机关可依据《中华人民共和国网络安全法》第五十九条、第六十一条和《计算机信息网络国际联网安全保护管理办法》第二十一条、第二十三条予以行政处罚，涉及刑事犯罪的依法追究其刑事责任。根据不同的违法犯罪行为，可能涉嫌诸如帮助信息网络犯罪活动罪、非法经营罪，或者与下游犯罪形成各类共同犯罪[7]。

对于“动态IP”黑灰产业链中的企业或人员，行政执法部门可以按照分类处置的原则，严格依法依规予以处理。比如：对于电信运营商，可以重点从落实实名制的角度依法处置，拒不整改的运营商，可以按照“拒不履行信息网络安全管理义务罪”予以打击和处罚；对租赁倒卖宽带账号的企业或者个人，未取得经营许可却提供增值电信服务或者超范围经营的，则相关行为涉嫌非法经营罪；对于”动态IP“技术服务提供商，行政执法机关可以从电信增值业务的资格审查、网络日志的依法留存情况等开展执法工作，确保其能全面落实网络安全主体责任，拒不整改的，可以依法打击查处。

总之，介于当前严峻的黑灰产态势，应该从传统的保守型司法观念向扩张型司法观念转变，对主观明知的认定以及为犯罪活动提供工具的认定要灵活，从而有效惩治黑灰产违法犯罪活动，遏制新型网络犯罪的势头[8]。

（四）加强对“动态IP”全环节的研究

黑灰产上游为犯罪集团提供技术工具、收集个人信息，或引流获客、广告推广；中游实施诈骗或开设赌场等；下游利用支付通道“洗白”资金，构建起完整黑灰产生态圈。“动态IP”服务黑灰产业链为犯罪集团提供IP 代理的上游产业，其业务的开展也需要大量的软件硬件支撑，所以相关侦查人员需要熟悉其全环节的业务流程，不仅从事前的日志审计、流量分析等技术方法方面开展研究工作，寻找突破点，同时也要从事后的取证角度开展研究，以获取更多的相关证据。

六、结语

网络安全事关国家安全，事关经济社会稳定运行，事关广大人民群众利益，必须予以高度重视。“动态IP”服务黑灰产业链作为违法犯罪活动的互联网基础设施，给公安机关的侦查工作带来巨大的挑战，所以公安执法机关、运营商以及网络安全企业要形成合力，秉持网络空间“共建、共治、共享”的理念，共同发力，从管理、研究和处置多角度同抓共举，还网络空间清朗。