近期FBI警告说,网络犯罪分子使用住宅代理IP进行大规模撞库攻击而攻击源却不被跟踪、标记的趋势正在上升。
该警告是联邦调查局的互联网犯罪投诉中心(IC3)上作为私营行业通知发布的主要是用来提高需要实施针对撞库攻击的防御的互联网平台管理员的意识。
一、撞库攻击 撞库是一种攻击类型,威胁行为者使用以前数据泄露中暴露的大量用户名、密码组合来尝试访问其他在线平台。由于大部分用户通常会在不同的网站上使用相同的密码,因此网络犯罪分子有充分的机会获取账户,而无需破解密码或网络钓鱼。
FBI对于此次利用住宅代理IP的撞库攻击进行了详细的说明“恶意攻击者利用用户泄露的账号密码可以访问多个行业的众多账户和服务,包括媒体公司、电商零售、医疗保健、外卖平台等。然后以欺诈手段获取商品、服务和访问其他在线资源,如金融账户的财产等”。那么网络犯罪分子使用住宅代理IP进行大规模撞库攻击为何不会被发现呢?
二、撞库与代理IP 由于撞库攻击具有区别于常规登录且不断尝试的特定特征,因此网站可以通过IP代理检测软件检测出而已攻击者的撞库行为并阻止它们。
所以恶意攻击者为了解决普通的IP代理检测,开始使用大量住宅代理IP。FBI表示这些威胁者如今大部分都在使用住宅代理IP,这样就可以把真实的IP地址隐藏在普通家庭用户相关的IP地址后面。为什么攻击者会选择使用住宅代理呢?首先我们要了解代理的性质。
代理是代替常规Internet服务提供商(ISP)工作的中间服务器。我们也可以理解为代理人是一个中介服务器,代替常规互联网服务提供商(ISP)工作。
后者为您提供互联网的同时还可以提供: ① 一个用于连接互联网的IP地址 ② 访问互联网所通过的网络
因此,代理给你一个新的IP地址和一个新的网络连接,这将使你的在互联网中匿名浏览。更准确地说,代理给你一堆新的IP地址,可以一个接一个轮流使用它们。
不同的IP地址会分散你在互联网上的行为,这样就无法在同一个IP地址下被追踪到。这意味着可以减少不必要的关注,因为你在互联网上的行为不能组合在一起,所以不能被视为太广泛或其他意义上的异常行为。
通过代理,你的互联网监视可以最小化同时也不会有被阻止或者被封锁的风险。此外,即使你代理使用的这些IP地址之一被阻止,它也不会影响你上网,因为代理会为你提供许多不同的IP地址。它们中的每一个都可以很容易地被另一个替换。
而且全球的任何区域限制也不会影响你的互联网行为。如果你的IP地址包含有关使用该IP的不同地点的信息,那么您的真实位置将变得不可追溯,你将能够访问所有受地理限制的内容、商品、价格等。
三、什么是住宅代理IP及作用 如果代理是中间服务器,那它们怎么变成住宅IP的?确实一般情况下IP地址归ISP所有及分配,但是我们通常会把IP地址分为十几类应用场景方便使用,其中一部分IP地址是住宅属性,也就是我们常说的家庭宽带用户。
所谓住宅代理IP的特殊性源于使用的IP地址是由不同的ISP分配给不同住宅区的真实设备。换句话说,当你使用住宅代理时,其实你是通过使用不同家庭中不同设备的IP来掩盖你的真实IP地址。
代理的主要思想是让你看起来像一个众多互联网用户的普通用户。住宅代理IP则是让你通过使用不同家庭宽带的不同互联网访问来执行此任务。这就可以掩盖你的的原始可识别的IP地址。
而且因为住宅代理拥有庞大的不同 IP 地址池,可以覆盖大多数地理位置,可以在全世界使用来自不同设备的 IP 地址。
网络犯罪分子还可以通过入侵调制解调器或其他物联网等方式,在用户不知情的情况下将家庭用户的计算机转换为代理,从而使这些住宅IP供网络犯罪分子使用。而且住宅IP是随机分配使用,溯源难度会更大。
住宅代理IP与他们巨大的IP数量和高水平的合法性允许机器人几乎完全自由地运作,他们的不同行动将在不同的IP地址下完成。因此,他们将看起来像不同的互联网用户,彼此之间没有任何联系。所以,在网络攻击方面,住宅代理可以使攻击者的IP地址看起来像是来自互联网的普通家庭宽带连接,而不是网络攻击。
住宅代理庞大IP地址池导致了防火墙等保护机制很难区分到底是可疑的攻击者还是普通消费者流量。而且这些住宅IP地址一般情况下不会出现在高风险IP阻止列表中或者安全软件中。这也是攻击者选择住宅代理IP的原因,住宅代理IP地址池庞大,同时在代理IP的基础上又伪装了一层,无法识别,追溯难度较大,可以为攻击者们掩盖真实的IP地址,进入网站也是畅通无阻。