萬聖節，雙十一。吃個雞還要看「羊毛黨」臉色？

雙十一大家防範羊毛黨都有啥高招？

謝邀，之前寫的一篇文章中，有說到怎麼對付「網路黑產」的，原文鏈接：IP問問反「黑」記： IP問問與「網路黑產」不可不說的事！

IP問問是一款高精準IP地址定位產品。能夠為用戶提供最優質的服務外，還提供強大的技術支持，解決用戶在使用過程中遇到的各類問題。

最近，埃文就收到了來自一位新人站長的求助。新人站長在購買了IP問問的產品後，在自己的網站接入了IP問問API介面，以便核驗用戶信息，保證網站安全。結果發現，作為一個日PV量不足10萬的新網站，一天之內，竟然短時間內消耗了100萬次的IP問問API介面調用量。

經過埃文攻城獅們的分析，發現新人站長介面調用日誌多次出現同一IP反覆查詢的情況。這些IP地址在短時間內訪問頻率極高，瞬間消耗了查詢流量次數，而這一情況在前幾日的數據分析中也能夠體現。我們將結果反饋給了新人站長，並協助其分析異常情況、解決問題。

黑色產業常見的危害網路安全的攻擊行為如DDOS、撞庫等手段。以及常見的網路欺詐行為有「羊毛黨」，「黃牛黨」、「爬蟲」、「盜號」、「刷單」、「電商欺詐」等。對互聯網交易支付、P2P交易平台、互聯網廣告、票務平台、貸款徵信等領域造成危害。

作為常用的反欺詐/攻擊手段之一，以上幾種行為均可以從IP地址的維度發現蛛絲馬跡。如通過核驗地址與IP位置的一致性；訪客的IP離散度分析；高風險IP來源地；IP場景核驗等手段，封禁有風險和異常行為的IP或IP段。

下文我們將結合黑產從業者常用的幾種IP類型介紹欺詐/攻擊行為，並將介紹如何藉助IP定位結合和場景信息，綜合用戶行為進行防範。

問題一：「爬蟲」刷單

常見的低成本機器爬蟲會租用IDC提供的IP地址，保護自己的真實IP地址。這種方式由於其成本較低，對於批量網路欺詐/攻擊作業十分便利。所以黑產通常會在爬取數據、刷單、惡意點擊互聯網廣告、批量惡意註冊、DDOS、撞庫等惡意攻擊獲取用戶密碼等業務開展中使用。

通過使用IP sence，可以快速判斷出互聯網訪客的IP是否屬於機器人。IP場景目前提供14種場景劃分，核驗IP場景屬於機器人流量的情況，過濾機器人流量。可以在欺詐/攻擊行為的開展之前進行事前主動防禦，提升系統服務的安全穩定性。

以這位新站長的情況為例，工程師調用了即將上線的IP Scene分析了這部分異常訪問的IP。發現這些異常IP地址的應用場景主要為數據中心類型的IP地址。屬於網路爬蟲的常用場景。受到這種類型的IP地址攻擊時，根據IP Scene中是否是數據中心類型的IP地址來判斷，在短時間內快速阻斷即可。

問題二：「羊毛黨」，「黃牛黨」的手段——代理IP、VPN

使用IP場景快速過濾掉機器人流量後，大家還會面臨掛代理或使用VPN類型IP的欺詐/攻擊方式。在這個階段，大家可以通過同一ID下的IP異常行為進行判斷。企業還可通過VPN列表進行不同程度的防範。但VPN列表的數據信息如果更新不及時，也可能會漏掉一部分VPN類型的IP（可根據問題一的解決方法，進行IP地址應用場景識別）。

通過IP位置是更經濟的判斷方法，常見為同一訪客的IP在短時間內出現在多個城市，IP的位置呈現高度的離散狀態。從邏輯常識判斷該訪客的IP行為不合理，從而推斷出訪客可能使用了代理或VPN類型的IP，增加使用該IP訪客的可疑程度。進而可通過多重校驗技術驗證訪客的真人身份，或封禁該IP或IP段的方式達到對異常IP的攻擊限制。

以這位新人站長為例，其網站「黑產」訪客的IP地址並未出現在常見的VPN/爬蟲黑名單中。所以在這個時候，判斷該IP地址風險程度應當參考問題一中反「爬蟲」的方法。直接通過IP地址的位置離散程度來分析，或通過IP地址的應用場景來確認其

問題三：黑產高手的新工具——ADSL動態撥號

更高級別的黑產從業者會選用ADSL動態撥號的技術開展欺詐/攻擊作業。這種類型的IP與常規住宅用戶使用的IP地址類型無異，除根據IP的異常行為外，不好直接判斷。如果簡單的封禁該IP或IP段來阻斷異常行為，黑產從業者可以通過重啟ADSL來更換IP地址。如果該IP下有真人用戶，則會影響其正常使用，不易通過常規反欺詐/攻擊防範手段簡單處理。

僅通過封禁單IP和IP段是無法完全防止黑產從業者開展業務的。因為運營商在一個區域內分布的IP地址並不一定是同一IP段的IP地址。通過IP問問可以將黑產從業者的IP地址定位在某一區域內，即使是不同IP段的IP地址，也可以通過位置的相似性進行判斷有作弊嫌疑的IP地址，進而配合多重驗證技術或增加該區域IP地址或設備的風險程度，達到減少無效流量的目的。

高級黑產從業者會使用同一城市／省份的代理IP，市場中城市級IP地址定位產品無法通過IP位置判斷此類黑產從業者使用IP地址的離散程度。而IP問問可以達到高精準定位，即使在同一城市中出現高離散度的IP地址也可以判斷該IP下是可疑黑產從業者。

以這位新人站長為例，其網站的異常訪客中，有接近40%的流量是屬於住宅用戶類型的IP地址。根據異常IP位置離散度分析，發現異常用戶的IP位置正在以極高的頻率在同一城市內移動，而這並不符合邏輯。

問題四：移動網路IP地址的「影分身」——別誤殺好人

成本更高的網路欺詐/攻擊方式會使用移動網路（3G/4G）類型的IP。黑產從業者為了無限接近真人的行為，也會不斷增加他們開展欺詐/攻擊作業的成本。移動網路類型的IP帶寬較小，同時該類型IP背後覆蓋人群較多。不易輕易判斷欺詐/攻擊行為，但同時，對於黑產從業者來講減少其頻繁欺詐的業務量，在這種場景下需要增加驗證手段。不斷增加的欺詐/攻擊成本會使黑產業務本身變得不經濟，缺乏高利潤的刺激下，自然會減少網路欺詐/攻擊行為的產生。同時，使用IP問問可以配合公安部門調查黑產從業者的真實IP位置，儘快挽回欺詐造成的損失。同時，使用IP場景判斷移動網路（3G/4G）類型的IP地址，也可以減少真實訪客的誤殺率。

以新人站長為例，被認為訪問異常的IP地址約有20%是屬於移動網路類型的IP地址。這種類型的IP地址下同時使用的人數能夠上萬，根據不同運營商之間的布網策略不同，這種類型下的IP地址的使用者能夠全市、全省乃至全國分布，短時間內會有訪問者存在。如果直接屏蔽重複出現的IP地址，會造成大範圍的正常用戶誤殺。

問題五：偽造地理位置的漏洞

黑產從業者在開展業務時，會通過以上多種不同類型的IP類型來偽造身份。更高端的黑產從業者還會偽造訪客的GPS位置信息，如偽造成北京、上海、廣州等大城市的幾何中心經緯度，或偽造成原始經緯度。

在開展互聯網徵信業務時，可以通過分析IP、GPS、用戶註冊填寫的常用地址等位置信息進行位置核驗。如果其提供的IP位置和GPS位置、用戶註冊位置等信息不符，則該用戶的可疑度提升。互聯網公司可以對位置校驗不符的訪客增加驗證手段，辨別該用戶的真人程度。

以新人站長為例，通過與新人站長的配合，我們共同分析了其某個異常用戶的GPS位置信息與IP位置信息的相關性，下圖是其IP地址的位置點。而這個異常用戶的GPS位置基本上都在北京、上海的城市中心。與該用戶所用的IP位置信息嚴重不符，風險度較高。

結語

所謂魔高一尺道高一丈，再狡猾的狐狸也是逃不出獵人的手心的，埃文一直關注網路空間與地理位置映射系統的開發，今天分享的是應用在反作弊、反欺詐的一些常見的方式。經過改版升級的埃文商城將會以全新的面目來為用戶提供更為優質的服務，請大家盡情期待！

現在擼羊毛的賊多的，但是有些很專業的確實厲害。

像我們這種不會擼羊毛的怎麼辦呢？

只能依靠偉大的互聯網了。幸好它幫了我！

===================================================

擼擼羊毛的最全大集