中國(guó)用戶使用代理軟件的分析

1月21日下午，國(guó)內(nèi)大量網(wǎng)站域名解析出現(xiàn)故障而無(wú)法訪問(wèn)，其域名IP均被解析到了65.49.2.178這個(gè)陌生IP上，整個(gè)過(guò)程持續(xù)近1小時(shí)。據(jù)估計(jì)此次事件影響全國(guó)三分之二以上網(wǎng)站，包括新浪、京東、淘寶等知名網(wǎng)站都受影響，有人戲稱65.49.2.178必將載入中國(guó)互聯(lián)網(wǎng)史冊(cè)。

對(duì)于本次互聯(lián)網(wǎng)事故，某CDN加速服務(wù)對(duì)這個(gè)IP地址進(jìn)行了一番分析，發(fā)現(xiàn)了一些有趣的數(shù)據(jù)。

65.49.2.178是什么？

65.49.2.178的IP歸屬地顯示為美國(guó)Dynamic Internet Technology公司，而該公司的主要產(chǎn)品即為一款代理IP軟件。

在這家CDN服務(wù)日志中，共發(fā)現(xiàn)包括65.49.2.178在內(nèi)的19個(gè)同一C段IP地址，也就是說(shuō)，至少有19個(gè)同段IP在過(guò)去一個(gè)星期訪問(wèn)過(guò)該CDN節(jié)點(diǎn)網(wǎng)絡(luò)。

政府網(wǎng)站成攻擊重點(diǎn)

在19個(gè)IP中，發(fā)現(xiàn)其中有兩個(gè)IP 65.49.2.171、65.49.2.184在過(guò)去一周曾經(jīng)有過(guò)攻擊行為。而攻擊的主要目標(biāo)為軟件下載網(wǎng)站、政府網(wǎng)站，政府網(wǎng)站受攻擊比率高達(dá)34%。據(jù)分析，攻擊政府網(wǎng)站主要是使用已知應(yīng)用漏洞對(duì)網(wǎng)站進(jìn)行漏洞探測(cè)，嘗試竊取敏感信息。其次為XSS跨站攻擊，而XSS跨站攻擊的一個(gè)主要應(yīng)用方式即為網(wǎng)絡(luò)釣魚。

為什么這個(gè)代理服務(wù)會(huì)出現(xiàn)攻擊行為呢？仔細(xì)分析一下，發(fā)現(xiàn)這不奇怪，因?yàn)檫@個(gè)IP本身就是代理的IP，中國(guó)的黑客通過(guò)美國(guó)這個(gè)代理軟件進(jìn)行網(wǎng)絡(luò)攻擊，這是一個(gè)很常用的跳板技術(shù)，也就是說(shuō)，為了防止被對(duì)方網(wǎng)站發(fā)現(xiàn)，通過(guò)一個(gè)跳板來(lái)掃描各個(gè)網(wǎng)站的漏洞，這樣對(duì)方網(wǎng)站日志里留下的就是代理的IP地址，而不是黑客自己的真實(shí)IP，理論上講跳板越長(zhǎng)，攻擊者越不容易被發(fā)現(xiàn)，這樣，很多網(wǎng)站被黑客掃描了漏洞，卻不知道是誰(shuí)掃描的。

不過(guò)，不能因?yàn)楸还�擊的網(wǎng)站留下了這個(gè)IP，因此就說(shuō)這個(gè)代理軟件公司是搞網(wǎng)絡(luò)攻擊的。

65.49.2.178主要訪問(wèn)色情網(wǎng)站

如上文所述，該IP所在公司主要的產(chǎn)品即為一款代理IP軟件，經(jīng)分析確認(rèn)該IP確實(shí)為該代理軟件的服務(wù)IP之一。也就是說(shuō)使用該IP的訪問(wèn)均是通過(guò)代理訪問(wèn)，對(duì)日志中訪客訪問(wèn)請(qǐng)求來(lái)源Referer分析發(fā)現(xiàn)，該IP主要訪問(wèn)網(wǎng)站類型為色情網(wǎng)站，高達(dá)64%。

由于這個(gè)代理軟件的用戶絕大多數(shù)是中國(guó)用戶，因此通過(guò)這個(gè)數(shù)據(jù)可以分析出中國(guó)用戶主要使用代理軟件做什么，從這個(gè)數(shù)據(jù)上看，中國(guó)用戶使用代理翻墻軟件的主要需求就是看色情網(wǎng)站。另外還有中國(guó)黑客使用代理軟件當(dāng)做跳板，來(lái)掃描各個(gè)網(wǎng)站的漏洞。

轉(zhuǎn)載請(qǐng)保留原文地址: http://www.biwz.cn/show-156.html