每周业务情报|黑产新工具之IP魔盒：IP攻防新挑战

众所周知，IP资源是黑产进行规模化攻击的核心资源，在永安在线的过往报告中大量讨论了黑产为了绕过IP检测，使用代理IP、秒拨IP等技术进行攻击。

根据永安在线长期的研究，得知这类IP本质上还是家庭宽带、数据中心等IP，通过一定的技术手段，在一定时间内都可以将IP和设备进行关联标记。

但随着攻防对抗的升级，黑产将视线转移到更为隐蔽的基站IP上。 近日，永安在线发现一款可让PC设备使用基站IP的工具，黑产称它为“IP魔盒”。

IP魔盒一款比手掌还小的硬件盒子，USB接入后，可以使普通PC拥有基站IP。

它主板设计简单，使用方便，不仅只兼容国内电信，移动，联通三网通的sim卡，也支持海外sim卡。它通过自研芯片模块组的USB接口与个人主机连接，让PC可以实现4G上网。接着下载模拟开关飞行模式的脚本和安装相应驱动后，即可进行切换IP。

IP魔盒设备

IP魔盒芯片

PC上的IP魔盒控制端

而IP魔盒配套使用的物联网卡，更是价格便宜，使用方便。

我们总结了 IP魔盒拥有 以下特征：

1) 关联用户多：一个基站IP背后会关联着大量的用户群体，如果对IP进行拦截，极易误杀正常用户，影响用户体验，导致用户流失。

2) 切换IP简单：仅需要通过打开关闭飞行模式，即可实现IP切换。

3) 成本较低：据我们统计一般全国物联网卡，开卡价格为4-6元，10G流量价格仅需要15元。

4) 海量IP池：经测试一张全国物联网卡可以获取至少17个段的IP，且分布在不同的地区。

因为IP魔盒获取IP的特殊方式，它在IP量、攻击效率、价格成本、检测方式、部署成本各个方面都大大优于秒拨IP和代理IP，下表为对比结果：

——关于永安在线——

聚焦业务情报 赋能业务安全