【安全资讯】住宅代理流量规避IP信誉检查，78%恶意会话未被标记

概要：

网络安全防御体系正面临严峻挑战。GreyNoise的最新研究揭示，攻击者利用住宅代理网络发起的恶意流量，有高达78%的会话能够成功规避基于IP信誉的检测系统。这一现象动摇了“通过流量来源区分攻击者与合法用户”这一网络防御的核心假设，凸显了传统信誉机制在面对高度动态、短寿命代理IP时的局限性。

主要内容：

GreyNoise在三个月内分析了针对网络边缘的40亿次恶意会话数据，发现其中约39%源自家庭网络，即住宅代理。关键在于，这些代理IP的生命周期极短，约89.7%活跃时间不足一个月，且攻击者会系统性地轮换使用，导致防御系统无法及时将其列入信誉黑名单。

这些住宅代理主要来自两大互不重叠的生态系统：IoT僵尸网络和受感染的计算机。后者通常通过免费VPN、广告拦截器等应用的SDK，在用户不知情下将其设备纳入带宽售卖计划。代理IP来源高度分散，涉及全球683家互联网服务提供商，进一步增加了识别和封堵难度。

从攻击行为看，这些代理主要用于网络扫描和侦察活动，仅0.1%涉及实际漏洞利用。少量案例（1.3%）针对企业VPN登录页面，或尝试路径遍历和凭证填充。研究以全球大型住宅代理网络IPIDEA为例，其被Google威胁情报小组打击后代理池虽缩减40%，但数据中心流量随即上升，显示出该生态系统的韧性和快速恢复能力。

研究人员建议，防御策略需从依赖IP信誉转向关注行为分析，例如检测来自轮换住宅IP的序列化探测、阻止来自ISP空间的非法协议（如SMB），以及追踪在IP轮换中保持不变的设备指纹。