荷兰当局拆除关联1700多万台设备的僵尸网络

荷兰关闭与住宅代理相关的大型僵尸网络

荷兰当局表示，他们已经拆除了一个由1700多万台设备组成、并由200台服务器管理的僵尸网络，使其成为今年报道中最引人注目的基础设施清除行动之一。此次行动由荷兰警方、国家网络安全中心以及一家托管服务商共同参与；在调查人员认定该网络被用于犯罪目的后，托管服务商将其下线。

仅从规模来看，这一行动就足够引人注目。如此规模的僵尸网络可以为网络犯罪提供强大基础，无论是用于匿名流量转发、拒绝服务攻击、钓鱼支持，还是大规模滥用在线服务。在本案中，报道将该网络与住宅代理活动联系起来，这一领域可能模糊表面上普通的消费者流量与恶意操作之间的界限。

为什么住宅代理滥用如此难以应对

住宅代理服务会通过第三方设备转发互联网流量，使流量看起来像是来自普通家庭或移动连接。与数据中心基础设施相比，这使检测更困难，因为这些流量看起来更像普通用户行为，而不是明显的自动化活动。

当局和安全研究人员多年来一直警告，住宅代理既可用于合法用途，也可被滥用。更令人担忧的情况是，设备是在未经用户充分同意的情况下被纳入，或通过入侵被控制，从而形成一组端点，可用看似可信的IP地址掩盖网络犯罪。

这似乎也是荷兰案件中令人担忧的一部分。荷兰国家网络安全中心曾单独警告，住宅代理会让缓解工作困难得多，因为攻击可以通过看起来像本地流量的模式发起，而且很难与正常使用区分开来。

这次清除是如何展开的

根据提供的源文本，这次行动始于一名安全研究人员向当局报告了该网络。警方随后在一家托管服务商处扣押了僵尸网络服务器进行调查，而该服务商则将僵尸网络下线。这一过程凸显出现代网络执法越来越依赖独立研究人员、国家机构和基础设施公司的合作。

托管基础设施位于荷兰，这给了当地当局一个具体的操作抓手。在许多全球僵尸网络案件中，执法部门可能了解威胁，却没有对命令基础设施的管辖权。在这里，至少网络关键控制层的一部分足够可及，因此可以被直接干扰。

与更广泛代理生态的关联

源材料中引用的报道将该僵尸网络与ASOCKS联系起来，这是一家总部位于俄罗斯、以住宅代理服务闻名的公司，但Ars Technica指出，它无法独立证实这一关联。这一区分很重要。该操作关联可能是合理的，也与先前的安全研究一致，但在报道中仍被表述为一种转述的关联，而非独立验证的事实。

更清楚的是更大的模式。2024年，安全公司Human将名为Proxylib的僵尸网络与同一代理网络联系起来，并表示Google Play上的移动应用在未经用户许可的情况下纳入了多达19万台设备。这一历史表明，代理基础设施可能从大规模设备池中汲取能力，而这些设备的所有者未必真正了解自己的系统被用来做什么。

为什么这件事现在重要

除了惊人的数字之外，这次清除还提醒人们，网络犯罪基础设施已经深深嵌入日常连接之中。一个跨越数百万设备的僵尸网络，早已不只是一些不明数据中心里的受感染服务器问题。它可能涉及消费者手机、家庭连接以及表面看起来很正常的软件生态。

对防御者来说，这意味着监测必须考虑那些看起来可信的流量。对应用商店和软件平台来说，这强调了审查可能悄悄征用设备参与代理或僵尸网络活动的应用的重要性。对政策制定者来说，这说明住宅代理滥用为何正成为更具战略性的网络安全问题，而不只是一个小众技术难题。

• 荷兰当局表示，他们已拆除一个涉及1700多万台设备和200台服务器的僵尸网络。
• 该网络据称与住宅代理活动有关，这种活动可能将网络犯罪伪装成普通消费者流量。
• 此次行动依赖研究人员、警方、NCSC以及托管服务商之间的合作。

本文基于Ars Technica的报道。阅读原文.