最近逛技术论坛、二手交易平台,总能刷到兜售活跃ip段扫描器的广告,文案写得格外诱人:“一键扫全网,导出可用IP,日赚三位数躺赚”,不少想赚快钱的小白一看就心动,觉得这是无本万利的好路子,可很少有人深究:这个工具到底能不能随便用?用错了会付出什么代价?今天我们就把这件事说透。
它原本是合法的运维工具,不是天生的“坏东西”
很多人对活跃ip段扫描器的第一印象就是“黑产工具”,其实不然,它从诞生开始,就是网络从业者的正经生产工具。我发小大刘在杭州一家IDC服务商做了10年运维,我之前跟他聊起这个工具,他连连摇头说“这是我们吃饭的家伙”,去年他们公司接了一个创业团队的整机房托管业务,新机房分配到了整整8个C段的公网ip,要想把空闲ip整理出来分配给客户,靠人工一个个ping,几个运维得熬三个通宵,还容易出错导致ip冲突,最后就是用活跃ip段扫描器,十几个小时就扫完了所有网段,整理出了准确的活跃ip和空闲ip列表,效率翻了几十倍。
大刘说,正经网络从业者用这个工具,都是扫自己公司管辖的网段,不管是排查内网故障、整理地址资源,还是白帽安全团队做企业漏洞排查,都是完全合法合规的,说白了,工具本身就是一串代码,是中性的,错的从来不是工具,是乱用工具的人。
黑产盯上它之后,成了网络违法的敲门砖
本来正经的运维工具,到了灰产黑产手里,就变了味道,现在黑产圈已经形成了完整的黑色产业链,活跃ip段扫描器就是整个黑产链条的第一环节:批量扫全网找“猎物”。今年4月公安部网安局开展的“净网2024”专项行动中,江苏网警就通报了一起典型案件:一个4人犯罪团伙,花几百块买了定制版的活跃ip段扫描器,24小时不间断扫描全网公网ip,不到3个月就扫出了超过1800万个活跃ip,从中筛选出了23万台没有改默认密码、没打漏洞补丁的物联网设备和中小企业服务器,之后给所有设备种了挖矿木马,靠偷别人的算力挖比特币,不到半年就非法获利近200万元,最后这个团伙全部落网,主犯被判了4年有期徒刑,所有赃款都被没收,落得个竹篮打水一场空的下场。
就在今年8月,浙江杭州网警也通报了一起爬虫公司非法获取公民信息的案件:这家公司为了偷中小企业官网的用户数据,先用活跃ip段扫描器批量扫出所有开放后台端口的网站ip,再用批量撞库的方式入侵后台,一共偷了超过1200万条用户个人信息,倒卖给诈骗团伙获利近百万元,最后公司老板和核心技术人员全部获刑。
我身边也有活生生的例子,我认识一个做三农自媒体的博主阿凯,去年粉丝做到10万,接广告一年能赚二十多万,日子过得不错,后来他刷到灰产培训广告,说“扫活跃ip挂小程序,一个ip一年赚50,扫一千个就是五万”,一下子就心动了,花300块买了个破解版的扫描器,按照教程开着机扫全网,结果不到两个小时,家里的联通宽带就断了,他一开始以为是路由器坏了,打电话给客服才知道,他发送恶意扫描数据包,被联通的风控系统检测到,直接封了账号,要本人带身份证去营业厅解封,还要签承诺书,再有下次就直接拉进黑名单,再也不能办联通的宽带,阿凯那天骑了二十多公里电动车跑营业厅,赔了半天笑脸才把网解开,那300块买的扫描器早就被他删了,后来跟我吃饭的时候还说,真是贪小便宜吃大亏,差点把自己搞成网络黑户,太不值了。
这些使用场景,已经踩了法律红线
很多人都有误区:我就是扫个ip,又没偷东西没破坏,怎么就违法了?其实我国早就有明确的法律规定,不是你没获利就不算违规。根据《中华人民共和国网络安全法》第二十七条明确规定:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具,如果你未经允许,批量扫描公网ip段,本质上就是未经授权探测他人的网络资源,高频率的扫描还会占用对方服务器的带宽,影响正常运行,本身就已经违反了法律规定。
如果满足以下两种情况,还会构成刑事犯罪:第一种,你卖扫描工具、卖扫好的活跃ip数据,根据最高法的司法解释,只要你提供专门用于非法侵入计算机系统的工具,不管你赚了多少钱,都构成帮助信息网络犯罪活动罪,情节严重的还会判三年以下有期徒刑,第二种,你扫完ip之后拿去干坏事,种木马、偷数据、挂黑链,那就是非法侵入计算机信息系统罪,起步就是三年以下,获利超过十万的属于情节特别严重,能判到三年以上七年以下。
还有很多人贪便宜买破解版的扫描器,你以为你占了便宜,其实破解版扫描器本身十有八九带木马,你扫别人的时候,你的电脑里的身份证、银行卡、支付密码早就被作者偷走了,之前深圳网警就通报过一起案例,一个小白买破解版扫描器想赚快钱,结果自己支付宝被盗刷了两万多,最后花了一个多月才把钱追回来,真的是赔了夫人又折兵。
普通人和中小企业,该怎么防范恶意扫描?
很多中小企业老板、个人站长都觉得,我就是个小网站/小服务器,没人会盯着我,其实不对,黑产的扫描是批量的,不管你规模大小,只要你有漏洞,就会被扫到,然后被利用,我身边就有这样的例子。我家楼下开水果店的张哥,去年想做线上会员储值,拉生意,就找了个大学生兼职做了个小程序,放在一个几百块一年的便宜虚拟主机上,那个大学生也不懂安全,为了方便调试,把后台端口直接开放在了公网上,也没装防火墙,结果上线不到10天,就被黑产的活跃ip段扫描器扫到了,黑客直接进去挂了一堆非法博彩的外链,过了一周百度把张哥的域名封了,他才发现问题,那时候他已经做了半个月的储值活动,拉了两百多个会员,域名一封,会员都以为他跑路了,不仅钱没赚到,口碑也坏了,最后重新买域名重新做,前后损失了小一万,这差不多是一个多月的纯利润,真的是吃了没安全意识的亏。
其实防范恶意扫描真的很简单,做好四件事就够了:第一,关掉所有不需要对外开放的端口,只用开你需要的80、443这些服务端口,其他全部封死,从根源上避免被扫描到;第二,打开云服务商给的免费防护,现在阿里云、腾讯云、华为云都提供免费的入侵检测和恶意ip拦截,默认都是关闭的,你花两分钟打开,就能拦掉90%以上的恶意扫描;第三,不要用默认密码,密码尽量设置得复杂一点,避免被轻易撞库;第四,定期给服务器打系统补丁,很多漏洞都是公开的,你不打补丁,人家一扫描就能找到你。
我的个人观点:工具无罪,但使用一定要有边界
做了这么多年科技自媒体,我一直坚持一个观点:永远不要一棒子打死一个工具,活跃ip段扫描器也一样,它本身只是一个工具,运维人员用来管理网络,白帽用来做漏洞排查,高校实验室用来做网络研究,这些都是完全合法合理的用途,错的从来不是工具,是没有边界的使用者。现在很多人对网络安全的法律边界非常模糊,总觉得“网上的东西没人管”“法不责众,那么多人用怎么会抓我”,其实现在网安部门的技术比普通人想象的发达得多,只要你批量扫描公网,你的ip就会被云端风控记录,顺着线就能找到你,“净网2024”专项行动开展到现在,已经打掉了120多个贩卖扫描工具、售卖活跃ip数据的黑产团伙,不管是主犯还是小喽啰,都被揪了出来,根本不存在法不责众这回事。
还有很多年轻人总想赚快钱,觉得干这个来钱快,又轻松,可实际上这种快钱都是带钩子的,今天你赚了几千块,明天被抓留下案底,跟着你一辈子,找工作、考公、贷款都会受影响,真的不值当,我见过太多本来前途光明的年轻人,就是因为不懂法,贪这点快钱,碰了网络灰产,最后把自己的一辈子都毁了,真的太可惜了。
对于活跃ip段扫描器,我们不用谈之色变,但一定要保持敬畏:合法合规的用途尽管用,违规违法的事情千万不要碰,作为用户,我们也要提高自己的安全意识,做好防护,别给坏人可乘之机,毕竟在网络世界里,守好边界,才是对自己最大的保护。