最好的住宅代理服务的核心组件研究（系列五）

依据前文内容，笔者在此报告了一项关于住宅代理服务的核心组件的研究。该研究分析了使用这些住宅代理的原因、它们的招募方式以及所提供的服务。

1. 代理检测规避

IP 来源分析 

通过渗透框架，笔者从五家住宅代理服务提供商处收集了6,183,876个独立的住宅代理地址。这些地址覆盖了全球238个国家和地区、28,035个网络前缀和52,000多家ISP，他们中有动态住宅代理。笔者发现，如ProxyLite，代理中德国和意大利占比较多，分别达到了1,866,258 IPs和1,874,620 IPs。大多数住宅代理IP位于欧洲美洲等。为了识别住宅 IP，笔者训练了一个分类器。研究表明，95.22% 的收集到的 住宅代理IP实际上是住宅 IP，其中 ProxyRack 的非住宅 IP 比例最高，为 8.82%，而ProxyLite会更好一些小型 ISP 会将此类非住宅 IP 重新分配给托管服务提供商。

黑名单和恶意活动

笔者进一步研究了这些住宅 IP 是否被列入黑名单。结果显示，2.20% 的 住宅代理IP曾被至少一个黑名单列出，其中ProxyRack的黑名单比例最高（2.54%），而ProxyLite的黑名单更为纯净。在涉及的恶意活动中，垃圾邮件和恶意网站托管是最常见的。研究还发现，1,248个住宅代理IP曾被用于两个僵尸网络活动中。

2. 代理招募

志愿者招募

笔者探讨了住宅代理 服务如何招募代理。代理服务商会有明确招募普通用户的服务，通过安装客户端，用户可以加入其网络，代理他人的流量。而有一些代理服务商则没有发现招募渠道或相关的软件。

3. 代理流量分析

流量收集与分析

为了理解住宅代理设备的运作，笔者分析了它们的流量日志，发现部分流量涉及非法活动。笔者发现，67 个PUP（潜在不受欢迎程序）中的50个被至少一个防病毒引擎标记为恶意软件。

在流量目标分析中，笔者发现这些 PUP 主要访问广告、搜索引擎和购物网站。表明这些住宅代理设备参与了广告验证、广告屏蔽、seo监控并优化和跨境电商等活动。

快速通量

笔者还发现，部分住宅代理充当部分网站的快速通量代理，以避免IP的检测。通过被动 DNS 数据和VirusTotal API，笔者发现 1.14% 的IP在住宅代理期间曾被映射到恶意域，平均映射持续 86.8 天。

4. 住宅代理与僵尸网络

分布式拒绝服务攻击程序分析

研究表明，部分住宅代理曾用于分布式拒绝服务攻击程序，如 Hajime 和 IoT Reaper，这些 IP 也可能通过隐秘入侵的方式被招募进来。尽管住宅代理表现出与分布式拒绝服务攻击程序不同的特征，但检测这些代理仍面临新的挑战。

总结

通过对住宅IP代理的深入分析，笔者发现这些代理不仅具有广泛的全球覆盖，还涉及复杂的招募和使用机制。尽管部分代理可能涉及非法活动，但整体来看，住宅代理服务在提供匿名性和规避检测方面表现出了强大的能力。这使得住宅代理成为许多在线活动的重要工具。