200 палок или Исследование влияния различных характеристик IP-адреса на вбив в PayPal.

Осторожно - рекламка будет в конце статьи.

Идея проведения данного эксперимента родилась из всей той массы домыслов и мифов в ворохе которых вынужден существовать каждый палководец.

Ведь когда мы говорим о том как влияет (или не влияет) на вбив скажем DNS или risk-score, то основываемся либо на чьем-то (возможно авторитетном для нас) мнении либо просто здравом смысле. Есть и третий вариант, называемый “личным опытом”, при том что статистическая ценность этого опыта никак не оценивается кроме как эмоционально. Что это значит? Это значит, что если один (ну или может два подряд) вбив прошел неудачно и мы в этот раз обратили внимание на DNS, то неудача списывается на такой DNS и другие причины не рассматриваются. То есть никаким серьезным подходом к изучению статистических данных тут не пахнет. Так по сути субъективное мнение выдается за некую истину, полученную эмпирическим путем. Давно подмечено, что рассуждая логически можно сделать любые выводы на основе любых данных - все зависит лишь от желания привести конечную мысль к тому или иному результату. А ведь влиять на результат может очень и очень многое. И чтобы получить более менее внятную реальную картину влияния тех или иных параметров на результат требуются десятки и сотни корректно поставленных экспериментов.


Условия исследования:


Наш эксперимент выглядел следующим образом: 200 конфигов OpenVPN, пять профессиональных полководцев - по 40 конфигов каждому.


Каждый работал по своей привычной схеме - кто рефает, кто депает, кто шопится - во всех случаях положительным результатом считалась успешная транзакция на сумму больше 100$ совершенная в течении максимум недели после первого знакомства палки с адресом.


Конфиги (Ip-адреса) использовались исключительно USA, рандомные штаты.


DNS на 100 из них был использован родной от провайдера обслуживающего роутер, на 33-х гугловский (8.8.8.8), на 33-х клаудовский (1.1.1.1) и на оставшихся 34-х цисковский OpenDNS (208.67.222.222). Таким образом мы хотели получить подтверждение или опровержение теории о влиянии публичных днс.


Risk-score измерялся по данным трех разных источников: maxmind, ipqualityscore и getipintel. Тут пришлось учитывать что диапазоны возможных значений у ipqualityscore и maxmind RISK от 0 до 100, а у getipintel от 0 до 1. При том что для maxmind RISK чистым считается адрес с risk < 1 (а идеально чистым с risk < 0.4), а при значении maxmind RISK > 1 можно утверждать что адрес грязный, а для ipqualityscore чистым считается адрес с risk <70 (а идеально чистый с risk =0). getipintel считается неавторитетным источником данных, но был включен в исследование по причине его непонятной популярности среди палководцев.

Распределение 200 адресов по разным значениям risk-score выглядело так:

Наличие адреса в блеклистах смотрели по сайту whatleks.com. По данному признаку были выделены три категории: адреса со статусом CLEAN (87 адресов), адреса присутствующие в самой беспонтовой базе dnsbl.sorbs.net (86 адресов), адреса присутствующие в иных более серьезных блеклистах (27 адресов)

На половине роутеров мы намеренно открыли порты 8080, 8888 и 1723, чтобы увидеть зависимость (или независимость) от открытых портов.

WebRTC на половине был отключен, на половине включен.

Двухсторонний пинг так же ради чистоты эксперимента на полов��не был включен на половине выключен

Так же на половине конфигов было выставлено значение mssfix такое чтобы определялся VPN-туннель по размеру сетевого фрейма и на половине не определялся никак (закос под мобильную сеть или сильно зашумлённую линию с нестандартным размером сетевого фрейма) (параметр Connection type на сайте whatleaks.com)


52 адреса принадлежали провайдеру Comcast Cable Communications, LLC; 44 - Charter Communications Inc; 32 - Spectrum; 25 - Cox Communications Inc.; оставшиеся 47 пришлись на разных мелких региональных провайдеров


Результаты исследования:

Всего из 200 положительный результат был засчитан (то есть дали провести транзакцию на более чем $100 в течении первой недели после “знакоства” аккаунта PayPal c IP-адресом) на 167-ми IP-адресах, и соотвественно на 33-х адресах результат был зафиксирован отрицательный

167 / 33

  1. DNS

Конечно для однозначных выводов следовало бы как минимум на порядок увеличить количество тестируемых адресов, но по полученным данным никакой зависимости успешности от используемого DNS не наблюдается, все данные в пределах нормальной погрешности

2. RiskScore

Результаты по Maxmind RISK и IpqualityScore прекрасно коррелируют между собой и отражают получений результат.
А вот по значению getIPintel можно лишь ориентироваться когда оно зашкаливает за 0.8 - это значит все гарантированно плохо. Скорее всего это связано с ограниченными мощностями из за чего проект getIPintel обновляет свою базу не чаще чем раз в две недели (за такое время и Maxmind и IpqualityScore успевают по 5-7 раз обновить значение risk-score в своих базах)

3. Black-lists

Прекрасная демонстрация того, что самый часто встречающийся спам-лист dnsbl.sorbs.net никак не влияет на результат. А вот иные блек-листы учитывать несомненно стоит.


4. Открытые порты

Вопрос о влиянии открытых портов уверенно можно закрывать

5. WebRTC

Тут надо отметить что частично полученный результат обусловлен сеттингом теста. Поскольку мы сами контролировали на каких аккаунтах будет включен WebRTC а на каких выключен, то позаботились о том чтобы примерно половина “плохих” адресов имела включенный WebRTC. Так же можно посчитать что это доказывает теорию о том, что благодаря WebRTC АФ получает подтверждение существования локалки за роутером, в которой находится наш компьютер после впн-подключения, и таким образом включенный WebRTC становится положительным моментом.


6. Double Ping

Параноики и любители конспирологии уже наверняка потирают руки глядя на эти цифры. Но на наш взгляд это ни о чем не говорит. Для того чтобы делать выводы следует иметь как минимум раз в пять больше результатов. А пока что отклонение чисто статистическое. Ни каких авторитетных доказательств того что PayPal применяет в своем АФ данную технологию ни кто никогда не слышал.

7. Connection Type

Тут картина минимально отличается от той что наблюдалась выше с двойным пингом, так что, скорее всего, требуются дополнительные исследования влияния, но опыт говорит нам что тут скорее всего влияние данного параметра есть, может быть он незначительное, но скорее есть чем нет

8. Провайдер

Тут вполне понятно, что данные ни о чем, слишком маленькая выборка для того чтобы делать хоть какие то выводы. Так на Comcast просто пришлась треть всех адресов с плохим риск-скором, потому такой и результат… Так что скорее всего трактовать эти данные стоит в сторону независимости от провайдера.


Выводы:


Конечно данное исследование нельзя считать абсолютно полным или абсолютно авторитетным. В любом случае никаких иных данных полученных в режиме независимого исследования до сих пор ни где не публиковалось. А эти полученные данные наводят на вполне определённы мысли.


Так довольно убедительно выглядит независимость результата от типа DNS.

Так же мы обоснованно может теперь пользоваться каждым из трех популярных поставщиков данных по риск-скору (ну по крайней мере по двум из них, так как getIPintel все же дает слишком размытую картину, по нему можно однозначно определять то какими IP не стоит пользоваться, но чтобы выбрать те какими пользоваться стоит все же лучше брать данные с IpqualityScore или Maxmind

По блек-листам явно не надо обращать внимания на набивший всем оскомину (реально в нем половина интернета) dnsbl.sorbs.net

WebRTC во включенном состоянии оказывает на вбив через впн положительное влияние.


Влияние двойного пинга под большим вопросом.

Так же под вопросом и влияние Connection Type - но тут сомнения склоняют нас скорее ко мнению что даней параметр свое влияние все же оказывает. Нужны дополнительные тесты.

Влияние провайдера (при условии что все провайдеры домашние, а не хостинги и не бизнес) скорее всего отсутствует, но для прямого доказательства этого факта необходима намного более масштабные исследования.

Наши благодарности всем палководцам принимавшим участие.
И конечно спонсорам @freevpnus и @demianbedniy, предоставившим впн для тестов.


С вами был канал DarkTutorial

Информационный канал о самых актуальных мануалах, темок, схем, сливов, статей, новостей и пр вкусняшек в одном месте.

Подпишись на наш проект: t.me/DarkTutorial2