住宅代理悄然潜伏在企业网络中

住宅代理服务通过消费者设备转发互联网流量，使连接看起来来自真实的家庭IP地址。安全研究人员长期追踪威胁行为者利用此类服务进行凭证填充攻击、广告欺诈和拒绝服务攻击的行为。然而，这些服务在企业网络中的渗透程度究竟有多深，往往超出IT和安全团队的认知范围。

事实证明，住宅代理对企业网络构成的风险十分广泛。Infoblox对其威胁防御云客户群中数十亿次DNS解析进行了分析，揭示出问题的严重程度。研究的主要发现包括：

2025年1月至2026年4月间，相关域名的月均查询量增长约25%，每月查询量超过5000亿次。

住宅代理流量出现在所有被调查的行业垂直领域，每个领域至少40%的客户受到影响。

超过90%的制药及食品饮料行业客户存在此类流量；政府和银行业客户中，这一比例也超过60%。

使用最为普遍的服务商Brightdata出现在逾50%的云客户网络中。

以加密货币付费的代理服务Grass出现在约30%的客户网络中。

2026年1月谷歌对IPIDEA服务实施打击前后，受影响客户网络中针对IPIDEA域名的单日查询量出现265%的峰值激增。

"我们大约65%以上的云客户正在连接住宅代理服务，这个数字相当惊人，"Infoblox威胁情报副总裁勒妮·伯顿在接受Network World采访时表示，"我们的客户涵盖企业、政府机构、银行、汽车公司和警察局，65%的客户存在此类连接，这是一个非常高的比例。"

住宅代理的工作原理与渗透路径

住宅代理通过消费者设备转发互联网流量，这些设备包括家用路由器、移动手机、物联网设备以及内嵌代理软件的应用程序。与商业VPN或Tor等匿名化工具不同，后者会向目标网站发出连接被掩盖的信号，而住宅代理则使流量看起来来自特定真实消费者设备，目标端无法判断该连接并非真实发起。

住宅代理进入企业网络的入口正是设备本身。员工将个人手机或笔记本电脑接入公司Wi-Fi时，设备上已运行的代理软件也随之进入网络。公司设备上由用户自行安装的消费类应用可能内嵌了代理SDK。部署在企业环境中的物联网设备，包括媒体播放盒或数码相框，可能出厂时已预装代理软件，或通过固件更新获取。

这类软件通常通过应用开发者嵌入的SDK进入设备，目的是对免费应用进行流量变现。常见载体包括VPN应用、流媒体软件、屏幕保护程序和生产力工具。在许多情况下，用户几乎在不知情的状态下就已加入代理网络。伯顿举了一个典型案例：用户注册某流媒体服务时，在多份关联条款文件深处埋藏着一条同意将设备加入住宅代理池的授权条款。伯顿指出，表面上存在同意并不能解决根本问题——真正的关键在于用户是否真正理解了自己所同意的内容。

企业面临的安全风险

住宅代理流量不会被标准的端点或网络安全工具识别为恶意流量，因为它使用的是合法设备和合法网络协议。问题的核心不在于流量本身，而在于谁在产生这些流量。

伯顿将这一现象比作开放解析器问题。开放解析器是指配置为接受并响应任意IP地址查询的DNS服务器，而非仅向授权用户提供响应，这使得外部方可以滥用其网络资源。住宅代理在设备层面呈现出同样的结构性问题。

"这与开放解析器问题非常相似，"伯顿说，"开放解析器允许网络外部的人使用你的网络资源，最初是用于DNS，而住宅代理则可以建立完整连接。"

值得注意的是，安全行业自身也在使用住宅代理开展威胁情报工作，因为此类流量看起来来自真实消费者的位置。这造成了伯顿直接点出的一种实际矛盾：安全公司需要住宅代理访问权限来了解威胁行为者的真实动向，但同样的基础设施一旦出现在客户网络中，又会带来安全隐患。

住宅代理流量还会给企业网络带来以下风险：

声誉与法律风险。当住宅代理流量经由企业IP地址路由，并被用于拒绝服务攻击、凭证填充或连接恶意基础设施时，该企业IP地址将出现在事件记录中。

告警量激增。通过企业网络路由的代理用户不太可能遵守可接受使用政策，其活动可能触发大量安全事件，加重防御人员的分析负担。

检测与防范建议

Infoblox为网络防御人员提供了若干检测和降低住宅代理风险的措施：

防护性DNS。屏蔽对已知住宅代理编排域名的查询。Infoblox持续追踪这些域名并向客户开放，其功能类似于传统恶意软件中的命令与控制域名。

DNS查询日志审计。审查DNS查询日志，排查流向已知住宅代理域名的流量。

应用与扩展程序审查。检查企业设备上已安装的浏览器扩展和消费类应用，排查是否内嵌代理SDK。

IP地址核查。通过Synthient等外方追踪资源，核查本机构IP地址是否已被列入代理池。

然而，技术管控只能解决表面症状，无法触及根本的知情同意问题。伯顿认为，需要在监管层面引入类似第三方网络Cookie规范的知情同意要求，以规范住宅代理网络对设备所有者的招募行为。

"我们需要推动真正的知情同意，"伯顿表示。

她还补充道，企业面临着更为复杂的困境：员工个人设备上存在授权同意，但使用的是企业网络，这究竟意味着什么，是一个需要认真对待的问题。

"我预计将会出现某种法律、政策或执法层面的行动，因为现状实在太混乱了，"伯顿说，"人们终将重视这一问题。"

Q&A

Q1：住宅代理是如何进入企业网络的？

A：住宅代理主要通过员工自带设备进入企业网络。员工将个人手机或笔记本连接公司Wi-Fi时，设备上已运行的代理软件会随之接入网络。此外，公司设备上安装的消费类应用可能内嵌了代理SDK，物联网设备如媒体播放盒、数码相框也可能出厂预装或通过固件更新获取代理软件。这类软件多通过VPN应用、流媒体软件、屏幕保护程序等载体传播，用户往往在不知情的情况下已加入代理网络。

Q2：住宅代理流量为什么难以被企业安全工具检测到？

A：住宅代理流量使用的是合法设备和合法网络协议，标准的端点或网络安全工具无法将其识别为恶意流量。问题不在于流量本身，而在于谁在产生这些流量。这与开放解析器问题类似，外部人员可借助企业网络资源发起完整连接，而整个过程对防御工具而言看起来完全正常。

Q3：企业如何检测和防范住宅代理带来的风险？

A：Infoblox建议企业采取以下措施：启用防护性DNS，屏蔽已知住宅代理编排域名；定期审计DNS查询日志，排查异常流量；检查企业设备上的浏览器扩展和消费类应用，确认是否内嵌代理SDK；通过Synthient等第三方资源核查本机构IP是否已被列入代理池。同时，专家建议在监管层面推动知情同意规范，从根源上治理代理网络的设备招募问题。