Hotdry.

Article

荷兰扣押800台服务器背后的取证技术:从流量关联到托管商责任边界

解析荷兰警方针对bulletproof hosting的执法行动,探讨流量关联分析、基础设施追踪与托管服务商责任判定的技术逻辑。

2026-05-25security

2026 年 5 月 18 日,荷兰税务情报与调查局(FIOD)对境内两家关联托管服务商展开突击行动,扣押超过 800 台物理服务器,逮捕两名公司实际控制人。这起针对所谓 "防弹托管"(bulletproof hosting)的执法行动,揭示了网络犯罪基础设施调查中的关键技术路径 —— 从海量流量中关联异常行为,到穿透复杂公司架构定位责任主体。

事件核心:制裁规避与基础设施转移

此次行动的核心目标是 MIRhosting 及其关联实体 WorkTitans BV 运营的 the [.] hosting 服务。这两家公司的实际控制人 Andrey Nesterenko 和 Youssef Zinad 被指控违反欧盟制裁法规,向受制裁实体 Stark Industries Solutions 提供经济资源。

Stark Industries 是一家在俄罗斯入侵乌克兰前两周突然出现的托管服务商,迅速成为针对欧洲目标的 DDoS 攻击和匿名代理服务的主要来源。2025 年 5 月,欧盟制裁了为 Stark 提供网络接入的 PQHosting 及其控制人 Neculiti 兄弟。然而制裁生效前,Stark 的网络资产已转移至新实体 the [.] hosting,而这家公司的唯一网络接入渠道正是 MIRhosting。

从技术角度看,这种基础设施转移体现了典型的制裁规避模式:通过变更法律实体、重新分配 IP 地址段、迁移物理服务器,试图切断监管追踪链条。然而荷兰调查机构显然掌握了足够的技术证据,证明 WorkTitans 与 MIRhosting 之间的实际控制关系和网络依赖关系。

流量关联分析:识别攻击源的技术路径

根据荷兰《人民报》(de Volkskrant)披露的数据,WorkTitans 和 MIRhosting 的网络在 2025 年 11 月 13 日至 19 日期间 —— 即丹麦市政选举周 —— 被用于针对丹麦政府机构的亲俄攻击。这一时间窗口的精确定位,暗示调查机构采用了系统性的流量关联分析方法。

在大型网络攻击调查中,流量关联通常遵循以下技术路径:首先通过受害端的网络日志和流量镜像,提取攻击包的源 IP 地址和时间戳;然后与 ISP 的 NetFlow 或 sFlow 数据进行交叉比对,追踪上游网络路径;最后在 BGP 路由层面验证 IP 地址的归属和广播来源。对于 DDoS 攻击而言,攻击流量的特征(如特定反射放大协议的滥用模式、Botnet 的指纹特征)可以作为关联多个攻击事件的依据。

值得注意的是,MIRhosting 在事后声明中辩称 "在所述时间段内网络流量未观察到异常或峰值",并强调 "未收到任何投诉、滥用报告或官方请求"。这一回应恰恰暴露了 bulletproof hosting 运营者的典型技术策略:通过分散攻击流量、使用加密隧道、频繁更换 IP 地址等手段,避免触发常规的滥用检测阈值。

穿透复杂架构:从网络层到实体层的映射

本案的另一个技术难点在于穿透多层公司架构,建立网络基础设施与实际控制人的关联。调查揭示的实体链条包括:

  1. Stark Industries Solutions:位于俄罗斯 / 摩尔多瓦的运营实体,提供实际的恶意托管服务
  2. PQHosting:Stark 的主要网络接入提供商之一,2025 年 5 月被欧盟制裁
  3. the[.]hosting / WorkTitans BV:资产转移后的新运营实体,注册于荷兰
  4. MIRhosting / Innovation IT Solutions Corp.:提供网络接入的荷兰 ISP,由 Nesterenko 控制

从技术取证角度,建立这些实体之间的关联需要多源数据交叉验证:

  • WHOIS 与域名注册数据:追踪 the [.] hosting 域名的注册信息、历史变更记录
  • BGP 路由数据:分析 IP 地址段的广播历史,识别从 PQHosting 到 MIRhosting 的转移轨迹
  • SSL/TLS 证书透明度日志:查找共享的证书签发模式或基础设施指纹
  • 网络扫描数据:通过 Shodan、Censys 等平台的被动扫描,关联托管在相关 IP 上的服务特征
  • 支付与财务数据:追踪客户付款流向,建立经济关联(FIOD 作为税务调查机构的介入暗示了这一路径的重要性)

托管服务商责任边界的技术判定

本案的核心法律争议在于托管服务商的责任边界 —— 何时 "不知情" 的抗辩不再成立?从技术角度,可以建立以下判定框架:

第一层:被动托管责任

标准托管服务商仅提供计算资源和网络连接,对客户上传内容无事先审查义务。此时服务商的责任限于响应有效的滥用投诉(DMCA 通知、法院命令等),并在合理时间内采取断网或删除措施。

第二层:主动参与嫌疑

当服务商出现以下技术特征时,责任边界开始模糊:

  • 提供专门的 "DDoS 防护" 服务,实际上用于清洗攻击流量
  • 配置网络以允许 IP 地址快速轮换,规避黑名单机制
  • 使用加密货币支付和匿名注册流程,刻意降低客户可追溯性
  • 在公开渠道宣传 "无视 DMCA" 或 "不响应滥用投诉"

第三层:明知故犯

调查机构需要证明服务商实际控制人对客户滥用行为存在明知。在本案中,Neculiti 兄弟与 Nesterenko 之间的业务往来、资产转移的时间节点、以及 MIRhosting 为 Stark 提供的持续网络接入,构成了 "应当知晓" 的证据链。

执法行动的技术启示

荷兰此次行动展示了针对 bulletproof hosting 的系统性打击策略:

基础设施级执法:不同于传统的域名查封或 IP 封锁,直接扣押物理服务器意味着彻底切断犯罪分子的计算资源。800 台服务器的规模表明这是一个有预谋、协调多数据中心的行动。

制裁与刑事调查的衔接:欧盟制裁提供了快速冻结资产的法律工具,而 FIOD 的刑事调查则提供了搜查、扣押的执法权力。这种组合拳模式可能成为未来跨境网络犯罪打击的模板。

供应链追踪:调查不仅针对直接运营者,还追踪上游网络接入提供商。MIRhosting 作为 "最后一跳"ISP 被纳入调查范围,向整个托管行业传递了明确信号。

防御建议:企业如何规避 "被污染" 基础设施

对于合法企业而言,此案提供了识别高风险托管服务商的技术清单:

  1. IP 地址声誉检查:在签约前使用 VirusTotal、AbuseIPDB 等工具检查服务商 IP 段的历史滥用记录
  2. ASN 背景调查:通过 BGP 数据查询服务商的 ASN 上游关系,识别是否与已知恶意网络存在直接互联
  3. 合规认证验证:优先选择具备 SOC 2、ISO 27001 等认证的服务商,这些认证通常包含滥用响应流程的审计
  4. 合同条款审查:确保合同中包含明确的内容政策条款和滥用响应 SLA,避免与 "无审查" 服务商共用基础设施

结语

荷兰扣押 800 台服务器的行动,标志着针对网络犯罪基础设施的执法进入新阶段。从流量关联到实体穿透,从制裁规避到责任判定,这起案件展示了技术取证在复杂网络犯罪调查中的核心作用。对于安全从业者而言,理解这些技术路径不仅有助于识别威胁,更能在选择云服务提供商时做出更明智的决策。

资料来源

  • Krebs on Security: "Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks" (2026-05)
  • de Volkskrant: "How a consultant and a concert pianist from the Netherlands aided pro-Russian hackers"
  • FIOD 官方声明: "FIOD houdt twee verdachten aan wegens overtreding sanctiewetgeving"

security

内容声明:本文无广告投放、无付费植入。

如有事实性问题,欢迎发送勘误至 i@hotdrydog.com