今年世界杯期間，黑客“烈劍”的 DDoS攻擊業(yè)務(wù)接單簡(jiǎn)直接到手軟，而且“金主爸爸”們出手都很闊綽，這應(yīng)該是他從事“中介服務(wù)”的四年中，生意最好的時(shí)候。

不差錢的金主爸爸來(lái)自幾家不同的博彩網(wǎng)站，他們找到“烈劍”的目的很簡(jiǎn)單：用最快、最狠的 DDoS 攻擊搞垮競(jìng)爭(zhēng)對(duì)手的網(wǎng)站，把用戶吸引到自己的平臺(tái)上來(lái)。

云端  DDoS 黑產(chǎn)鏈

在圈內(nèi)，這類金主爸爸被稱為“發(fā)單人”，他們有些來(lái)自色情、賭博、彩票和游戲私服等網(wǎng)站，用黑客技術(shù)手段對(duì)同行的服務(wù)器進(jìn)行攻擊致使其宕掉，在圈內(nèi)早已是慣用伎倆。

而烈劍在圈內(nèi)更像是一個(gè)中介，由于懂技術(shù)，接到金主的單后，烈劍會(huì)迅速找到技術(shù)不錯(cuò)的“攻擊手”，這些人可以用手頭現(xiàn)有的軟件和工具來(lái)操縱肉雞，讓它們對(duì)目標(biāo)網(wǎng)站進(jìn)行模擬訪問，占據(jù)其服務(wù)器的 CPU 資源，以此來(lái)把正常用戶抵擋在門外?；蛘?，直接發(fā)送大量流量攻擊目標(biāo)服務(wù)器，導(dǎo)致服務(wù)器無(wú)法訪問網(wǎng)絡(luò)。

在這個(gè)黑產(chǎn)鏈條中，“肉雞商”和“出量人”也是攻擊武器的重要提供者，他們手中掌握著已經(jīng)搭建好的“肉雞集群”和“流量平臺(tái)網(wǎng)頁(yè)端的服務(wù)”，在實(shí)施攻擊前，這些“肉雞商”已經(jīng)利用后門程序和漏洞，獲得電腦和服務(wù)器的控制權(quán)限，并植入木馬，使得這些計(jì)算機(jī)變成能實(shí)施 DDoS 攻擊的“肉雞”。而“出量人”作為擁有服務(wù)器控制權(quán)限和網(wǎng)絡(luò)流量的人，能夠租用專屬服務(wù)器并自行配置攻擊軟件從而獲取流量。

在利益面前，各路黑產(chǎn)配合默契，攻擊“武器”這兩年越來(lái)越先進(jìn)，這也讓烈劍的生意越做越大。

其實(shí)，除了處于灰色地帶的一些比較邊緣的網(wǎng)站，一些跟國(guó)計(jì)民生相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施也會(huì)遭到 DDoS 攻擊，目前，互聯(lián)網(wǎng)、金融、能源制造、政府機(jī)構(gòu)等多個(gè)行業(yè)中，都面臨著相似的風(fēng)險(xiǎn)。

上云后的超級(jí) DDos 攻擊

要說(shuō)近幾年越來(lái)越猖獗的 DDos 攻擊，其實(shí)還要拜“上云”所賜。

正如一枚硬幣的兩面，網(wǎng)絡(luò)帶寬增加后，更高速、更廣泛的網(wǎng)絡(luò)連接讓我們的生活更加的便利，但這也為DDoS 攻擊創(chuàng)造了極為有利的條件，以前黑客獲取一個(gè)IP 后，可能對(duì)應(yīng)的只是一個(gè)普通的用戶，但現(xiàn)在獲取了一個(gè)IP，他可以在拿到后門后去查屬于哪個(gè)服務(wù)商，是不是整片云是不是有同樣的問題。

中國(guó)電信網(wǎng)絡(luò)安全產(chǎn)品運(yùn)營(yíng)中心的高級(jí)產(chǎn)品經(jīng)理張曉華，就帶來(lái)了近幾年電信網(wǎng)內(nèi)的攻擊趨勢(shì)圖↓↓↓

張曉華回憶，在2013年的時(shí)候，大部分客戶的主機(jī)還是在自己的機(jī)房里面，最多也就是在 IDC 機(jī)房，然后扯上一根 2M 的線，直接接到服務(wù)器上面，所以那時(shí)雖然也有 DDos ，但攻擊量并不大。

隨著近幾年客戶逐漸上云，接入帶寬變大，配備的都是上百G的云資源池，這就出現(xiàn)了兩點(diǎn)變化，一是一旦成為肉雞，能夠往外攻擊的流量也會(huì)變大；二是隨著能夠涌入的流量增多，需要投資和配備的防護(hù)設(shè)備也需要相應(yīng)升級(jí)。

這就如同你們家原來(lái)的門只是一個(gè)小門，一次最多只能同時(shí)進(jìn)來(lái)兩個(gè)人，要擋住壞人，簡(jiǎn)單的小防盜門就可以，由于人數(shù)少，哪些進(jìn)來(lái)的是好人，哪些是壞人，也好分辨。但現(xiàn)在你們家的的門變成了一扇巨大的門，可以同時(shí)擁進(jìn)上百個(gè)人，這時(shí)原有的防盜門就會(huì)不堪一擊。

更加糟糕的情況是，隨著黑產(chǎn)使用的各類攻擊“武器”在不斷升級(jí)，針對(duì) DDos攻擊的防護(hù)成本遠(yuǎn)遠(yuǎn)大于攻擊成本，而且由于肉雞的數(shù)量眾多，對(duì)于攻擊源的追查難度很大。

目前，出于商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，很多IDC托管機(jī)房、商業(yè)站點(diǎn)、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長(zhǎng)期以來(lái)一直成為DDoS攻擊的目標(biāo)，而隨之而來(lái)出現(xiàn)的同虛擬主機(jī)用戶受牽連、法律糾紛、商業(yè)損失等一系列問題。

要想解決上百個(gè)人堵在門口，而正常用戶卻被擋在門外這個(gè)問題，有一個(gè)辦法就是從攻擊源頭就開始治理，這就如同你要阻止100個(gè)人從全國(guó)各地來(lái)到你這里鬧事，最好的辦法不是在等他們集結(jié)好之后，在鬧事地點(diǎn)等他們，而是在他們出發(fā)的時(shí)候，就能夠識(shí)別出他們，在源頭進(jìn)行治理，張曉華把這稱為---近源清洗，而這個(gè)平臺(tái)，被稱為“云堤”。

換句話說(shuō)，清洗就是把正常的用戶放進(jìn)來(lái)，把肉雞擋在門外，讓業(yè)務(wù)可以正常進(jìn)行。

于用戶而言，他們可以對(duì)攻擊流量無(wú)感知；于運(yùn)營(yíng)商而言，可以通過在攻擊流量發(fā)起側(cè)網(wǎng)絡(luò)內(nèi)處置掉攻擊流量，提高運(yùn)營(yíng)商網(wǎng)絡(luò)的資源利用。

為什么要搞近源清洗

抗擊DDoS的方式有很多，為什么電信要選擇云上做近源清理這種方式？

這還得從電信作為一家運(yùn)營(yíng)商所擁有的監(jiān)測(cè)系統(tǒng)講起。

與其他安全廠商不同，作為一家運(yùn)營(yíng)商，其本身就有DPI（基于應(yīng)用層的流量檢測(cè)和控制技術(shù)）、Netflow 監(jiān)測(cè)系統(tǒng)、Botnet 監(jiān)測(cè)系統(tǒng)、僵木蠕監(jiān)測(cè)系統(tǒng)以及DNS等提供的實(shí)時(shí)信息來(lái)進(jìn)行監(jiān)測(cè)。

黑客無(wú)論是要干什么事情，最終還是得用運(yùn)營(yíng)商的網(wǎng)絡(luò)的，而如果憑借早就在網(wǎng)絡(luò)中布下的各類監(jiān)測(cè)設(shè)備，就可以為最終的“抓捕”提供線索。

憑借電信自身的能力就可以達(dá)到監(jiān)測(cè)的目的？你們不買外部的威脅情報(bào)嗎？

對(duì)于雷鋒網(wǎng)的這個(gè)問題，張曉華透露，威脅情報(bào)在整個(gè)處理過程中，其實(shí)更多的是處于一個(gè)補(bǔ)充的作用。

除了有識(shí)別能力，還得有處理能力，你能看出哪個(gè)是壞人，還要有把壞人撂倒的本事，重要的是還不能傷及無(wú)辜。

張曉華透露，運(yùn)營(yíng)商所具有的網(wǎng)絡(luò)部署與路由調(diào)度能力也是他們的殺手锏之一，通過調(diào)度能力，就可以直接實(shí)現(xiàn)超大規(guī)模的網(wǎng)絡(luò)層/應(yīng)用層攻擊防護(hù)，通過云化分布式清洗中心可同時(shí)協(xié)同處置區(qū)域攻擊流量，這時(shí)單節(jié)點(diǎn)處理能力就能得到協(xié)同節(jié)點(diǎn)的有效補(bǔ)充。

據(jù)雷鋒網(wǎng)了解，目前這個(gè)清洗中心在國(guó)內(nèi)有26個(gè)，未來(lái)會(huì)逐漸云話，張?zhí)寡?，雖然網(wǎng)撒的很大，但在應(yīng)用層的防護(hù)方面，未來(lái)依然需要加強(qiáng)對(duì)防護(hù)策略的制定，希望最終能做到客戶完全不需要自己的處理的程度。

雷鋒網(wǎng)還注意到，即將公布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》中，對(duì)于云上的安全也提出了更高的要求，以防DDos為例，現(xiàn)在的標(biāo)準(zhǔn)會(huì)要求“肉雞”也要承擔(dān)主體責(zé)任。

簡(jiǎn)單來(lái)說(shuō)，你不僅要時(shí)刻注意自己有沒有被 DDos攻擊，還要確保自己不成為肉雞，去攻擊別人。

這些肉雞某種程度上，如同電影《釜山行》中的喪尸，雖然你很無(wú)辜，你被別人咬了，但被咬的后果就是你馬上也會(huì)成為一個(gè)攻擊者，去傷害更多無(wú)辜的人。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。