這個(gè)世界上住得最偏遠(yuǎn)的除了大山的子孫，還有搞黑產(chǎn)的馬仔。

“十一”假期前幾天，阿里云安全的 JX 剛接到同事郁悶的信息：“糟糕，假期回不去了?！盝X 一驚，難道這次他作為技術(shù)支持，與警方一起深入虎穴打擊黑產(chǎn)團(tuán)伙出了什么意外？

“不是不是，這個(gè)搞 DDoS 的團(tuán)伙藏得也挺深的，這么偏遠(yuǎn)的地方，我先坐了馬車，再坐了汽車，等我到了火車站，沒票了！”同事說。

JX 只能安慰同事，建議他假期到處逛逛，接力回家。

JX 所在的團(tuán)隊(duì)，是被云安全全面武裝的網(wǎng)絡(luò)安全技術(shù)團(tuán)隊(duì)，應(yīng)用阿里云全網(wǎng)安全態(tài)勢(shì)感知系統(tǒng)等云安全分析工具，與警方對(duì)接、合作，只為一件事：打擊灰黑產(chǎn)業(yè)鏈。

注：配合警方打擊黑產(chǎn)，風(fēng)險(xiǎn)很大，JX、MQ為兩位受訪者化名，應(yīng)受訪者要求，雷鋒網(wǎng)編輯沒有拍攝兩人照片。

20年前：不聯(lián)合打擊黑產(chǎn)，就要完蛋了

9 月 27 日，阿里云棲峰會(huì)召開前期，阿里云在北京召開了一場(chǎng)發(fā)布會(huì)，發(fā)布首個(gè)企業(yè)云安全架構(gòu)，以及《2017阿里云安全白皮書》。在發(fā)布會(huì)上，阿里云稱其每天成功抵御了 16 億次攻擊，遭遇最多的是 DDoS 攻擊。

與其他在線上與黑客斗智斗勇的安全研究員同事不同的是，他們不僅要在線上構(gòu)筑防衛(wèi)城墻，還要在警方破案時(shí)，利用云安全能力追尋黑產(chǎn)的蛛絲馬跡，必要時(shí)配合警方抓捕黑產(chǎn)團(tuán)伙。

親手促成打掉黑產(chǎn)團(tuán)伙，是他們最痛快的事。

JX坐在雷鋒網(wǎng)編輯面前，依然記得 20 年前進(jìn)入 IDC 行業(yè)時(shí)，不少客戶遭遇 DDoS 攻擊時(shí)無助的場(chǎng)景。

“那時(shí)候，無論是客戶遇到攻擊，還是IDC遇到攻擊，都特別無助，唯一的辦法就是勸客戶換機(jī)器，甚至換服務(wù)商，因?yàn)镮DC扛不住，還會(huì)影響其他客戶?！盝X回憶起 20 年前的場(chǎng)景。那時(shí)，JX所在公司的老板還焦急地給總理寫了一封信：“不聯(lián)合打擊黑產(chǎn)，我們互聯(lián)網(wǎng)就要完蛋了?！?/p>

但是，當(dāng)時(shí)即使帶著所有的網(wǎng)絡(luò)日志和數(shù)據(jù)找警方報(bào)案，依然很難解決問題，因?yàn)榫揭灿X得為難——沒有辦法抓到這個(gè)黑產(chǎn)團(tuán)伙?！懊髅髦绬栴}，大家卻無能為力，隱藏在網(wǎng)上的黑客攻擊，你只能默默承受?！盝X說。

老虎身上拔毛

從 IDC 到云計(jì)算，來自于黑產(chǎn)團(tuán)伙的攻擊仍然是困擾 JX 和整個(gè)社會(huì)的問題。但與 20 年前不一樣的是，云上的數(shù)據(jù)分析能力更加強(qiáng)大，通過對(duì)大量黑產(chǎn)樣本模型進(jìn)行學(xué)習(xí)提升，可以對(duì)黑產(chǎn)案件進(jìn)行智能關(guān)聯(lián)，圈出嫌疑犯，并給出關(guān)鍵線索。

這么一來，隱密在互聯(lián)網(wǎng)中的黑客終將被其繩之以法。

目前，阿里云在集中火力解決的主要是這三類黑產(chǎn)攻擊：

第一，大量 DDoS 攻擊。

2017年 8 月，阿里云共攔截 300 Gbps以上的攻擊數(shù)百次，不僅漲幅巨大，而且達(dá)到了歷史新高。約  70 %的被 DDoS 攻擊客戶來自網(wǎng)站和游戲。其中，小流量的 DDoS 攻擊在減少，大流量的 DDoS 攻擊卻持續(xù)增長(zhǎng)，尤其是 400 G以上的 DDoS 攻擊。

大流量的 DDoS 攻擊通常并非散戶或小型黑客組織所為，而是來自財(cái)大氣粗的大型黑客組織。

第二，釣魚、欺詐、掛馬鏈接緊緊盯上用戶，一個(gè)漏洞不處理，就可能被黑客盯上、利用上，成為黑客工具隱密所在，成為攻擊工具、成為被欺詐對(duì)象，成為被釣魚對(duì)象。

第三，防止黑產(chǎn)鉆空子。

阿里云進(jìn)軍海外市場(chǎng)時(shí)，采取的營(yíng)銷方式之一是“先使用后付費(fèi)”。如果不幸被不良黑產(chǎn)盯上，購(gòu)買了大量服務(wù)，一個(gè)月后要付款時(shí)，人去樓空，則會(huì)帶來巨大的損失。與銀行不斷完善的風(fēng)控體系一樣，這些挑戰(zhàn)讓阿里云開始思考新的業(yè)務(wù)風(fēng)控模式。

追蹤黑產(chǎn)路徑，反擊

今年 4 月以來，阿里云配合警方打掉了 10 多起 DDoS 案件。   

當(dāng)一次大規(guī)模 DDoS 攻擊發(fā)生后，如果警方接到報(bào)案聯(lián)系了這些安全研究員，他們會(huì)在警方提供的樣本中找到木馬，分析攻擊手段，并將樣本與態(tài)勢(shì)感知平臺(tái)進(jìn)行比對(duì)，如果是新木馬，安全研究員將樣本納入態(tài)勢(shì)感知系統(tǒng)進(jìn)行系統(tǒng)自學(xué)習(xí)，并由系統(tǒng)給出木馬網(wǎng)上軌跡。 

在這些案件中，線下技術(shù)團(tuán)隊(duì)要做的就是進(jìn)行網(wǎng)上黑客行為追蹤溯源，面對(duì)層層代理抽絲剝繭，找到中控，中控有可能是 IP、域名，如果是域名，找到域名所有者，如果是 IP，找到 IP 所有者。

隨后，警方再?gòu)倪@個(gè) IP 繼續(xù)找出線下的始作俑者。

當(dāng)然，這個(gè)“始作俑者”依然可能有假，警方和技術(shù)人員必須從零零散散的數(shù)據(jù)中，拼湊出終極真相。

今年上半年，阿里云安全團(tuán)隊(duì)遇到的大型 DDoS  攻擊和 8 月顯示的數(shù)據(jù)類似，大部分受害者是新興游戲公司，剛剛要做起來，馬上要推廣時(shí)就遭遇了滅頂之災(zāi)。

“大多數(shù)攻擊與競(jìng)爭(zhēng)相關(guān)的，友商選擇黑客攻擊原因在于成本低，不易發(fā)現(xiàn)。但是被攻擊流量很大，最高峰值達(dá)到 694 G，對(duì)于被攻擊者，面對(duì)這么大流量攻擊基本上業(yè)務(wù)中斷，才積聚的用戶、人氣一下就沒了，其損失慘重，經(jīng)歷幾次這樣的攻擊，一個(gè)公司很可能就會(huì)一蹶不振，甚至倒閉，每年因?yàn)楣舻归]的新公司不在少數(shù)。”MQ說。

針對(duì)釣魚掛馬類黑產(chǎn)，安全研究人員會(huì)如同對(duì)待搜索引擎一樣，進(jìn)行關(guān)鍵詞、圖像、音視頻及頁面結(jié)構(gòu)檢測(cè)，運(yùn)用安全大數(shù)據(jù)分析手段抓住這些釣魚網(wǎng)站及木馬鏈接，協(xié)同用戶進(jìn)行刪除。

敢在老虎身上拔毛的則是這樣的黑產(chǎn)：挖礦者。

今年，比特幣眼瞅著從 1 萬元的幣值漲到 2 萬元，黑產(chǎn)從業(yè)者瞄上了互聯(lián)網(wǎng)上應(yīng)用的各種漏洞，試圖利用業(yè)務(wù)漏洞去進(jìn)行挖礦、加密勒索。還有人會(huì)鉆平臺(tái)營(yíng)銷策略漏洞，如先購(gòu)買、使用，后結(jié)算類，就會(huì)有人搞虛假身份，使了就跑，給平臺(tái)帶來損失，更有甚者，利用這些資源作為黑客攻擊跳板機(jī)，打一槍換一炮，讓黑客在網(wǎng)上的行為軌跡更加撲簌迷離。

一旦發(fā)現(xiàn)這個(gè)用戶存在此類風(fēng)險(xiǎn)，系統(tǒng)會(huì)進(jìn)行嚴(yán)格的信用考評(píng)乃至問題回訪，以進(jìn)行多次用戶身份確認(rèn)與核實(shí)。比如，信用卡可能會(huì)進(jìn)行先扣一塊錢或幾毛錢，驗(yàn)證信用卡有效性以及用戶真實(shí)性。

云安全帶來的改變?cè)谟?，讓互?lián)網(wǎng)安全從嚴(yán)防死守到主動(dòng)出擊，JX 認(rèn)為，這對(duì)囂張的黑產(chǎn)而言，是一種威懾，但黑產(chǎn)的攻勢(shì)之猛，安全團(tuán)隊(duì)的責(zé)任之大，時(shí)常還是讓他們感到憂慮。

第一，配合警方抓捕黑產(chǎn)從業(yè)者時(shí)，有很多年輕人參與其中，根本不知道干這個(gè)事是犯法的，他們以為自己只不過在網(wǎng)上動(dòng)了動(dòng)手而已。

“當(dāng)你抓到他，稱這樣是侵犯了別人的計(jì)算機(jī)系統(tǒng)，是違反刑法的，他根本不敢相信，我怎么可能違反刑法？”JX痛心疾首，每年7、8月 DDoS 攻擊尤其多，因此她和同事要聯(lián)合警方，走到高校，聯(lián)合編撰安全教材，進(jìn)行宣傳，讓更多的年輕人知法懂法，還要懂得基礎(chǔ)網(wǎng)絡(luò)安全知識(shí)，不要被黑客組織以小利引誘，釀成大禍。

第二，數(shù)據(jù)資產(chǎn)類敲詐已經(jīng)成為新熱點(diǎn)，因?yàn)樽儸F(xiàn)容易，洗錢來無影去無蹤，電信欺詐、攻擊連續(xù)性類型依然泛濫。數(shù)據(jù)對(duì)于企業(yè)而言是重要的資源，如果這樣的資源被人占有了，企業(yè)很可能轟然倒下，無法重新開始。

MQ 感慨，誠(chéng)如此前所說，發(fā)動(dòng)一場(chǎng) DDoS 攻擊很簡(jiǎn)單。在這個(gè)萬物互聯(lián)的時(shí)代，當(dāng)一個(gè)普通的攝像頭都可能被利用成為攻擊工具時(shí)，是很恐怖的事情。

第三，追蹤黑產(chǎn)鏈條，最后發(fā)現(xiàn)金主不在國(guó)內(nèi)，這類案件只能抓到攻擊手，如果往下抓，就會(huì)遇到法律問題。怎么用中國(guó)法律定海外人員的罪？有些事情超出了今天的技術(shù)高度，技術(shù)專家無法解決，只能依靠政府推動(dòng)全球打擊網(wǎng)絡(luò)黑客合作。

與雷鋒網(wǎng)聊完后，從杭州來到北京的 JX  和 MQ 繼續(xù)奔往下一個(gè)地點(diǎn)，這個(gè)國(guó)慶假期只是更忙碌緊張的一個(gè)備戰(zhàn)期。對(duì)這些抗擊黑產(chǎn)的守衛(wèi)者而言，網(wǎng)絡(luò)安全永遠(yuǎn)“在路上”。

編者手記

我接觸過一些抗擊黑產(chǎn)的技術(shù)專家，阿里云的安全研究人員是其中之一。

讓我印象深刻的是，受訪者們總會(huì)提到一句話：“道高一尺，魔高一丈”。黑產(chǎn)對(duì)抗，如影隨形。其實(shí)，我覺得，他們想強(qiáng)調(diào)的是后者，而拼命地促成前者。

打擊黑產(chǎn)實(shí)在是太難了。

我總得到這么幾個(gè)訊息：第一，黑產(chǎn)分工明確，形成了產(chǎn)業(yè)鏈條的分工明晰，行動(dòng)迅速，沒有“鏈條”一說的黑產(chǎn)領(lǐng)域簡(jiǎn)單、高效、直接。對(duì)抗人員的情報(bào)、技術(shù)共享不易，要跨越商業(yè)的藩籬，黑產(chǎn)之間的共享簡(jiǎn)直容易到可怕；第二，面對(duì)的敵人是誰，安全對(duì)抗人員其實(shí)心知肚明，但沒有找到充分證據(jù)時(shí)，黑產(chǎn)大佬甚至可以囂張地打電話過來挑釁，有時(shí)好不容易追查到最后，幕后黑手卻躲到了國(guó)外，這種壓在心中的沉悶感常常讓人沮喪不已；第三，僅 DDoS 而言，黑產(chǎn)攻擊成本真是低到可怕，再加上遍布周身的物聯(lián)網(wǎng)設(shè)備，安全專家真的很擔(dān)心，美國(guó)大斷網(wǎng)的事情會(huì)多次重演。

但他們不得不做，無論是出于網(wǎng)絡(luò)安全守衛(wèi)者的初心，商業(yè)上的考慮，技術(shù)上的不斷突破還是社會(huì)責(zé)任與公眾利益。

愿意正面詳聊抗擊黑產(chǎn)故事的人并不多。事實(shí)上，他們多有顧慮：大多數(shù)情況下不能暴露他們的真實(shí)姓名、照片，他們“端掉的”可能是黑產(chǎn)幾十億的生意，冒著極大的人身危險(xiǎn)；他們配合警方辦案時(shí)不能透露案情，就算已經(jīng)抓捕了嫌疑人，也要等到定罪之后才能開口。但他們能說的也有限，他們不想深聊其中的對(duì)抗技術(shù)，因?yàn)閾?dān)心對(duì)抗升級(jí)，黑產(chǎn)從業(yè)者變得更狡詐。

謝謝這些“匿名者”，讓我們知道互聯(lián)網(wǎng)背后的險(xiǎn)惡江湖與看不見的艱難對(duì)抗。

雷鋒網(wǎng)宅客頻道（微信ID：letshome）將持續(xù)記錄與黑產(chǎn)對(duì)抗有關(guān)的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。