一招鮮，吃遍天。

說到黑客常用的攻擊方式，就不能不提DDoS攻擊（Distributed Denial of Service），即黑客組織通過控制服務(wù)器、肉雞等資源，發(fā)動對包括國家骨干網(wǎng)絡(luò)、重要網(wǎng)絡(luò)設(shè)施、政企或個人網(wǎng)站在內(nèi)的互聯(lián)網(wǎng)上任一目標(biāo)的攻擊，致使目標(biāo)服務(wù)器斷網(wǎng)，最終停止提供服務(wù)。

這一大招造成了 First Blood、Double Kill、Trible Kill、Quadra Kill、Penta Kill、 Killing Spree大殺特殺 ，簡直不能更好用。

據(jù)外媒報道， CDN服務(wù)供應(yīng)商Akamai公司發(fā)布的二季度互聯(lián)網(wǎng)安全報告顯示，2017年全球DDoS攻擊的次數(shù)上升了28%。

DDoS攻擊對全球網(wǎng)絡(luò)安全構(gòu)成了極大威脅，對于威脅行為者而言， DDoS攻擊是從受害者處敲詐金錢、竊取數(shù)據(jù)、同行惡意競爭的首選武器，甚至為了進(jìn)一步黑客主義意圖，還可以隨時發(fā)起大規(guī)模網(wǎng)絡(luò)戰(zhàn)爭。

就在今年4月初，江蘇省某網(wǎng)絡(luò)公司服務(wù)器頻繁遭到DDoS流量攻擊，導(dǎo)致掛載在服務(wù)器上的多個網(wǎng)站無法正常運營，損失嚴(yán)重。

而雷鋒網(wǎng)了解到，此次DDoS攻擊是網(wǎng)站經(jīng)營者的業(yè)務(wù)同行惡意競爭打壓，雇傭黑客實施DDoS攻擊網(wǎng)絡(luò)的犯罪行為。

隨后，警察蜀黍順藤摸瓜挖出了這個DDoS攻擊黑產(chǎn)團(tuán)伙，抓獲分布于全國15省30多個市的犯罪嫌疑人58人，包括發(fā)單人、肉雞商、實施攻擊人、出量人、擔(dān)保人、黑客攻擊軟件作者等DDoS黑產(chǎn)鏈條中的各類角色。

（圖為警方抓獲犯罪嫌疑人）

居然有這么多角色，cosplay嗎？

雷鋒網(wǎng)了解到，DDoS攻擊犯罪已經(jīng)進(jìn)入產(chǎn)業(yè)化時代——從以往的需要專業(yè)黑客實施全部攻擊過程的行為，發(fā)展成由多個犯罪個體共同參與實施的產(chǎn)業(yè)化犯罪行為。比如此次江蘇某網(wǎng)絡(luò)公司DDoS流量攻擊案件，便是DDoS攻擊產(chǎn)業(yè)鏈化的典型例子。

那么，在這個黑色產(chǎn)業(yè)鏈中，這些角色如何“分工協(xié)作”呢？

在DDoS攻擊黑色產(chǎn)業(yè)鏈中，鏈條頂端的角色為“發(fā)單人”，也就是出資并發(fā)出對具體網(wǎng)站或服務(wù)器的攻擊需求的人。常見的“發(fā)單人”通常是非法網(wǎng)站如色情、賭博、彩票、游戲私服等網(wǎng)站的經(jīng)營者，為了打壓競爭對手而雇傭黑客對其他同類網(wǎng)站進(jìn)行攻擊。

接到“發(fā)單人”指令并執(zhí)行攻擊的人，稱為“攻擊實施人”。實施攻擊的方式有兩種，一種是利用軟件、工具操縱肉雞（被入侵利用做攻擊工具的個人計算機(jī)）模擬訪問，占用目標(biāo)的服務(wù)器CPU資源，導(dǎo)致正常用戶無法訪問；另一種是發(fā)送大量流量攻擊目標(biāo)服務(wù)器，導(dǎo)致服務(wù)器無法訪問網(wǎng)絡(luò)。軟件或工具多數(shù)購買自“黑客軟件作者”。而有的“攻擊實施人”由于不懂DDoS攻擊服務(wù)器搭建，于是從“肉雞商”和“出量人”手中購買已經(jīng)搭建好的“肉雞集群”和“流量平臺網(wǎng)頁端的服務(wù)”。

“肉雞商”是侵入計算機(jī)信息系統(tǒng)的實施人，或者買賣被侵入計算機(jī)系統(tǒng)權(quán)限的中間商。他們利用后門程序（繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的程序方法）配合各種各樣的安全漏洞，獲得個人計算機(jī)和服務(wù)器的控制權(quán)限，植入木馬，使得這些計算機(jī)變成能實施DDoS攻擊的“肉雞”。

“出量人”是擁有服務(wù)器控制權(quán)限和網(wǎng)絡(luò)流量的人。他們有一定技術(shù)能力，能夠租用專屬服務(wù)器并自行配置攻擊軟件從而獲取流量。

在發(fā)單、購買肉雞、購買流量等各個交易環(huán)節(jié)中，因為交易的雙方往往并不認(rèn)識，于是他們會找到業(yè)內(nèi)“信譽”較高的黑客作為“擔(dān)保人”，負(fù)責(zé)買賣雙方的資金中轉(zhuǎn)，擔(dān)保人可從中抽取一定的好處費。

（圖為DDoS黑產(chǎn)集團(tuán)運作模式）

攻擊不止，打擊不停

隨著DDoS攻擊的產(chǎn)業(yè)化和僵尸網(wǎng)絡(luò)構(gòu)建工具包和所謂的“stresser”、“booter”以及其他DDoS出租服務(wù)的廣泛運用，不僅增加了DDoS攻擊的打擊難度，還降低了DDoS攻擊的實施門檻。

如今，不再僅僅是國家支持的黑客和APT組織能夠使用DDoS基礎(chǔ)架構(gòu)，就連普通的網(wǎng)絡(luò)犯罪分子和腳本小子也能夠輕松發(fā)起一場DDoS攻擊。

犯罪成本低了，犯罪率自然上去了。

不過警察蜀黍也在積極打擊DDoS攻擊，鏟除DDoS攻擊黑色產(chǎn)業(yè)鏈，普通大眾也不必太過憂心。

文中騰訊“守護(hù)者計劃”安全團(tuán)隊對江蘇省公安局網(wǎng)安支隊抓獲DDoS攻擊黑產(chǎn)團(tuán)伙提供有技術(shù)支撐。本文由騰訊“守護(hù)者計劃”安全團(tuán)隊提供材料，雷鋒網(wǎng)編輯整理。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。