百度搜索競(jìng)價(jià)排名，滋養(yǎng)的最大產(chǎn)業(yè)可能并不是莆田醫(yī)院，而是很多三不管地帶，例如某些小眾行業(yè)。誰(shuí)的關(guān)鍵詞排在第一，他的競(jìng)爭(zhēng)對(duì)手很可能會(huì)雇傭 DDoS 把它打下來(lái)。這種生意組成了巨大的流量。

道哥把腳搭在茶幾上，為雷鋒網(wǎng)科普江湖的險(xiǎn)惡。

【道哥 吳翰清】

這個(gè)資深黑客擁有諸多身份：寫(xiě)“道哥的黑板報(bào)”的“文藝網(wǎng)紅”；阿里云云盾的負(fù)責(zé)人。在他心里，第一個(gè)身份輕如鴻毛，第二個(gè)身份重若泰山。

保衛(wèi)阿里云這個(gè)中國(guó) 35% 的網(wǎng)站都坐落其上的云計(jì)算平臺(tái)和上面的居民，道哥覺(jué)得自己守土有責(zé)，不容有失。探底黑產(chǎn)，描繪自己的作戰(zhàn)地圖，是他對(duì)自己職責(zé)要求的一部分。

他告訴雷鋒網(wǎng)一個(gè)秘訣：“想要知道中國(guó)的黑產(chǎn)有哪些行業(yè)，只要看淘寶的禁限售板塊就夠了?！盌DoS攻擊，敲詐勒索，暗網(wǎng)黑市，這些黑色產(chǎn)業(yè)，往往最終都會(huì)涉及到對(duì)阿里云上服務(wù)器的攻擊。

站在他的角度看，這個(gè)世界充滿血雨腥風(fēng)。

險(xiǎn)惡的世界

DDoS

我們定義一個(gè)大的流量攻擊，一般是300G以上。實(shí)際上根據(jù)我們掌握的信息，國(guó)內(nèi)已經(jīng)有組織可以打出一個(gè)T的 DDoS 攻擊。而且，其中80%都是由同一個(gè)組織打出來(lái)的。這些組織的實(shí)際控制人大多都潛逃在國(guó)外。

驅(qū)動(dòng)這些攻擊的原因非常簡(jiǎn)單：錢(qián)。有人買(mǎi)就有人賣(mài)。道哥告訴雷鋒網(wǎng)，如今打出 10G 流量攻擊，只需要幾百塊錢(qián)。

DDoS 攻擊這個(gè)行業(yè)，最為經(jīng)典的玩法是攻擊游戲私服。由于私服本身具有違法性質(zhì)，所以并不敢求助于警察，黑吃黑是行業(yè)的通則。2013年中國(guó)國(guó)家頂級(jí)域名“.cn”的根域名曾經(jīng)被打攤，這件轟動(dòng)一時(shí)的事件就是因?yàn)楹诋a(chǎn)攻擊誤傷了底層服務(wù)器。

掌握巨大帶寬資源的黑客組織兩邊賺錢(qián)，一邊收人錢(qián)財(cái)替人攻擊，一邊敲詐被攻擊者謀取更高利益。他們甚至勾結(jié) IDC 機(jī)房，花錢(qián)買(mǎi)下機(jī)房所有的閑置帶寬，生意規(guī)模超出一般人的想象。

敲詐

很不幸，所有拿熱錢(qián)的行業(yè)，都會(huì)被黑客盯上。P2P和互聯(lián)網(wǎng)金融就是本輪中槍的行業(yè)。

因?yàn)榻鹑谛袠I(yè)信譽(yù)非常重要，如果服務(wù)宕機(jī)，就很有可能喪失用戶(hù)的信任，從而遭受擠兌，這可能會(huì)導(dǎo)致破產(chǎn)。恰恰這個(gè)行業(yè)沒(méi)有很強(qiáng)的監(jiān)管，有些涉及到私募或非法集資。這些都是黑客勒索的絕佳條件。

道哥講了黑產(chǎn)的兩種玩法

1、入侵 P2P 公司的服務(wù)器，盜取用戶(hù)的信息。把這些高價(jià)值的客戶(hù)信息出售，由下家進(jìn)行廣告和黑色推廣。

2、威脅 DDoS 攻擊，敲詐勒索。如果妥協(xié)掏錢(qián)，過(guò)一段時(shí)間對(duì)方往往還會(huì)回來(lái)繼續(xù)勒索。

搞清黑客的目的，對(duì)于防御至關(guān)重要。“根據(jù)判斷，下一個(gè)被黑產(chǎn)盯上的行業(yè)很有可能是直播行業(yè)。從現(xiàn)在的情況來(lái)看，這件事情已經(jīng)發(fā)生了。”他說(shuō)。

【某英文 DDoS 敲詐信】

云上的攻防

云是解藥

作為云計(jì)算的信徒，道哥相信這種正在迅速攻城略地的計(jì)算變革，從某種程度上來(lái)說(shuō)是安全的解藥。他舉了一個(gè)例子：

我曾經(jīng)到網(wǎng)絡(luò)金融處參觀，他們的職能是監(jiān)管各個(gè)銀行。在巨大的屏幕上，他們能夠?qū)崟r(shí)監(jiān)控各個(gè)系統(tǒng)有沒(méi)有出現(xiàn)漏洞。但是，他們只能看到，卻無(wú)法迅速修補(bǔ)。因?yàn)樗鼘?duì)應(yīng)的1000多個(gè)業(yè)務(wù)主體，各自的系統(tǒng)模式都是不一樣的。

但是如果使用云計(jì)算作為基礎(chǔ)，就可以統(tǒng)一 Iaas 層，在很短的時(shí)間里修復(fù)漏洞。

今年上半年，云盾為云上的幾萬(wàn)個(gè)客戶(hù)共修復(fù)了46萬(wàn)個(gè)漏洞。這個(gè)成績(jī)讓道哥頗為驕傲，他說(shuō)在以前這不可想象。

現(xiàn)實(shí)殘酷

縱然背靠阿里云，在和黑產(chǎn)的對(duì)抗中，防守一方也并不占優(yōu)勢(shì)。他說(shuō)：

很遺憾，攻擊者仍然走在前面。因?yàn)槲椅覀冞€不能預(yù)測(cè)黑客下一步的動(dòng)向。

這直接導(dǎo)致了安全產(chǎn)品必須被動(dòng)地等待攻擊發(fā)生，才可以采取“救火”行動(dòng)。對(duì)于云盾來(lái)說(shuō)，從黑客暴露攻擊意圖，到攻擊被封堵，仍然有12個(gè)小時(shí)的周期。

黑產(chǎn)控制的互聯(lián)網(wǎng)攻擊如同疫情一樣，大多數(shù)情況下，被感染的主機(jī)都會(huì)繼續(xù)向周?chē)鷤鞑阂獯a。而面對(duì)以“光速”傳播的病毒，每一秒都至關(guān)重要。

2015年12月，有數(shù)千個(gè)客戶(hù)的云服務(wù)器對(duì)外瘋狂發(fā)包。云盾緊急處置，發(fā)現(xiàn)黑客正在使用了一個(gè)弱口令漏洞傳播惡意代碼?！靶姨澾@個(gè)漏洞在12個(gè)小時(shí)之內(nèi)被修復(fù)，如果響應(yīng)時(shí)間是24或48小時(shí)，就會(huì)造成更大的損失?！彼f(shuō)。

優(yōu)質(zhì)的標(biāo)準(zhǔn)品

如果把互聯(lián)網(wǎng)的攻防簡(jiǎn)化到一張地圖上，你可以看到無(wú)數(shù)漂浮于云上的節(jié)點(diǎn)，黑產(chǎn)和安全人員拼盡全力爭(zhēng)奪這些節(jié)點(diǎn)。

在如瘟疫一般擴(kuò)散的惡意代碼眼里，沒(méi)有大企業(yè)和小企業(yè)，只有能夠攻下的服務(wù)器和不能攻下的服務(wù)器。

現(xiàn)在幾乎所有的安全公司都在服務(wù)頂端 3% 的大客戶(hù)，因?yàn)樗麄冇谐渥愕馁Y源雇傭各種特種兵。但是很多并沒(méi)有很多安全預(yù)算的中小企業(yè)的死活卻沒(méi)人關(guān)心。

道哥覺(jué)得，云盾應(yīng)該為中小企業(yè)提供安全感。實(shí)際上物美價(jià)廉的解決方案只有一種，那就是不需要耗費(fèi)過(guò)多人工成本的軟件服務(wù)平臺(tái)（SaaS），所謂優(yōu)質(zhì)的標(biāo)準(zhǔn)品。

接下來(lái)的問(wèn)題就變成了：怎樣才能做出這樣的一個(gè)平臺(tái)。

數(shù)據(jù)和計(jì)算

把機(jī)器訓(xùn)練成安全專(zhuān)家

一個(gè)優(yōu)秀的安全人員，可以通過(guò)分析網(wǎng)絡(luò)日志，找出服務(wù)器被進(jìn)攻的蛛絲馬跡，在黑產(chǎn)攻防版圖上拔掉敵人的一個(gè)據(jù)點(diǎn)。

但是對(duì)于道哥的云盾來(lái)說(shuō)，它面對(duì)著數(shù)以十萬(wàn)計(jì)的云服務(wù)器，人工排查根本不是他的選項(xiàng)之一。如何把機(jī)器訓(xùn)練成為安全專(zhuān)家才是解題方法。

一支火箭想要上天，其核心要素有兩個(gè)：發(fā)動(dòng)機(jī)和燃料。機(jī)器學(xué)習(xí)很像一枚火箭，它的燃料是巨大的數(shù)據(jù)量，它的發(fā)動(dòng)機(jī)是強(qiáng)大的計(jì)算能力。

對(duì)于阿里云云盾來(lái)說(shuō)，每天的增量數(shù)據(jù)是 300T，來(lái)自于阿里云客戶(hù)授權(quán)的全量數(shù)據(jù)。而計(jì)算資源，本身就是阿里云的巨大優(yōu)勢(shì)。

結(jié)果是，云盾通過(guò)純系統(tǒng)計(jì)算的方式，可以感知到80%的入侵。道哥說(shuō)，這個(gè)指標(biāo)是同類(lèi)系統(tǒng)的三倍。（其中的技術(shù)細(xì)節(jié)，可以參考雷鋒網(wǎng)的另一篇文章《阿里云云盾葉敏：打造“機(jī)械戰(zhàn)警”》）

孰優(yōu)孰劣

這個(gè)檢出率在某種程度上和人工檢查不相上下，道哥給出了一個(gè)場(chǎng)景：

如果一個(gè)客戶(hù)上傳了一個(gè) Webshell，如果安全專(zhuān)家分析全量的數(shù)據(jù)，可能要一周時(shí)間，現(xiàn)實(shí)情況中，往往不會(huì)這樣做。他們往往根據(jù)經(jīng)驗(yàn)，而不是完整的證據(jù)鏈條來(lái)判斷入侵。這種情況下就會(huì)出現(xiàn)失誤。而對(duì)于機(jī)器來(lái)說(shuō)，它會(huì)分析全量數(shù)據(jù)，呈現(xiàn)出完整的證據(jù)鏈條。這樣的結(jié)果更加精準(zhǔn)。

在成本和量級(jí)上，云盾和人工沒(méi)有可比性?？陀^來(lái)講，道哥在做的事情，離開(kāi)阿里云很難復(fù)現(xiàn)。

由于云計(jì)算服務(wù)商被政策強(qiáng)制要求保留六個(gè)月以上的歷史紀(jì)錄，所以在云盾的大數(shù)據(jù)中，可以查詢(xún)?nèi)魏我粋€(gè)IP在過(guò)去半年的行為?；诖耍梢宰龀龈嗟年P(guān)聯(lián)分析，例如：兩次攻擊事件之間的關(guān)系，一個(gè)黑產(chǎn)組織在盯著哪些服務(wù)器等等。

如果說(shuō)由各路黑客大神領(lǐng)軍的安全實(shí)驗(yàn)室是特種兵的話，云盾更像是一支常備部隊(duì)，保衛(wèi)阿里云安全的基本態(tài)勢(shì)。

道哥自信地對(duì)雷鋒網(wǎng)說(shuō)，云盾面前并沒(méi)有明顯的技術(shù)困難。但是，鑒于阿里云只掌握了三分之一的云計(jì)算基礎(chǔ)資源，所以仍然有很多攻擊脫離阿里云的控制。在這種情況下，可用數(shù)據(jù)可能僅僅是一個(gè) IP 的行為，在有限的數(shù)據(jù)下，如何利用計(jì)算能力，就成為了一個(gè)重點(diǎn)。

代表我的偉大產(chǎn)品

說(shuō)來(lái)，很多人認(rèn)識(shí)道哥，是因?yàn)橄矚g他寫(xiě)的“黑板報(bào)”。

道哥的黑板報(bào)”最早確實(shí)給我?guī)?lái)了一些聲望。但我不是個(gè)作家。我希望的是做出一個(gè)好產(chǎn)品，讓產(chǎn)品代表我。

道哥如此解釋荒廢了自己在黑客界“估值頗高”的公眾號(hào)的原因。但是，這位黑客并不是生來(lái)就如此“任性”。

他為雷鋒網(wǎng)講了一段阿里云掌門(mén)人王堅(jiān)的往事。

當(dāng)時(shí)所有人都謠傳王堅(jiān)博士要離開(kāi)。

“糟糕”，是對(duì)阿里云最初兩年業(yè)績(jī)最廣泛的評(píng)價(jià)。作為阿里云的掌門(mén)人，王堅(jiān)目睹兄弟部門(mén)已經(jīng)磨刀霍霍，單等阿里云解散之后，瓜分兵馬糧草。

【原阿里云掌門(mén)人，現(xiàn)阿里巴巴集團(tuán)技術(shù)委員會(huì)主席王堅(jiān)】

縱然相信云計(jì)算未來(lái)一定會(huì)崛起，但是在遙遙無(wú)期的漫長(zhǎng)等待面前，道哥終于扛不住，辭職了。出乎意料，王堅(jiān)卻沒(méi)走。

他說(shuō)他數(shù)次被逼到死角，退無(wú)可退，但是他真的沒(méi)走。他不僅一直堅(jiān)信云計(jì)算大有前途，還在一直不斷地投入自己的一切。馬云不懂云計(jì)算，但是最終他選擇相信博士這個(gè)人。

王堅(jiān)的路上終于出現(xiàn)了第一個(gè)路標(biāo)。阿里云用五千臺(tái)計(jì)算機(jī)連接成一個(gè)巨大的服務(wù)器，這就是5K項(xiàng)目。這個(gè)技術(shù)創(chuàng)舉一舉奠定了阿里云后來(lái)的江湖地位。

“王堅(jiān)博士顛覆了我的世界觀”，道哥說(shuō)，“當(dāng)他邀請(qǐng)我回到阿里云的時(shí)候，我真正感覺(jué)到，這件事能成。”這種宗教般的使命感，讓道哥根本不在意他的“黑板報(bào)”，一腔熱血死磕云盾，才有了如上的全部對(duì)話。

回到這種使命感本身，該堅(jiān)持堅(jiān)持，該放棄放棄。做出選擇很簡(jiǎn)單。

雷鋒網(wǎng)問(wèn)道哥：“這個(gè)能代表你的產(chǎn)品就是阿里云云盾嗎？”

道哥答：“我希望是?！?/strong>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。