百度搜索競價排名，滋養(yǎng)的最大產(chǎn)業(yè)可能并不是莆田醫(yī)院，而是很多三不管地帶，例如某些小眾行業(yè)。誰的關鍵詞排在第一，他的競爭對手很可能會雇傭 DDoS 把它打下來。這種生意組成了巨大的流量。

道哥把腳搭在茶幾上，為雷鋒網(wǎng)科普江湖的險惡。

【道哥 吳翰清】

這個資深黑客擁有諸多身份：寫“道哥的黑板報”的“文藝網(wǎng)紅”；阿里云云盾的負責人。在他心里，第一個身份輕如鴻毛，第二個身份重若泰山。

保衛(wèi)阿里云這個中國 35% 的網(wǎng)站都坐落其上的云計算平臺和上面的居民，道哥覺得自己守土有責，不容有失。探底黑產(chǎn)，描繪自己的作戰(zhàn)地圖，是他對自己職責要求的一部分。

他告訴雷鋒網(wǎng)一個秘訣：“想要知道中國的黑產(chǎn)有哪些行業(yè)，只要看淘寶的禁限售板塊就夠了?！盌DoS攻擊，敲詐勒索，暗網(wǎng)黑市，這些黑色產(chǎn)業(yè)，往往最終都會涉及到對阿里云上服務器的攻擊。

站在他的角度看，這個世界充滿血雨腥風。

險惡的世界

DDoS

我們定義一個大的流量攻擊，一般是300G以上。實際上根據(jù)我們掌握的信息，國內已經(jīng)有組織可以打出一個T的 DDoS 攻擊。而且，其中80%都是由同一個組織打出來的。這些組織的實際控制人大多都潛逃在國外。

驅動這些攻擊的原因非常簡單：錢。有人買就有人賣。道哥告訴雷鋒網(wǎng)，如今打出 10G 流量攻擊，只需要幾百塊錢。

DDoS 攻擊這個行業(yè)，最為經(jīng)典的玩法是攻擊游戲私服。由于私服本身具有違法性質，所以并不敢求助于警察，黑吃黑是行業(yè)的通則。2013年中國國家頂級域名“.cn”的根域名曾經(jīng)被打攤，這件轟動一時的事件就是因為黑產(chǎn)攻擊誤傷了底層服務器。

掌握巨大帶寬資源的黑客組織兩邊賺錢，一邊收人錢財替人攻擊，一邊敲詐被攻擊者謀取更高利益。他們甚至勾結 IDC 機房，花錢買下機房所有的閑置帶寬，生意規(guī)模超出一般人的想象。

敲詐

很不幸，所有拿熱錢的行業(yè)，都會被黑客盯上。P2P和互聯(lián)網(wǎng)金融就是本輪中槍的行業(yè)。

因為金融行業(yè)信譽非常重要，如果服務宕機，就很有可能喪失用戶的信任，從而遭受擠兌，這可能會導致破產(chǎn)。恰恰這個行業(yè)沒有很強的監(jiān)管，有些涉及到私募或非法集資。這些都是黑客勒索的絕佳條件。

道哥講了黑產(chǎn)的兩種玩法

1、入侵 P2P 公司的服務器，盜取用戶的信息。把這些高價值的客戶信息出售，由下家進行廣告和黑色推廣。

2、威脅 DDoS 攻擊，敲詐勒索。如果妥協(xié)掏錢，過一段時間對方往往還會回來繼續(xù)勒索。

搞清黑客的目的，對于防御至關重要。“根據(jù)判斷，下一個被黑產(chǎn)盯上的行業(yè)很有可能是直播行業(yè)。從現(xiàn)在的情況來看，這件事情已經(jīng)發(fā)生了?！彼f。

【某英文 DDoS 敲詐信】

云上的攻防

云是解藥

作為云計算的信徒，道哥相信這種正在迅速攻城略地的計算變革，從某種程度上來說是安全的解藥。他舉了一個例子：

我曾經(jīng)到網(wǎng)絡金融處參觀，他們的職能是監(jiān)管各個銀行。在巨大的屏幕上，他們能夠實時監(jiān)控各個系統(tǒng)有沒有出現(xiàn)漏洞。但是，他們只能看到，卻無法迅速修補。因為它對應的1000多個業(yè)務主體，各自的系統(tǒng)模式都是不一樣的。

但是如果使用云計算作為基礎，就可以統(tǒng)一 Iaas 層，在很短的時間里修復漏洞。

今年上半年，云盾為云上的幾萬個客戶共修復了46萬個漏洞。這個成績讓道哥頗為驕傲，他說在以前這不可想象。

現(xiàn)實殘酷

縱然背靠阿里云，在和黑產(chǎn)的對抗中，防守一方也并不占優(yōu)勢。他說：

很遺憾，攻擊者仍然走在前面。因為我我們還不能預測黑客下一步的動向。

這直接導致了安全產(chǎn)品必須被動地等待攻擊發(fā)生，才可以采取“救火”行動。對于云盾來說，從黑客暴露攻擊意圖，到攻擊被封堵，仍然有12個小時的周期。

黑產(chǎn)控制的互聯(lián)網(wǎng)攻擊如同疫情一樣，大多數(shù)情況下，被感染的主機都會繼續(xù)向周圍傳播惡意代碼。而面對以“光速”傳播的病毒，每一秒都至關重要。

2015年12月，有數(shù)千個客戶的云服務器對外瘋狂發(fā)包。云盾緊急處置，發(fā)現(xiàn)黑客正在使用了一個弱口令漏洞傳播惡意代碼?！靶姨澾@個漏洞在12個小時之內被修復，如果響應時間是24或48小時，就會造成更大的損失?！彼f。

優(yōu)質的標準品

如果把互聯(lián)網(wǎng)的攻防簡化到一張地圖上，你可以看到無數(shù)漂浮于云上的節(jié)點，黑產(chǎn)和安全人員拼盡全力爭奪這些節(jié)點。

在如瘟疫一般擴散的惡意代碼眼里，沒有大企業(yè)和小企業(yè)，只有能夠攻下的服務器和不能攻下的服務器。

現(xiàn)在幾乎所有的安全公司都在服務頂端 3% 的大客戶，因為他們有充足的資源雇傭各種特種兵。但是很多并沒有很多安全預算的中小企業(yè)的死活卻沒人關心。

道哥覺得，云盾應該為中小企業(yè)提供安全感。實際上物美價廉的解決方案只有一種，那就是不需要耗費過多人工成本的軟件服務平臺（SaaS），所謂優(yōu)質的標準品。

接下來的問題就變成了：怎樣才能做出這樣的一個平臺。

數(shù)據(jù)和計算

把機器訓練成安全專家

一個優(yōu)秀的安全人員，可以通過分析網(wǎng)絡日志，找出服務器被進攻的蛛絲馬跡，在黑產(chǎn)攻防版圖上拔掉敵人的一個據(jù)點。

但是對于道哥的云盾來說，它面對著數(shù)以十萬計的云服務器，人工排查根本不是他的選項之一。如何把機器訓練成為安全專家才是解題方法。

一支火箭想要上天，其核心要素有兩個：發(fā)動機和燃料。機器學習很像一枚火箭，它的燃料是巨大的數(shù)據(jù)量，它的發(fā)動機是強大的計算能力。

對于阿里云云盾來說，每天的增量數(shù)據(jù)是 300T，來自于阿里云客戶授權的全量數(shù)據(jù)。而計算資源，本身就是阿里云的巨大優(yōu)勢。

結果是，云盾通過純系統(tǒng)計算的方式，可以感知到80%的入侵。道哥說，這個指標是同類系統(tǒng)的三倍。（其中的技術細節(jié)，可以參考雷鋒網(wǎng)的另一篇文章《阿里云云盾葉敏：打造“機械戰(zhàn)警”》）

孰優(yōu)孰劣

這個檢出率在某種程度上和人工檢查不相上下，道哥給出了一個場景：

如果一個客戶上傳了一個 Webshell，如果安全專家分析全量的數(shù)據(jù)，可能要一周時間，現(xiàn)實情況中，往往不會這樣做。他們往往根據(jù)經(jīng)驗，而不是完整的證據(jù)鏈條來判斷入侵。這種情況下就會出現(xiàn)失誤。而對于機器來說，它會分析全量數(shù)據(jù)，呈現(xiàn)出完整的證據(jù)鏈條。這樣的結果更加精準。

在成本和量級上，云盾和人工沒有可比性。客觀來講，道哥在做的事情，離開阿里云很難復現(xiàn)。

由于云計算服務商被政策強制要求保留六個月以上的歷史紀錄，所以在云盾的大數(shù)據(jù)中，可以查詢任何一個IP在過去半年的行為?；诖耍梢宰龀龈嗟年P聯(lián)分析，例如：兩次攻擊事件之間的關系，一個黑產(chǎn)組織在盯著哪些服務器等等。

如果說由各路黑客大神領軍的安全實驗室是特種兵的話，云盾更像是一支常備部隊，保衛(wèi)阿里云安全的基本態(tài)勢。

道哥自信地對雷鋒網(wǎng)說，云盾面前并沒有明顯的技術困難。但是，鑒于阿里云只掌握了三分之一的云計算基礎資源，所以仍然有很多攻擊脫離阿里云的控制。在這種情況下，可用數(shù)據(jù)可能僅僅是一個 IP 的行為，在有限的數(shù)據(jù)下，如何利用計算能力，就成為了一個重點。

代表我的偉大產(chǎn)品

說來，很多人認識道哥，是因為喜歡他寫的“黑板報”。

道哥的黑板報”最早確實給我?guī)砹艘恍┞曂５也皇莻€作家。我希望的是做出一個好產(chǎn)品，讓產(chǎn)品代表我。

道哥如此解釋荒廢了自己在黑客界“估值頗高”的公眾號的原因。但是，這位黑客并不是生來就如此“任性”。

他為雷鋒網(wǎng)講了一段阿里云掌門人王堅的往事。

當時所有人都謠傳王堅博士要離開。

“糟糕”，是對阿里云最初兩年業(yè)績最廣泛的評價。作為阿里云的掌門人，王堅目睹兄弟部門已經(jīng)磨刀霍霍，單等阿里云解散之后，瓜分兵馬糧草。

【原阿里云掌門人，現(xiàn)阿里巴巴集團技術委員會主席王堅】

縱然相信云計算未來一定會崛起，但是在遙遙無期的漫長等待面前，道哥終于扛不住，辭職了。出乎意料，王堅卻沒走。

他說他數(shù)次被逼到死角，退無可退，但是他真的沒走。他不僅一直堅信云計算大有前途，還在一直不斷地投入自己的一切。馬云不懂云計算，但是最終他選擇相信博士這個人。

王堅的路上終于出現(xiàn)了第一個路標。阿里云用五千臺計算機連接成一個巨大的服務器，這就是5K項目。這個技術創(chuàng)舉一舉奠定了阿里云后來的江湖地位。

“王堅博士顛覆了我的世界觀”，道哥說，“當他邀請我回到阿里云的時候，我真正感覺到，這件事能成?！边@種宗教般的使命感，讓道哥根本不在意他的“黑板報”，一腔熱血死磕云盾，才有了如上的全部對話。

回到這種使命感本身，該堅持堅持，該放棄放棄。做出選擇很簡單。

雷鋒網(wǎng)問道哥：“這個能代表你的產(chǎn)品就是阿里云云盾嗎？”

道哥答：“我希望是?！?/strong>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。