和錘子搶頭條的居然是DDoS攻擊!
8月25日晚,錘子手機(jī)新品牌堅(jiān)果第一款手機(jī)公布,發(fā)布會(huì)意外延遲引發(fā)網(wǎng)絡(luò)“黑色半小時(shí)”大討論。多種猜測(cè)在網(wǎng)絡(luò)瘋傳,羅永浩在微博上證實(shí)官方網(wǎng)站遭受DDoS攻擊。據(jù)了解,錘子官網(wǎng)遭到高達(dá)數(shù)十G的流量攻擊,一度面臨全面癱瘓風(fēng)險(xiǎn)。錘子科技立即啟動(dòng)應(yīng)急預(yù)案,緊急接入騰訊云大禹系統(tǒng),最后,新品堅(jiān)果手機(jī)順利發(fā)布并在9分鐘內(nèi)全部售罄!
DDoS攻擊沒(méi)有對(duì)錘子新品開(kāi)放購(gòu)買(mǎi)帶來(lái)影響,但這一事件卻再一次引發(fā)行業(yè)對(duì)于網(wǎng)絡(luò)安全的關(guān)注。
由于安全防護(hù)能力的參差不齊,作為最常見(jiàn)的網(wǎng)絡(luò)攻擊方式,DDoS往往能給大多數(shù)互聯(lián)網(wǎng)企業(yè)帶來(lái)沉重的打擊。幸運(yùn)的是,在網(wǎng)絡(luò)安全上有深厚積累的騰訊,已經(jīng)通過(guò)騰訊云將安全防護(hù)能力對(duì)外開(kāi)放。
本文希望通過(guò)騰訊云安全團(tuán)隊(duì)的分享,梳理DDoS黑產(chǎn),希望讓行業(yè)對(duì)網(wǎng)絡(luò)安全有更深認(rèn)識(shí)。
DDoS黑產(chǎn)揭秘:以攻為業(yè),利益至上
城東新開(kāi)了一家牛肉面館,生意紅火,顧客絡(luò)繹不絕。某天,一個(gè)地方惡霸召集了手下一批小弟,一窩蜂涌入牛肉面館,霸占了所有座位,只聊天不點(diǎn)菜,導(dǎo)致真正的顧客無(wú)法進(jìn)店消費(fèi)。由此,牛肉面館的生意受到影響,損失慘重。
如果把這家牛肉面館看作是一家互聯(lián)網(wǎng)企業(yè),那么這群地痞的惡行,就是典型的分布式拒絕服務(wù),也就是我們所說(shuō)的DDoS攻擊。
攻擊,只是手段。利益,才是永恒的目的。DDoS誕生近二十年,最初純粹是作為一種彰顯黑客能力的技術(shù)而存在,往后卻逐漸發(fā)展成為被人們用以逐利的工具。究其獲利方式,主要有兩大類(lèi):敲詐勒索和商業(yè)競(jìng)爭(zhēng)。
圖1:DDoS發(fā)展史
一、敲詐勒索
相比于現(xiàn)實(shí)世界,互聯(lián)網(wǎng)可以說(shuō)是一個(gè)更難以監(jiān)督,同時(shí)更易于匿藏的世界。在這個(gè)虛擬世界里,無(wú)論是犯罪成本、風(fēng)險(xiǎn)還是法律強(qiáng)制力,都遠(yuǎn)比現(xiàn)實(shí)世界來(lái)得低。
從現(xiàn)實(shí)延伸到網(wǎng)絡(luò),敲詐勒索這門(mén)犯罪活動(dòng)愈演愈烈。而DDoS由于成本低、實(shí)施容易等特點(diǎn),在較早期就開(kāi)始成為不法之徒在網(wǎng)絡(luò)上敲詐勒索的主要方式。首先,勒索者或勒索組織選取目標(biāo)網(wǎng)站,對(duì)其發(fā)起示威性的DDoS攻擊,使其業(yè)務(wù)受到影響。接著,勒索者向受害者發(fā)送勒索信,收取所謂的「保護(hù)費(fèi)」。如果受害者不按照要求支付費(fèi)用,就會(huì)繼續(xù)遭到更猛烈的攻擊。因此,對(duì)于眾多互聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)營(yíng)者來(lái)說(shuō),DDoS敲詐勒索始終是一個(gè)揮之不去的夢(mèng)魘。
1、在線(xiàn)盈利企業(yè)成獵物
如果說(shuō)早期黑客所進(jìn)行的DDoS更多是表現(xiàn)為無(wú)序的攻擊,那DDoS敲詐勒索便是有特定目標(biāo)、有一定計(jì)劃的犯罪行為。不法之徒所選取的敲詐勒索的對(duì)象,往往是一些通過(guò)在線(xiàn)經(jīng)營(yíng)而盈利的業(yè)務(wù),例如在線(xiàn)交易市場(chǎng)、博彩網(wǎng)站等等。另外,那些缺乏安全防護(hù)措施或者安全防護(hù)能力低下的在線(xiàn)業(yè)務(wù)或機(jī)構(gòu),也容易成為這些不法之徒的獵物。
而在攻擊時(shí)間的選擇上勒索者也很有考究,他們一般會(huì)選擇在網(wǎng)站流量高峰期或者網(wǎng)站促銷(xiāo)活動(dòng)開(kāi)始前發(fā)動(dòng)DDoS攻擊,使其業(yè)務(wù)遭到嚴(yán)重影響,增加受害者支付「保護(hù)費(fèi)」的可能性。
圖2:DDoS敲詐勒索信
2、周而復(fù)始的敲詐
現(xiàn)實(shí)中的綁匪在收取保釋金后,未必會(huì)遵守約定乖乖放人。網(wǎng)絡(luò)世界也是如此,DDoS攻擊者并非都是講信義的黑客,隱藏在屏幕后面的往往是一個(gè)個(gè)貪婪的逐利者。
有時(shí)候,在受害者繳納了商定的「保護(hù)費(fèi)」之后,該網(wǎng)站就會(huì)被黑客列為容易屈服的網(wǎng)站名單中。根據(jù)這份名單,攻擊者會(huì)偽裝成其他的攻擊組織再次進(jìn)行敲詐勒索,或者直接撕破臉皮繼續(xù)發(fā)動(dòng)攻擊,向其索要更多費(fèi)用。
3、勒索間接利益
而有的攻擊者向受害者所勒索的,既不是現(xiàn)實(shí)貨幣,也不是虛擬貨幣,而是其他間接利益。例如,一些受到攻擊的游戲運(yùn)營(yíng)商會(huì)被脅迫在其游戲中植入廣告,攻擊者再通過(guò)這些廣告渠道獲利。再例如,一些攻擊者會(huì)把網(wǎng)吧作為專(zhuān)門(mén)的攻擊對(duì)象,要求網(wǎng)吧植入僵尸程序,借此擴(kuò)充自己的僵尸網(wǎng)絡(luò)。
雖然攻擊者沒(méi)有從這種變相敲詐勒索中直接獲得錢(qián)財(cái),但通過(guò)植入廣告或者僵尸程序,他們也實(shí)現(xiàn)了間接獲利。
圖3:DDoS攻擊軟件
二、商業(yè)競(jìng)爭(zhēng)
自古以來(lái),商業(yè)競(jìng)爭(zhēng)就是市場(chǎng)經(jīng)濟(jì)的一部分。為搶占更多的市場(chǎng)份額、獲得更高的經(jīng)濟(jì)效益,商品經(jīng)營(yíng)者展開(kāi)角逐,相互較量,最后汰弱留強(qiáng)。
商業(yè)競(jìng)爭(zhēng)在互聯(lián)網(wǎng)這個(gè)「萬(wàn)億市場(chǎng)」中尤為激烈。乘著「互聯(lián)網(wǎng)+」的熱潮,無(wú)數(shù)滿(mǎn)懷熱情和理想的創(chuàng)業(yè)者紛紛投奔到這片紅海,老大想要穩(wěn)坐第一,老二想要博取上位,老三想要搶占份額,老四也想分一杯羹。有些行業(yè)競(jìng)爭(zhēng)者甚至為了利益不擇手段、不顧法紀(jì)。在這種惡性競(jìng)爭(zhēng)態(tài)勢(shì)下,DDoS也成了一種邪惡的競(jìng)爭(zhēng)手段,被互聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)營(yíng)者用以妨礙競(jìng)爭(zhēng)對(duì)手的業(yè)務(wù)活動(dòng),打擊對(duì)手的聲譽(yù),從中獲取競(jìng)爭(zhēng)優(yōu)勢(shì)。
1、電商和游戲深受其害
目前,這種利用DDoS進(jìn)行惡性競(jìng)爭(zhēng)的情況主要存在于兩大互聯(lián)網(wǎng)行業(yè):電商行業(yè)和游戲行業(yè)。O2O模式成為時(shí)下新寵,促使電商行業(yè)風(fēng)生水起;而在線(xiàn)游戲用戶(hù)量龐大,利潤(rùn)豐厚。正所謂「樹(shù)大招風(fēng),財(cái)大招賊」,在利益和貪欲的驅(qū)使下,DDoS攻擊充斥在這兩個(gè)行業(yè)中。
另外,在創(chuàng)業(yè)初期的互聯(lián)網(wǎng)業(yè)務(wù)也較易遭受DDoS攻擊,這些攻擊大多數(shù)是來(lái)自行業(yè)壁壘同盟。行業(yè)壁壘同盟為了現(xiàn)有的市場(chǎng)份額不被更多地瓜分,遂通過(guò)攻擊,共同抵制同盟外的「行業(yè)新人」。面對(duì)嚴(yán)峻形勢(shì),很多弱小的互聯(lián)網(wǎng)初創(chuàng)企業(yè)只能早早夭折。
助長(zhǎng)黑色產(chǎn)業(yè)
有人的地方就有江湖,有需求的地方就有市場(chǎng)。在互聯(lián)網(wǎng)地下市場(chǎng)中,利用DDoS進(jìn)行商業(yè)競(jìng)爭(zhēng)已經(jīng)成為一種低成本、見(jiàn)效快的現(xiàn)象,因此,在網(wǎng)絡(luò)世界中明碼標(biāo)價(jià)提供DDoS攻擊服務(wù)的黑產(chǎn)市場(chǎng)也隨之不斷擴(kuò)張,并逐漸形成一條成熟的黑色產(chǎn)業(yè)鏈。
圖4:形形色色的DDoS接單廣告
在這個(gè)黑色產(chǎn)業(yè)中,DDoS黑客不再是單純發(fā)泄不滿(mǎn)的年輕人,也不再是組織攻擊的主角,他們成了同行競(jìng)爭(zhēng)者所雇傭的「打手」。從事DDoS攻擊服務(wù)已有四年的K哥甚至信心滿(mǎn)滿(mǎn)地說(shuō):這是一份「零風(fēng)險(xiǎn)」的活兒,只要不打政府網(wǎng)站,沒(méi)人會(huì)管,管也管不了。
3、兩百塊搞定一單
當(dāng)某個(gè)行業(yè)發(fā)展到一定階段,就自然而然衍生出一些業(yè)內(nèi)行規(guī)。在提供DDoS攻擊服務(wù)的黑市中,黑產(chǎn)從業(yè)者要想有生意,首先需要接收「D單」和「C單」。所謂「D單」,就是客戶(hù)要求對(duì)某個(gè)目標(biāo)發(fā)起DDoS的訂單。「C單」則是指使用CC攻擊的訂單(CC攻擊:DDoS攻擊中較含技術(shù)含量的一種)。除此之外,DDoS黑市上還有「包天單」、「包夜單」等說(shuō)法,分別指對(duì)目標(biāo)進(jìn)行整天、整夜攻擊的大訂單。
目前黑市上,根據(jù)攻擊難度和攻擊時(shí)長(zhǎng),完成一份D單的報(bào)酬從100元到上千元不等,一般是200元一單。據(jù)一位專(zhuān)門(mén)接單的黑產(chǎn)人員透露:憑這份活兒,一個(gè)月能凈賺3000元人民幣以上。
圖5:DDoS攻擊交易
4、黑吃黑現(xiàn)象普遍
在交易的時(shí)候,「先測(cè)試,后付款」是黑產(chǎn)人員與客戶(hù)之間相沿成習(xí)的規(guī)定。攻擊者先為客戶(hù)對(duì)目標(biāo)進(jìn)行小試牛刀的DDoS攻擊,讓客戶(hù)看到效果后再進(jìn)行付款。收到約定的款項(xiàng)后,攻擊者才會(huì)對(duì)目標(biāo)進(jìn)行持續(xù)性的攻擊,攻擊力度和時(shí)長(zhǎng)根據(jù)客戶(hù)要求而定。另外還有一種簡(jiǎn)單粗暴的交易規(guī)則:直到攻擊者把目標(biāo)網(wǎng)站徹底打癱瘓了,客戶(hù)再一次性付款,行內(nèi)俗稱(chēng)「支持測(cè)試,打死付款」。
然而,在DDoS接單黑產(chǎn)中,也存在較多黑吃黑現(xiàn)象——客戶(hù)騙取免費(fèi)「測(cè)試」后逃之夭夭,或者接單人員收取客戶(hù)的款項(xiàng)后,不按照約定提供攻擊服務(wù),直接拉黑對(duì)方。
5、攻擊工具唾手可得
外行人可能會(huì)認(rèn)為DDoS攻擊是黑客的專(zhuān)利,實(shí)際上,進(jìn)行DDoS攻擊的門(mén)檻變得越來(lái)越低,這很大程度上是由于DDoS攻擊工具唾手可得。
現(xiàn)在,DDoS攻擊所需的工具一般在網(wǎng)絡(luò)上可以直接免費(fèi)下載,稍微好一點(diǎn)的也能在網(wǎng)上廉價(jià)購(gòu)得。這些工具使用簡(jiǎn)單、方便,只要輸入攻擊目標(biāo)的地址就能進(jìn)行攻擊。此外,攻擊所需的流量也可在網(wǎng)上租用,一般按時(shí)按量收費(fèi)。
圖6:DDoS攻擊所需的流量可在網(wǎng)上租用
6、會(huì)打字就會(huì)DDoS
有了攻擊工具和流量,進(jìn)行DDoS便不再是難事。因此,除了接收攻擊訂單,有的攻擊者還有償接收學(xué)徒,提供DDoS教學(xué)。目前黑市上學(xué)習(xí)DDoS的學(xué)費(fèi)從100元到500元人民幣不等。有的黑產(chǎn)人員甚至提供免費(fèi)教學(xué),前提是學(xué)徒必須租用由他們提供的工具和流量。從學(xué)徒收來(lái)的學(xué)費(fèi)和租用費(fèi),也成了這些黑產(chǎn)從業(yè)者收入的一部分。
說(shuō)到學(xué)習(xí)難度,黑產(chǎn)從業(yè)者承諾:只要會(huì)打字,就保證能學(xué)會(huì)DDoS。事實(shí)上,這種說(shuō)法并不假,只要具備攻擊工具(軟件)和攻擊資源(流量),發(fā)起DDoS攻擊的人可以是完全不具備專(zhuān)業(yè)技術(shù)知識(shí)的人。
圖7:黑產(chǎn)人員招收學(xué)徒
騰訊云全面開(kāi)放安全防護(hù)能力,新版大禹系統(tǒng)即將發(fā)布
曾有一位互聯(lián)網(wǎng)大拿說(shuō)過(guò):安全,是互聯(lián)網(wǎng)企業(yè)的第一道門(mén)檻。縱觀(guān)被DDoS充斥的互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)圈,這句話(huà)顯得格外在理。
為了提高互聯(lián)網(wǎng)業(yè)界的安全防護(hù)能力,騰訊云總結(jié)十年安全對(duì)抗經(jīng)驗(yàn),傾力打造成熟的DDoS攻擊防護(hù)解決方案「大禹」,該系統(tǒng)曾抵御近300G攻擊峰值,能夠?yàn)轵v訊云客戶(hù)業(yè)務(wù)提供穩(wěn)定可靠的DDoS攻擊檢測(cè)與防護(hù)能力,為業(yè)務(wù)的安全、穩(wěn)定、健康運(yùn)營(yíng)保駕護(hù)航。
近期,團(tuán)隊(duì)集中研發(fā)資源對(duì)大禹系統(tǒng)進(jìn)行了多次升級(jí),新版大禹系統(tǒng)預(yù)計(jì)將在九月中旬對(duì)外全面開(kāi)放。新版本將進(jìn)一步強(qiáng)化DDoS和CC的防護(hù)能力,使其具備應(yīng)用防火墻(WAF)、反DNS劫持、資源防盜鏈等安全能力,并且提供加速訪(fǎng)問(wèn)的功能,形成更加可靠和全面的web安全解決方案。
