和錘子搶頭條的居然是DDoS攻擊!

8月25日晚，錘子手機新品牌堅果第一款手機公布，發(fā)布會意外延遲引發(fā)網(wǎng)絡(luò)“黑色半小時”大討論。多種猜測在網(wǎng)絡(luò)瘋傳，羅永浩在微博上證實官方網(wǎng)站遭受DDoS攻擊。據(jù)了解，錘子官網(wǎng)遭到高達數(shù)十G的流量攻擊，一度面臨全面癱瘓風(fēng)險。錘子科技立即啟動應(yīng)急預(yù)案，緊急接入騰訊云大禹系統(tǒng)。

DDoS攻擊沒有對錘子新品開放購買帶來影響，但這一事件卻再一次引發(fā)行業(yè)對于網(wǎng)絡(luò)安全的關(guān)注。

由于安全防護能力的參差不齊，作為最常見的網(wǎng)絡(luò)攻擊方式，DDoS往往能給大多數(shù)互聯(lián)網(wǎng)企業(yè)帶來沉重的打擊。幸運的是，一些在網(wǎng)絡(luò)安全上有深厚積累的云安全團隊，已經(jīng)可以將安全防護能力對外開放。

本文基于騰訊云安全團隊的分享，梳理DDoS黑產(chǎn)，希望讓行業(yè)對網(wǎng)絡(luò)安全有更深認識。

DDoS黑產(chǎn)揭秘：以攻為業(yè)，利益至上

城東新開了一家牛肉面館，生意紅火，顧客絡(luò)繹不絕。某天，一個地方惡霸召集了手下一批小弟，一窩蜂涌入牛肉面館，霸占了所有座位，只聊天不點菜，導(dǎo)致真正的顧客無法進店消費。由此，牛肉面館的生意受到影響，損失慘重。

如果把這家牛肉面館看作是一家互聯(lián)網(wǎng)企業(yè)，那么這群地痞的惡行，就是典型的分布式拒絕服務(wù)，也就是我們所說的DDoS攻擊。

攻擊，只是手段。利益，才是永恒的目的。DDoS誕生近二十年，最初純粹是作為一種彰顯黑客能力的技術(shù)而存在，往后卻逐漸發(fā)展成為被人們用以逐利的工具。究其獲利方式，主要有兩大類：敲詐勒索和商業(yè)競爭。

??

圖1：DDoS發(fā)展史

一、敲詐勒索

相比于現(xiàn)實世界，互聯(lián)網(wǎng)可以說是一個更難以監(jiān)督，同時更易于匿藏的世界。在這個虛擬世界里，無論是犯罪成本、風(fēng)險還是法律強制力，都遠比現(xiàn)實世界來得低。

從現(xiàn)實延伸到網(wǎng)絡(luò)，敲詐勒索這門犯罪活動愈演愈烈。而DDoS由于成本低、實施容易等特點，在較早期就開始成為不法之徒在網(wǎng)絡(luò)上敲詐勒索的主要方式。首先，勒索者或勒索組織選取目標(biāo)網(wǎng)站，對其發(fā)起示威性的DDoS攻擊，使其業(yè)務(wù)受到影響。接著，勒索者向受害者發(fā)送勒索信，收取所謂的「保護費」。如果受害者不按照要求支付費用，就會繼續(xù)遭到更猛烈的攻擊。因此，對于眾多互聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)營者來說，DDoS敲詐勒索始終是一個揮之不去的夢魘。

1、在線盈利企業(yè)成獵物

如果說早期黑客所進行的DDoS更多是表現(xiàn)為無序的攻擊，那DDoS敲詐勒索便是有特定目標(biāo)、有一定計劃的犯罪行為。不法之徒所選取的敲詐勒索的對象，往往是一些通過在線經(jīng)營而盈利的業(yè)務(wù)，例如在線交易市場、博彩網(wǎng)站等等。另外，那些缺乏安全防護措施或者安全防護能力低下的在線業(yè)務(wù)或機構(gòu)，也容易成為這些不法之徒的獵物。

而在攻擊時間的選擇上勒索者也很有考究，他們一般會選擇在網(wǎng)站流量高峰期或者網(wǎng)站促銷活動開始前發(fā)動DDoS攻擊，使其業(yè)務(wù)遭到嚴重影響，增加受害者支付「保護費」的可能性。

??

圖2：DDoS敲詐勒索信

2、周而復(fù)始的敲詐

現(xiàn)實中的綁匪在收取保釋金后，未必會遵守約定乖乖放人。網(wǎng)絡(luò)世界也是如此，DDoS攻擊者并非都是講信義的黑客，隱藏在屏幕后面的往往是一個個貪婪的逐利者。

有時候，在受害者繳納了商定的「保護費」之后，該網(wǎng)站就會被黑客列為容易屈服的網(wǎng)站名單中。根據(jù)這份名單，攻擊者會偽裝成其他的攻擊組織再次進行敲詐勒索，或者直接撕破臉皮繼續(xù)發(fā)動攻擊，向其索要更多費用。

3、勒索間接利益

而有的攻擊者向受害者所勒索的，既不是現(xiàn)實貨幣，也不是虛擬貨幣，而是其他間接利益。例如，一些受到攻擊的游戲運營商會被脅迫在其游戲中植入廣告，攻擊者再通過這些廣告渠道獲利。再例如，一些攻擊者會把網(wǎng)吧作為專門的攻擊對象，要求網(wǎng)吧植入僵尸程序，借此擴充自己的僵尸網(wǎng)絡(luò)。

雖然攻擊者沒有從這種變相敲詐勒索中直接獲得錢財，但通過植入廣告或者僵尸程序，他們也實現(xiàn)了間接獲利。

??

圖3：DDoS攻擊軟件

#p#

二、商業(yè)競爭

自古以來，商業(yè)競爭就是市場經(jīng)濟的一部分。為搶占更多的市場份額、獲得更高的經(jīng)濟效益，商品經(jīng)營者展開角逐，相互較量，最后汰弱留強。

商業(yè)競爭在互聯(lián)網(wǎng)這個「萬億市場」中尤為激烈。乘著「互聯(lián)網(wǎng)+」的熱潮，無數(shù)滿懷熱情和理想的創(chuàng)業(yè)者紛紛投奔到這片紅海，老大想要穩(wěn)坐第一，老二想要博取上位，老三想要搶占份額，老四也想分一杯羹。有些行業(yè)競爭者甚至為了利益不擇手段、不顧法紀(jì)。在這種惡性競爭態(tài)勢下，DDoS也成了一種邪惡的競爭手段，被互聯(lián)網(wǎng)業(yè)務(wù)的經(jīng)營者用以妨礙競爭對手的業(yè)務(wù)活動，打擊對手的聲譽，從中獲取競爭優(yōu)勢。

1、電商和游戲深受其害

目前，這種利用DDoS進行惡性競爭的情況主要存在于兩大互聯(lián)網(wǎng)行業(yè)：電商行業(yè)和游戲行業(yè)。O2O模式成為時下新寵，促使電商行業(yè)風(fēng)生水起;而在線游戲用戶量龐大，利潤豐厚。正所謂「樹大招風(fēng)，財大招賊」，在利益和貪欲的驅(qū)使下，DDoS攻擊充斥在這兩個行業(yè)中。

另外，在創(chuàng)業(yè)初期的互聯(lián)網(wǎng)業(yè)務(wù)也較易遭受DDoS攻擊，這些攻擊大多數(shù)是來自行業(yè)壁壘同盟。行業(yè)壁壘同盟為了現(xiàn)有的市場份額不被更多地瓜分，遂通過攻擊，共同抵制同盟外的「行業(yè)新人」。面對嚴峻形勢，很多弱小的互聯(lián)網(wǎng)初創(chuàng)企業(yè)只能早早夭折。

2、 助長黑色產(chǎn)業(yè)

有人的地方就有江湖，有需求的地方就有市場。在互聯(lián)網(wǎng)地下市場中，利用DDoS進行商業(yè)競爭已經(jīng)成為一種低成本、見效快的現(xiàn)象，因此，在網(wǎng)絡(luò)世界中明碼標(biāo)價提供DDoS攻擊服務(wù)的黑產(chǎn)市場也隨之不斷擴張，并逐漸形成一條成熟的黑色產(chǎn)業(yè)鏈。

在這個黑色產(chǎn)業(yè)中，DDoS黑客不再是單純發(fā)泄不滿的年輕人，也不再是組織攻擊的主角，他們成了同行競爭者所雇傭的「打手」。從事DDoS攻擊服務(wù)已有四年的K哥甚至信心滿滿地說：這是一份「零風(fēng)險」的活兒，只要不打政府網(wǎng)站，沒人會管，管也管不了。

3、兩百塊搞定一單

當(dāng)某個行業(yè)發(fā)展到一定階段，就自然而然衍生出一些業(yè)內(nèi)行規(guī)。在提供DDoS攻擊服務(wù)的黑市中，黑產(chǎn)從業(yè)者要想有生意，首先需要接收「D單」和「C單」。所謂「D單」，就是客戶要求對某個目標(biāo)發(fā)起DDoS的訂單?！窩單」則是指使用CC攻擊的訂單(CC攻擊：DDoS攻擊中較含技術(shù)含量的一種)。除此之外，DDoS黑市上還有「包天單」、「包夜單」等說法，分別指對目標(biāo)進行整天、整夜攻擊的大訂單。

目前黑市上，根據(jù)攻擊難度和攻擊時長，完成一份D單的報酬從100元到上千元不等，一般是200元一單。據(jù)一位專門接單的黑產(chǎn)人員透露：憑這份活兒，一個月能凈賺3000元人民幣以上。

??

圖5：DDoS攻擊交易

4、黑吃黑現(xiàn)象普遍

在交易的時候，「先測試，后付款」是黑產(chǎn)人員與客戶之間相沿成習(xí)的規(guī)定。攻擊者先為客戶對目標(biāo)進行小試牛刀的DDoS攻擊，讓客戶看到效果后再進行付款。收到約定的款項后，攻擊者才會對目標(biāo)進行持續(xù)性的攻擊，攻擊力度和時長根據(jù)客戶要求而定。另外還有一種簡單粗暴的交易規(guī)則：直到攻擊者把目標(biāo)網(wǎng)站徹底打癱瘓了，客戶再一次性付款，行內(nèi)俗稱「支持測試，打死付款」。

然而，在DDoS接單黑產(chǎn)中，也存在較多黑吃黑現(xiàn)象——客戶騙取免費「測試」后逃之夭夭，或者接單人員收取客戶的款項后，不按照約定提供攻擊服務(wù)，直接拉黑對方。

5、攻擊工具唾手可得

外行人可能會認為DDoS攻擊是黑客的專利，實際上，進行DDoS攻擊的門檻變得越來越低，這很大程度上是由于DDoS攻擊工具唾手可得。

現(xiàn)在，DDoS攻擊所需的工具一般在網(wǎng)絡(luò)上可以直接免費下載，稍微好一點的也能在網(wǎng)上廉價購得。這些工具使用簡單、方便，只要輸入攻擊目標(biāo)的地址就能進行攻擊。此外，攻擊所需的流量也可在網(wǎng)上租用，一般按時按量收費。

??

圖6：DDoS攻擊所需的流量可在網(wǎng)上租用

6、會打字就會DDoS

有了攻擊工具和流量，進行DDoS便不再是難事。因此，除了接收攻擊訂單，有的攻擊者還有償接收學(xué)徒，提供DDoS教學(xué)。目前黑市上學(xué)習(xí)DDoS的學(xué)費從100元到500元人民幣不等。有的黑產(chǎn)人員甚至提供免費教學(xué)，前提是學(xué)徒必須租用由他們提供的工具和流量。從學(xué)徒收來的學(xué)費和租用費，也成了這些黑產(chǎn)從業(yè)者收入的一部分。

說到學(xué)習(xí)難度，黑產(chǎn)從業(yè)者承諾：只要會打字，就保證能學(xué)會DDoS。事實上，這種說法并不假，只要具備攻擊工具(軟件)和攻擊資源(流量)，發(fā)起DDoS攻擊的人可以是完全不具備專業(yè)技術(shù)知識的人。

??

圖7：黑產(chǎn)人員招收學(xué)徒

曾有一位互聯(lián)網(wǎng)大拿說過：安全，是互聯(lián)網(wǎng)企業(yè)的第一道門檻?？v觀被DDoS充斥的互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)圈，這句話顯得格外在理。