今年世界盃期間,黑客“烈劍”的 DDoS攻擊業務接單簡直接到手軟,而且“金主爸爸”們出手都很闊綽,這應該是他從事“中介服務”的四年中,生意最好的時候。
不差錢的金主爸爸來自幾家不同的博彩網站,他們找到“烈劍”的目的很簡單:用最快、最狠的 DDoS 攻擊搞垮競爭對手的網站,把用戶吸引到自己的平臺上來。
雲端 DDoS 黑產鏈
在圈內,這類金主爸爸被稱為“發單人”,他們有些來自色情、賭博、彩票和遊戲私服等網站,用黑客技術手段對同行的服務器進行攻擊致使其宕掉,在圈內早已是慣用伎倆。
而烈劍在圈內更像是一箇中介,由於懂技術,接到金主的單後,烈劍會迅速找到技術不錯的“攻擊手”,這些人可以用手頭現有的軟件和工具來操縱肉雞,讓它們對目標網站進行模擬訪問,佔據其服務器的 CPU 資源,以此來把正常用戶抵擋在門外。或者,直接發送大量流量攻擊目標服務器,導致服務器無法訪問網絡。
在這個黑產鏈條中,“肉雞商”和“出量人”也是攻擊武器的重要提供者,他們手中掌握著已經搭建好的“肉雞集群”和“流量平臺網頁端的服務”,在實施攻擊前,這些“肉雞商”已經利用後門程序和漏洞,獲得電腦和服務器的控制權限,並植入木馬,使得這些計算機變成能實施 DDoS 攻擊的“肉雞”。而“出量人”作為擁有服務器控制權限和網絡流量的人,能夠租用專屬服務器並自行配置攻擊軟件從而獲取流量。
在利益面前,各路黑產配合默契,攻擊“武器”這兩年越來越先進,這也讓烈劍的生意越做越大。
其實,除了處於灰色地帶的一些比較邊緣的網站,一些跟國計民生相關的關鍵基礎設施也會遭到 DDoS 攻擊,目前,互聯網、金融、能源製造、政府機構等多個行業中,都面臨著相似的風險。
上雲後的超級 DDos 攻擊
要說近幾年越來越猖獗的 DDos 攻擊,其實還要拜“上雲”所賜。
正如一枚硬幣的兩面,網絡帶寬增加後,更高速、更廣泛的網絡連接讓我們的生活更加的便利,但這也為DDoS 攻擊創造了極為有利的條件,以前黑客獲取一個IP 後,可能對應的只是一個普通的用戶,但現在獲取了一個IP,他可以在拿到後門後去查屬於哪個服務商,是不是整片雲是不是有同樣的問題。
中國電信網絡安全產品運營中心的高級產品經理張曉華,就帶來了近幾年電信網內的攻擊趨勢圖↓↓↓
張曉華回憶,在2013年的時候,大部分客戶的主機還是在自己的機房裡面,最多也就是在 IDC 機房,然後扯上一根 2M 的線,直接接到服務器上面,所以那時雖然也有 DDos ,但攻擊量並不大。
隨著近幾年客戶逐漸上雲,接入帶寬變大,配備的都是上百G的雲資源池,這就出現了兩點變化,一是一旦成為肉雞,能夠往外攻擊的流量也會變大;二是隨著能夠湧入的流量增多,需要投資和配備的防護設備也需要相應升級。
這就如同你們家原來的門只是一個小門,一次最多隻能同時進來兩個人,要擋住壞人,簡單的小防盜門就可以,由於人數少,哪些進來的是好人,哪些是壞人,也好分辨。但現在你們家的的門變成了一扇巨大的門,可以同時擁進上百個人,這時原有的防盜門就會不堪一擊。
更加糟糕的情況是,隨著黑產使用的各類攻擊“武器”在不斷升級,針對 DDos攻擊的防護成本遠遠大於攻擊成本,而且由於肉雞的數量眾多,對於攻擊源的追查難度很大。
目前,出於商業競爭、打擊報復和網絡敲詐等多種因素,很多IDC託管機房、商業站點、遊戲服務器、聊天網絡等網絡服務商長期以來一直成為DDoS攻擊的目標,而隨之而來出現的同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題。
要想解決上百個人堵在門口,而正常用戶卻被擋在門外這個問題,有一個辦法就是從攻擊源頭就開始治理,這就如同你要阻止100個人從全國各地來到你這裡鬧事,最好的辦法不是在等他們集結好之後,在鬧事地點等他們,而是在他們出發的時候,就能夠識別出他們,在源頭進行治理,張曉華把這稱為---近源清洗,而這個平臺,被稱為“雲堤”。
換句話說,清洗就是把正常的用戶放進來,把肉雞擋在門外,讓業務可以正常進行。
於用戶而言,他們可以對攻擊流量無感知;於運營商而言,可以通過在攻擊流量發起側網絡內處置掉攻擊流量,提高運營商網絡的資源利用。
為什麼要搞近源清洗
抗擊DDoS的方式有很多,為什麼電信要選擇雲上做近源清理這種方式?
這還得從電信作為一家運營商所擁有的監測系統講起。
與其他安全廠商不同,作為一家運營商,其本身就有DPI(基於應用層的流量檢測和控制技術)、Netflow 監測系統、Botnet 監測系統、僵木蠕監測系統以及DNS等提供的實時信息來進行監測。
黑客無論是要幹什麼事情,最終還是得用運營商的網絡的,而如果憑藉早就在網絡中佈下的各類監測設備,就可以為最終的“抓捕”提供線索。
憑藉電信自身的能力就可以達到監測的目的?你們不買外部的威脅情報嗎?
對於雷鋒網的這個問題,張曉華透露,威脅情報在整個處理過程中,其實更多的是處於一個補充的作用。
除了有識別能力,還得有處理能力,你能看出哪個是壞人,還要有把壞人撂倒的本事,重要的是還不能傷及無辜。
張曉華透露,運營商所具有的網絡部署與路由調度能力也是他們的殺手鐧之一,通過調度能力,就可以直接實現超大規模的網絡層/應用層攻擊防護,通過雲化分佈式清洗中心可同時協同處置區域攻擊流量,這時單節點處理能力就能得到協同節點的有效補充。
據雷鋒網瞭解,目前這個清洗中心在國內有26個,未來會逐漸雲話,張坦言,雖然網撒的很大,但在應用層的防護方面,未來依然需要加強對防護策略的制定,希望最終能做到客戶完全不需要自己的處理的程度。
雷鋒網還注意到,即將公佈的《網絡安全等級保護條例》中,對於雲上的安全也提出了更高的要求,以防DDos為例,現在的標準會要求“肉雞”也要承擔主體責任。
簡單來說,你不僅要時刻注意自己有沒有被 DDos攻擊,還要確保自己不成為肉雞,去攻擊別人。
這些肉雞某種程度上,如同電影《釜山行》中的喪屍,雖然你很無辜,你被別人咬了,但被咬的後果就是你馬上也會成為一個攻擊者,去傷害更多無辜的人。
閱讀更多 雷鋒網 的文章
