今年世界杯期間，黑客“烈劍”的 DDoS攻擊業(yè)務(wù)接單簡直接到手軟，而且“金主爸爸”們出手都很闊綽，這應(yīng)該是他從事“中介服務(wù)”的四年中，生意最好的時候。

不差錢的金主爸爸來自幾家不同的博彩網(wǎng)站，他們找到“烈劍”的目的很簡單：用最快、最狠的 DDoS 攻擊搞垮競爭對手的網(wǎng)站，把用戶吸引到自己的平臺上來。

云端  DDoS 黑產(chǎn)鏈

在圈內(nèi)，這類金主爸爸被稱為“發(fā)單人”，他們有些來自色情、賭博、彩票和游戲私服等網(wǎng)站，用黑客技術(shù)手段對同行的服務(wù)器進行攻擊致使其宕掉，在圈內(nèi)早已是慣用伎倆。

而烈劍在圈內(nèi)更像是一個中介，由于懂技術(shù)，接到金主的單后，烈劍會迅速找到技術(shù)不錯的“攻擊手”，這些人可以用手頭現(xiàn)有的軟件和工具來操縱肉雞，讓它們對目標(biāo)網(wǎng)站進行模擬訪問，占據(jù)其服務(wù)器的 CPU 資源，以此來把正常用戶抵擋在門外。或者，直接發(fā)送大量流量攻擊目標(biāo)服務(wù)器，導(dǎo)致服務(wù)器無法訪問網(wǎng)絡(luò)。

在這個黑產(chǎn)鏈條中，“肉雞商”和“出量人”也是攻擊武器的重要提供者，他們手中掌握著已經(jīng)搭建好的“肉雞集群”和“流量平臺網(wǎng)頁端的服務(wù)”，在實施攻擊前，這些“肉雞商”已經(jīng)利用后門程序和漏洞，獲得電腦和服務(wù)器的控制權(quán)限，并植入木馬，使得這些計算機變成能實施 DDoS 攻擊的“肉雞”。而“出量人”作為擁有服務(wù)器控制權(quán)限和網(wǎng)絡(luò)流量的人，能夠租用專屬服務(wù)器并自行配置攻擊軟件從而獲取流量。

在利益面前，各路黑產(chǎn)配合默契，攻擊“武器”這兩年越來越先進，這也讓烈劍的生意越做越大。

其實，除了處于灰色地帶的一些比較邊緣的網(wǎng)站，一些跟國計民生相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施也會遭到 DDoS 攻擊，目前，互聯(lián)網(wǎng)、金融、能源制造、政府機構(gòu)等多個行業(yè)中，都面臨著相似的風(fēng)險。

上云后的超級 DDos 攻擊

要說近幾年越來越猖獗的 DDos 攻擊，其實還要拜“上云”所賜。

正如一枚硬幣的兩面，網(wǎng)絡(luò)帶寬增加后，更高速、更廣泛的網(wǎng)絡(luò)連接讓我們的生活更加的便利，但這也為DDoS 攻擊創(chuàng)造了極為有利的條件，以前黑客獲取一個IP 后，可能對應(yīng)的只是一個普通的用戶，但現(xiàn)在獲取了一個IP，他可以在拿到后門后去查屬于哪個服務(wù)商，是不是整片云是不是有同樣的問題。

中國電信網(wǎng)絡(luò)安全產(chǎn)品運營中心的高級產(chǎn)品經(jīng)理張曉華，就帶來了近幾年電信網(wǎng)內(nèi)的攻擊趨勢圖↓↓↓

張曉華回憶，在2013年的時候，大部分客戶的主機還是在自己的機房里面，最多也就是在 IDC 機房，然后扯上一根 2M 的線，直接接到服務(wù)器上面，所以那時雖然也有 DDos ，但攻擊量并不大。

隨著近幾年客戶逐漸上云，接入帶寬變大，配備的都是上百G的云資源池，這就出現(xiàn)了兩點變化，一是一旦成為肉雞，能夠往外攻擊的流量也會變大；二是隨著能夠涌入的流量增多，需要投資和配備的防護設(shè)備也需要相應(yīng)升級。

這就如同你們家原來的門只是一個小門，一次最多只能同時進來兩個人，要擋住壞人，簡單的小防盜門就可以，由于人數(shù)少，哪些進來的是好人，哪些是壞人，也好分辨。但現(xiàn)在你們家的的門變成了一扇巨大的門，可以同時擁進上百個人，這時原有的防盜門就會不堪一擊。

更加糟糕的情況是，隨著黑產(chǎn)使用的各類攻擊“武器”在不斷升級，針對 DDos攻擊的防護成本遠遠大于攻擊成本，而且由于肉雞的數(shù)量眾多，對于攻擊源的追查難度很大。

目前，出于商業(yè)競爭、打擊報復(fù)和網(wǎng)絡(luò)敲詐等多種因素，很多IDC托管機房、商業(yè)站點、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一直成為DDoS攻擊的目標(biāo)，而隨之而來出現(xiàn)的同虛擬主機用戶受牽連、法律糾紛、商業(yè)損失等一系列問題。

要想解決上百個人堵在門口，而正常用戶卻被擋在門外這個問題，有一個辦法就是從攻擊源頭就開始治理，這就如同你要阻止100個人從全國各地來到你這里鬧事，最好的辦法不是在等他們集結(jié)好之后，在鬧事地點等他們，而是在他們出發(fā)的時候，就能夠識別出他們，在源頭進行治理，張曉華把這稱為---近源清洗，而這個平臺，被稱為“云堤”。

換句話說，清洗就是把正常的用戶放進來，把肉雞擋在門外，讓業(yè)務(wù)可以正常進行。

于用戶而言，他們可以對攻擊流量無感知；于運營商而言，可以通過在攻擊流量發(fā)起側(cè)網(wǎng)絡(luò)內(nèi)處置掉攻擊流量，提高運營商網(wǎng)絡(luò)的資源利用。

為什么要搞近源清洗

抗擊DDoS的方式有很多，為什么電信要選擇云上做近源清理這種方式？

這還得從電信作為一家運營商所擁有的監(jiān)測系統(tǒng)講起。

與其他安全廠商不同，作為一家運營商，其本身就有DPI（基于應(yīng)用層的流量檢測和控制技術(shù)）、Netflow 監(jiān)測系統(tǒng)、Botnet 監(jiān)測系統(tǒng)、僵木蠕監(jiān)測系統(tǒng)以及DNS等提供的實時信息來進行監(jiān)測。

黑客無論是要干什么事情，最終還是得用運營商的網(wǎng)絡(luò)的，而如果憑借早就在網(wǎng)絡(luò)中布下的各類監(jiān)測設(shè)備，就可以為最終的“抓捕”提供線索。

憑借電信自身的能力就可以達到監(jiān)測的目的？你們不買外部的威脅情報嗎？

對于雷鋒網(wǎng)的這個問題，張曉華透露，威脅情報在整個處理過程中，其實更多的是處于一個補充的作用。

除了有識別能力，還得有處理能力，你能看出哪個是壞人，還要有把壞人撂倒的本事，重要的是還不能傷及無辜。

張曉華透露，運營商所具有的網(wǎng)絡(luò)部署與路由調(diào)度能力也是他們的殺手锏之一，通過調(diào)度能力，就可以直接實現(xiàn)超大規(guī)模的網(wǎng)絡(luò)層/應(yīng)用層攻擊防護，通過云化分布式清洗中心可同時協(xié)同處置區(qū)域攻擊流量，這時單節(jié)點處理能力就能得到協(xié)同節(jié)點的有效補充。

據(jù)雷鋒網(wǎng)了解，目前這個清洗中心在國內(nèi)有26個，未來會逐漸云話，張?zhí)寡?，雖然網(wǎng)撒的很大，但在應(yīng)用層的防護方面，未來依然需要加強對防護策略的制定，希望最終能做到客戶完全不需要自己的處理的程度。

雷鋒網(wǎng)還注意到，即將公布的《網(wǎng)絡(luò)安全等級保護條例》中，對于云上的安全也提出了更高的要求，以防DDos為例，現(xiàn)在的標(biāo)準(zhǔn)會要求“肉雞”也要承擔(dān)主體責(zé)任。

簡單來說，你不僅要時刻注意自己有沒有被 DDos攻擊，還要確保自己不成為肉雞，去攻擊別人。

這些肉雞某種程度上，如同電影《釜山行》中的喪尸，雖然你很無辜，你被別人咬了，但被咬的后果就是你馬上也會成為一個攻擊者，去傷害更多無辜的人。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。