帮助中心

年入100亿38万人黑产帝国解密,DDos攻击背后的利

标签:   | 作者:iyxlcczy | VISITORS: | 来源:未知
01
Sep
2017

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

【谁坑了创业者的钱】

创业的路上千难万险,一不留神就会尸骨无存。在过去的十年,小蚁高防服务器安全积累了丰富对抗经验和方法。然而,我们要如何开放十年的积累,能够为这些优秀的企业做点什么,这就是小蚁安全未来的方向——专业、服务、分享。

 什么是DDoS?

“你开了一间饭馆,我花钱雇了很多人冲进你的饭馆,占了你的餐位,纠缠你的服务员,但就是不点吃的。这样一来,真正想消费的顾客进不去,你就没有办法提供服务。”

----DDoS

每次讲到DDoS都要重复啰嗦这一段,大家可能都听烦了。那我们就直接进入下一个话题。

█ 为什么创业者容易成为攻击目标?

DDoS发展至今天,他的获利途径可以说是复杂的。而创业者变成主要被攻击的对象之一,主要原因是因为这些企业大多未能构建成熟的防御体系,坏人攻击成本小,而获利途径,大多为商业竞争和敲诈勒索。下面给大家详细介绍。

1、商业恶性竞争

商业竞争在互联网这个万亿市场中尤为激烈。一些行业竞争者甚至为了利益不择手段、不顾法纪,通过DDoS攻击妨碍竞争对手的业务活动,打击对手的声誉,从中获取竞争优势。其中,电商行业和在线游戏行业是重灾区。

例如我之前听说有一个朋友开了一家专门销售成人用品的网站。网站刚刚上线就开始被不停的DDoS攻击。攻击持续了一个月,不知道为什么被打,也没有人来勒索或者谈条件。最终还是实施DDoS攻击的“打手”于心不忍,偷偷告诉我那个朋友,是一个同行雇他持续攻击的。最终无奈,朋友的网站也放弃了运营。

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

图:源于行业竞争的DDoS

2、敲诈勒索

DDoS由于成本低、实施容易等特点,在较早期就开始成为黑客在网络上进行敲诈勒索、收取“保护费”的主要方式。而企业在创业初期往往以经济发展为第一要务,在安全防护工作方面常常投入不多,就更加容易成为不法之徒敲诈勒索的目标。

坏人首先会先对企业的网站进行攻击,致使网页不能被用户访问,然后联系公司的员工勒索钱财,金额一般不会太大,在2000-8000元左右。一般的企业因为业务受到影响,加上坏人索要的金额也并不巨大,大多都会支付赎金。然而,得了好处的骗子并不会就这样信守承诺,勒索也将变成无底洞。

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

图:DDoS攻击者敲诈勒索
 

        无敌舰队”攻击时,企业官网被大量的DDoS攻击流量堵塞导致网站无法访问,攻击流量基本在800Mbps-50Gbps不等,攻击时间在15分钟到1个小时左右。勒索者会给企业发送邮件并要求支付10个比特币(现市值大约18万人民币),如果企业未在规定时间内支付比特币,将增加勒索比特币的额度要求,并将DDoS攻击流量增加到最大1Tbps。

目前已有用户选择报警,但由于无法准确对攻击进行溯源而且勒索者在国外,警方短时间难以追踪勒索者,建议企业自行加强防御措施抵御DDoS攻击,以确保网站业务的正常使用。

“无敌舰队”DDoS攻击勒索多家金融机构,360安域助力企业抗D

图 1 黑客勒索邮件

针对“无敌舰队”这样的大流量DDoS攻击,小蚁网络为代表的立体式云端抗D清洗防护服务是一种理想的抗D方式。
 

乐视此次所遭遇的恶意DDOS攻击峰值流量达到了200G,这种高频率、高流量的攻击必然属于有预谋的恶意攻击,而且DDOS攻击是一种“伤敌一千,自损八百”的攻击手段,对攻击者的财力考验也是巨大的。截至目前,此次攻击已经持续了约一天,乐视方面已经就此向公安机关报案。

乐视遭DDOS攻击 峰值流量达200G

 DDoS攻击会对企业造成怎样的危害?

DDoS对企业的影响是非常直观的,比如企业的网页无法打开、APP的内容无法加载、游戏玩家大面积掉线、视频资源无法播放等等。最近一些创业企业,因为被黑客DDoS攻击而遭受巨大损失的案例也不在少数。那么,DDoS究竟会给企业带来多大的影响?

这里我们以网络游戏业务为例。据小蚁安全平台部宙斯盾统计,目前网络上的DDoS攻击,超过40%的目标都是游戏,仅在今年1月份到10月份,宙斯盾在游戏业务领域共拦截了30万次DDoS攻击,平均每分钟防御1次。如果完全不作防护的话,这些攻击会直接造成约5.2亿次的玩家掉线。5.2亿玩家掉线会带来多少损失,会使多少游戏产品面临死亡的威胁,我想不用说,大家也能感受到。

 DDoS产业是怎样赚钱的?

经过这么多年的发展,DDoS的产业链条已经发展的十分成熟了。各团伙之间分工明确、合作紧密,俨然形成一个井然有序、不断扩张的地下市场。而各个链条的获益模式也是不尽相同。

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

图:DDoS攻击黑色产业链

1、出售攻击工具

在DDoS全面蔓延的今天, 许多DDoS攻击的工具在网络上可以直接免费下载的。但是一些质量较好的,有特殊定制服务的软件,还是需要从专业的制作团伙购买。软件作者一般会根据攻击团伙的需求,编写定制化软件,并收取费用。一般数百元到千元不等。

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

图:在网上公开售卖的DDoS攻击工具

2、出售攻击流量

除了攻击工具,发起DDoS攻击还需要具备一定的流量。一般而言,通过抓“肉鸡”构建僵尸网络来获取流量耗时耗力,并且不够稳当。所以一些攻击者会选择向流量平台商租用流量。据安平情报团队调查,流量供应商会把所掌握的流量管理权限有偿提供给攻击者实施网络攻击,一般按时按量收费。

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

图:DDoS攻击所需的流量可在网上租用

3、接单中介抽水

DDoS黑产的高度成熟也催生出产业链条中的中介服务:接单中介。最基础的模式是接单人员接到客户的基于不同需求的“D单”、“C单”、“包天单”等订单,再把单子分发给具备相应攻击资源和能力的攻击者。根据对目前黑市的调查,完成一份D单的报酬根据攻击难度和攻击时长从100元到上千元不等,接单中介按协商好的百分比收取利润。

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

图:形形色色的DDoS接单广告

4、攻击者攻击获利

在这个黑色产业中,DDoS攻击者不再是单纯发泄不满的年轻人,也不再是组织攻击的主角,他们更多是“客户”所雇佣的“打手”。通过接单中介或自己直接接活,黑产人员的月收入可达到数万元人民币。巨大的潜在利益驱使着攻击者们不断地铤而走险,也使得DDoS攻击成为互联网企业挥之不去的梦魇。

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

图:DDoS攻击交易

█ 十年,从业者暴涨至数十万,年产值过百亿

在98年初,DDoS仅作为一种彰显黑客技术能力的炫耀手段而出现,随后的几年,随着互联网业务的不断丰富和发展,从2003年开始,网络上开始有人利用DDoS技术攻击网游私服,并勒索钱财,我们称之为“黑吃黑的阶段”。到了08年,DDoS的攻击技术被用于“统一市场”,主要攻击小型的网游私服发布站、论坛,并强行吞并,当时的DDoS攻击资源被掌握在少数的攻击小组手里,例如“骑士攻击小组”。到了10年前后,DDoS黑色产业发展的空前壮大,攻击资源开始蔓延,依托于DDoS的敲诈勒索时有发生,受害者多为网吧、游戏公司、中小型创业企业等,DDoS进入“全面蔓延时代”。

经过十余年的发展壮大,DDoS攻击已形成了一条高度成熟的黑色产业链。据安全平台部黑产情报团队分析调查,目前在这条黑色产业链中,相关黑产从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙,其中,专职于DDoS黑产的人员就高达13万,如果以人均月收入4000元计算,年产值将超过100亿。

年入100亿38万人黑产帝国解密,DDos攻击背后的利益链

图:DDoS攻击威胁持续严峻

 那么,该如何应对?

从目前来看,可以说DDoS的防护并无捷径可走,这完全是一场攻防成本的博弈。简单的说,就是大量的人力和财力。但是,很多企业在快速发展的阶段,并没有能力大量投入成本完成类似的建设。因此,我认为性价比最好的选择是借助已有的成熟平台,通俗的讲就是前人栽树,后人乘凉
 

那小蚁云服务器是如何解决黑客攻击这个困扰业内已久的问题呢?
 
实际上,大多数的黑客攻击都离不开带宽和流量这两方面,无非是DDOS攻击、CC攻击,UDP攻击、TCP协议攻击等等,其中又由以DDOS攻击最为常见,
 
目前而言,黑客甚至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。可以想象一下,如果是100G的恶意流量瞬间涌来,大多数的网站很可能就立马game over了。
 
小蚁投资一亿元搭建的顶级"立体式"安全防护体系,拥有领先行业云防御3.0架构,由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “小蚁云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。经过小蚁经过13年的防御经验的积累和不断改进完善,基于大数据智能分析,超过600G真实的防御能力,能彻底有效处理超过1T以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS FloodDDoS攻击连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击。
 
小蚁T级防御高防云主机上线,秒破DDoS恶意攻击
纵观云服务器市场,很多云厂商说:不限流量。但当客户购买服务后,真正需要流量时候就会发现,原来所谓的“不限流量”只是云厂商的广告噱头而已。而小蚁云服务器提供的都是真实的防御流量。小蚁的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻提防可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另一节点。在面临攻击威胁时,小蚁采用的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小蚁的“立体式”安全防护体系能彻底有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小蚁组建的是分布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已经瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。
 

除了流量攻击外,服务器配置性能弹性也是用户关注的重点。低配置的服务器CPU经不起折腾,跟计算机一样很快跑满,反应卡顿,远程连接出错等等问题的出现也是再正常不过。而小蚁云服务器机器配置可以进行弹性配置,从4核心8线程到16核心32线程内存最低从32G到高达512G带宽从1G到10G,,硬盘从2*2T到72T,任意DIY搭配,满足低配到高配的各类需求。
 

HTTP/HTTPS网站常规防护方案

小蚁网络Web应用安全云防护系统可以通过云端有效的防护攻击者针对网站的发起的SYN Flood攻击、ACK Flood攻击、UDP Flood攻击、ICMP Flood攻击,以及基于这4类攻击的变种攻击,比如NTP 反射攻击、DNS 反射攻击、IP 分片攻击等各种流量型攻击方式。

用户接入云防护系统非常便捷,只需要修改其DNS指向,将原来域名指向服务器IP地址的方式通过CNAME引流指向云防护系统即可,云防护系统可以在不影响网站访问的情况下,10分钟左右完成快速接入。

当检测到由大流量DDoS攻击时,小蚁网络Web应用安全云防护系统可以将大流量调度到全国的几十个高防节点机房进行清洗防护,清洗后将正常流量返回给用户网络。现在最大可以抵御600Gbps-1Tbps的大流量DDoS攻击。

当用户遭受超出其购买套餐流量时候,本着对用户负责的态度和原则,小蚁网络不会直接放行DDoS的攻击流量,在短期内会替用户先扛着,除非对用户的攻击是持续性的大流量攻击,会根据生成的流量报表和用户协商更换套餐。

小蚁网络可以和用户签署具有法律效力的保密协议确保用户通过云端的数据安全,针对用户的HTTPS网站防护,还可以通过以下技术性方案来确保用户数据安全。

“无敌舰队”DDoS攻击勒索多家金融机构,360安域助力企业抗D

图2 360安域网站安全云防护系统

四层代理清洗方案

小蚁网络有成熟的四层云端代理清洗技术,即通过提供多个运营商的高容量DDoS防护IP对用户HTTP/HTTPS网站业务进行接入,直接从TCP层对DDoS攻击进行判断和清洗,对用户的应用层数据不感知,不基于网站内容进行防护。这样厂商在不接触用户应用数据的同时并还可以对DDoS攻击进行有效清洗。

用户使用基于云端代理防护时,用户从网站服务器看到的所有攻击及访问源IP地址都是云端防护系统的回源IP,而看不到真实互联网访问者IP地址,这对有些用户来说是难接受的。小蚁网络开创性的通过在云端防护系统及网站服务器之间部署IP地址解析转换器的方式完成地址的解析转换,通过对IP地址的解析转换,可以让服务器端直接查看到真实的互联网访问及攻击者的真实源IP地址。

如果用户的源站服务器IP地址暴露,黑客可能直接攻打源站服务器的IP地址而绕过云端防护系统,此时用户需要预留IP地址,当服务器IP地址被直接攻击时云端防护系统可以将数据回源到用户的预留IP地址上,由于云端防护系统可以隐藏网站服务器的细节,可以确保黑客无法获取到新的IP地址,当然为了避免操作的麻烦,用户也可以在接入时直接替换并由云端防护系统直接隐藏源站IP地址。

如果用户网站已经有CDN、负载均衡等通过CNAME解析的配置,小蚁网络可以无缝的做前后CNAME值的解析接入和回源,确保用户可以自行快速控制云端防护系统的防护和回源状态配置,用户可以按需使用。

“无敌舰队”DDoS攻击勒索多家金融机构,360安域助力企业抗D

图 4 四层代理清洗方案

目前对DDoS攻击进行追踪,对攻击IP地址及背后的C&C控制器进行溯源分析还比较困难,非技术手段对抗DDoS攻击难以实现,所以通过技术手段做好DDoS的攻击防护还是当下主要能做的事情。在此小蚁网络建议金融机构还是做好日常的DDoS攻击防御措施资源准备,建立常态化的DDoS应急演练,累积应对DDoS攻击的经验,当DDoS攻击来时不至于手足无措。当遭受DDoS攻击时应及时报警并寻找有效适用的抗DDoS措施进行防御以减少损失。

小蚁网络
 
 
相关新闻
首页 | 立体式防护 | 小蚁盾 | BGP高防服务器 | 解决方案 | 帮助中心 | 服务客户