和锤子抢头条:揭秘DDoS攻击背后黑产
和锤子抢头条的居然是DDoS攻击!
8月25日晚,锤子手机新品牌坚果第一款手机公布,发布会意外延迟引发网络“黑色半小时”大讨论。多种猜测在网络疯传,罗永浩在微博上证实官方网站遭受DDoS攻击。据了解,锤子官网遭到高达数十G的流量攻击,一度面临全面瘫痪风险。锤子科技立即启动应急预案,紧急接入腾讯云大禹系统。
DDoS攻击没有对锤子新品开放购买带来影响,但这一事件却再一次引发行业对于网络安全的关注。
由于安全防护能力的参差不齐,作为最常见的网络攻击方式,DDoS往往能给大多数互联网企业带来沉重的打击。幸运的是,一些在网络安全上有深厚积累的云安全团队,已经可以将安全防护能力对外开放。
本文基于腾讯云安全团队的分享,梳理DDoS黑产,希望让行业对网络安全有更深认识。
DDoS黑产揭秘:以攻为业,利益至上
城东新开了一家牛肉面馆,生意红火,顾客络绎不绝。某天,一个地方恶霸召集了手下一批小弟,一窝蜂涌入牛肉面馆,霸占了所有座位,只聊天不点菜,导致真正的顾客无法进店消费。由此,牛肉面馆的生意受到影响,损失惨重。
如果把这家牛肉面馆看作是一家互联网企业,那么这群地痞的恶行,就是典型的分布式拒绝服务,也就是我们所说的DDoS攻击。
攻击,只是手段。利益,才是永恒的目的。DDoS诞生近二十年,最初纯粹是作为一种彰显黑客能力的技术而存在,往后却逐渐发展成为被人们用以逐利的工具。究其获利方式,主要有两大类:敲诈勒索和商业竞争。
图1:DDoS发展史
一、敲诈勒索
相比于现实世界,互联网可以说是一个更难以监督,同时更易于匿藏的世界。在这个虚拟世界里,无论是犯罪成本、风险还是法律强制力,都远比现实世界来得低。
从现实延伸到网络,敲诈勒索这门犯罪活动愈演愈烈。而DDoS由于成本低、实施容易等特点,在较早期就开始成为不法之徒在网络上敲诈勒索的主要方式。首先,勒索者或勒索组织选取目标网站,对其发起示威性的DDoS攻击,使其业务受到影响。接着,勒索者向受害者发送勒索信,收取所谓的「保护费」。如果受害者不按照要求支付费用,就会继续遭到更猛烈的攻击。因此,对于众多互联网业务的经营者来说,DDoS敲诈勒索始终是一个挥之不去的梦魇。
1、在线盈利企业成猎物
如果说早期黑客所进行的DDoS更多是表现为无序的攻击,那DDoS敲诈勒索便是有特定目标、有一定计划的犯罪行为。不法之徒所选取的敲诈勒索的对象,往往是一些通过在线经营而盈利的业务,例如在线交易市场、博彩网站等等。另外,那些缺乏安全防护措施或者安全防护能力低下的在线业务或机构,也容易成为这些不法之徒的猎物。
而在攻击时间的选择上勒索者也很有考究,他们一般会选择在网站流量高峰期或者网站促销活动开始前发动DDoS攻击,使其业务遭到严重影响,增加受害者支付「保护费」的可能性。
图2:DDoS敲诈勒索信
2、周而复始的敲诈
现实中的绑匪在收取保释金后,未必会遵守约定乖乖放人。网络世界也是如此,DDoS攻击者并非都是讲信义的黑客,隐藏在屏幕后面的往往是一个个贪婪的逐利者。
有时候,在受害者缴纳了商定的「保护费」之后,该网站就会被黑客列为容易屈服的网站名单中。根据这份名单,攻击者会伪装成其他的攻击组织再次进行敲诈勒索,或者直接撕破脸皮继续发动攻击,向其索要更多费用。
3、勒索间接利益
而有的攻击者向受害者所勒索的,既不是现实货币,也不是虚拟货币,而是其他间接利益。例如,一些受到攻击的游戏运营商会被胁迫在其游戏中植入广告,攻击者再通过这些广告渠道获利。再例如,一些攻击者会把网吧作为专门的攻击对象,要求网吧植入僵尸程序,借此扩充自己的僵尸网络。
虽然攻击者没有从这种变相敲诈勒索中直接获得钱财,但通过植入广告或者僵尸程序,他们也实现了间接获利。
图3:DDoS攻击软件
二、商业竞争
自古以来,商业竞争就是市场经济的一部分。为抢占更多的市场份额、获得更高的经济效益,商品经营者展开角逐,相互较量,最后汰弱留强。
商业竞争在互联网这个「万亿市场」中尤为激烈。乘着「互联网+」的热潮,无数满怀热情和理想的创业者纷纷投奔到这片红海,老大想要稳坐第一,老二想要博取上位,老三想要抢占份额,老四也想分一杯羹。有些行业竞争者甚至为了利益不择手段、不顾法纪。在这种恶性竞争态势下,DDoS也成了一种邪恶的竞争手段,被互联网业务的经营者用以妨碍竞争对手的业务活动,打击对手的声誉,从中获取竞争优势。
1、电商和游戏深受其害
目前,这种利用DDoS进行恶性竞争的情况主要存在于两大互联网行业:电商行业和游戏行业。O2O模式成为时下新宠,促使电商行业风生水起;而在线游戏用户量庞大,利润丰厚。正所谓「树大招风,财大招贼」,在利益和贪欲的驱使下,DDoS攻击充斥在这两个行业中。
另外,在创业初期的互联网业务也较易遭受DDoS攻击,这些攻击大多数是来自行业壁垒同盟。行业壁垒同盟为了现有的市场份额不被更多地瓜分,遂通过攻击,共同抵制同盟外的「行业新人」。面对严峻形势,很多弱小的互联网初创企业只能早早夭折。
2、 助长黑色产业
有人的地方就有江湖,有需求的地方就有市场。在互联网地下市场中,利用DDoS进行商业竞争已经成为一种低成本、见效快的现象,因此,在网络世界中明码标价提供DDoS攻击服务的黑产市场也随之不断扩张,并逐渐形成一条成熟的黑色产业链。
图4:形形色色的DDoS接单广告
在这个黑色产业中,DDoS黑客不再是单纯发泄不满的年轻人,也不再是组织攻击的主角,他们成了同行竞争者所雇佣的「打手」。从事DDoS攻击服务已有四年的K哥甚至信心满满地说:这是一份「零风险」的活儿,只要不打政府网站,没人会管,管也管不了。
3、两百块搞定一单
当某个行业发展到一定阶段,就自然而然衍生出一些业内行规。在提供DDoS攻击服务的黑市中,黑产从业者要想有生意,首先需要接收「D单」和「C单」。所谓「D单」,就是客户要求对某个目标发起DDoS的订单。「C单」则是指使用CC攻击的订单(CC攻击:DDoS攻击中较含技术含量的一种)。除此之外,DDoS黑市上还有「包天单」、「包夜单」等说法,分别指对目标进行整天、整夜攻击的大订单。
目前黑市上,根据攻击难度和攻击时长,完成一份D单的报酬从100元到上千元不等,一般是200元一单。据一位专门接单的黑产人员透露:凭这份活儿,一个月能净赚3000元人民币以上。
图5:DDoS攻击交易
4、黑吃黑现象普遍
在交易的时候,「先测试,后付款」是黑产人员与客户之间相沿成习的规定。攻击者先为客户对目标进行小试牛刀的DDoS攻击,让客户看到效果后再进行付款。收到约定的款项后,攻击者才会对目标进行持续性的攻击,攻击力度和时长根据客户要求而定。另外还有一种简单粗暴的交易规则:直到攻击者把目标网站彻底打瘫痪了,客户再一次性付款,行内俗称「支持测试,打死付款」。
然而,在DDoS接单黑产中,也存在较多黑吃黑现象——客户骗取免费「测试」后逃之夭夭,或者接单人员收取客户的款项后,不按照约定提供攻击服务,直接拉黑对方。
5、攻击工具唾手可得
外行人可能会认为DDoS攻击是黑客的专利,实际上,进行DDoS攻击的门槛变得越来越低,这很大程度上是由于DDoS攻击工具唾手可得。
现在,DDoS攻击所需的工具一般在网络上可以直接免费下载,稍微好一点的也能在网上廉价购得。这些工具使用简单、方便,只要输入攻击目标的地址就能进行攻击。此外,攻击所需的流量也可在网上租用,一般按时按量收费。
图6:DDoS攻击所需的流量可在网上租用
6、会打字就会DDoS
有了攻击工具和流量,进行DDoS便不再是难事。因此,除了接收攻击订单,有的攻击者还有偿接收学徒,提供DDoS教学。目前黑市上学习DDoS的学费从100元到500元人民币不等。有的黑产人员甚至提供免费教学,前提是学徒必须租用由他们提供的工具和流量。从学徒收来的学费和租用费,也成了这些黑产从业者收入的一部分。
说到学习难度,黑产从业者承诺:只要会打字,就保证能学会DDoS。事实上,这种说法并不假,只要具备攻击工具(软件)和攻击资源(流量),发起DDoS攻击的人可以是完全不具备专业技术知识的人。