今年俄罗斯世界杯期间,黑客“烈剑”的 DDoS攻击业务接单简直接到手软,而且“金主爸爸”们出手都很阔绰,这应该是他从事“中介服务”的四年中,生意最好的时候。
不差钱的金主爸爸来自几家不同的博彩网站,他们找到“烈剑”的目的很简单:用最快、最狠的 DDoS 攻击搞垮竞争对手的网站,把用户吸引到自己的平台上来。
云端 DDoS 黑产链
在圈内,这类金主爸爸被称为“发单人”,他们有些来自色情、赌博、彩票和游戏私服等网站,用黑客技术手段对同行的服务器进行攻击致使其宕掉,在圈内早已是惯用伎俩。
而烈剑在圈内更像是一个中介,由于懂技术,接到金主的单后,烈剑会迅速找到“攻击手”,这些人可以用手头现有的软件和工具来操纵肉鸡,让它们对目标网站进行模拟访问,占据其服务器的 CPU 资源,以此来把正常用户抵挡在门外。或者,直接发送大量流量攻击目标服务器,导致服务器无法访问网络。
在这个黑产链条中,“肉鸡商”和“出量人”也是攻击武器的重要提供者,他们手中掌握着已经搭建好的“肉鸡集群”和“流量平台网页端的服务”,在实施攻击前,这些“肉鸡商”已经利用后门程序和漏洞,获得电脑和服务器的控制权限,并植入木马,使得这些计算机变成能实施 DDoS 攻击的“肉鸡”。而“出量人”作为拥有服务器控制权限和网络流量的人,能够租用专属服务器并自行配置攻击软件从而获取流量。
在利益面前,各路黑产配合默契,攻击“武器”这两年越来越先进,这也让烈剑的生意越做越大。
其实,除了处于灰色地带的一些比较边缘的网站,一些跟国计民生相关的关键基础设施也会遭到 DDoS 攻击,目前,互联网、金融、能源制造、政府机构等多个行业中,都面临着相似的风险。
上云后的超级 DDos 攻击
要说近几年越来越猖獗的 DDos 攻击,其实还要拜“上云”所赐。
正如一枚硬币的两面,网络带宽增加后,更高速、更广泛的网络连接让我们的生活更加的便利,但这也为DDoS 攻击创造了极为有利的条件,以前黑客获取一个IP 后,可能对应的只是一个普通的用户,但现在获取了一个IP,他可以在拿到后门后去查属于哪个服务商,是不是整片云是不是有同样的问题。
中国电信网络安全产品运营中心的高级产品经理张晓华,就带来了近几年电信网内的攻击趋势图↓↓↓
张晓华回忆,在2013年的时候,大部分客户的主机还是在自己的机房里面,最多也就是在 IDC 机房,然后扯上一根 2M 的线,直接接到服务器上面,所以那时虽然也有 DDos ,但攻击量并不大。
随着近几年客户逐渐上云,接入带宽变大,配备的都是上百G的云资源池,这就出现了两点变化,一是一旦成为肉鸡,能够往外攻击的流量也会变大;二是随着能够涌入的流量增多,需要投资和配备的防护设备也需要相应升级。
这就如同你们家原来的门只是一个小门,一次最多只能同时进来两个人,要挡住坏人,简单的小防盗门就可以,由于人数少,哪些进来的是好人,哪些是坏人,也好分辨。但现在你们家的的门变成了一扇巨大的门,可以同时拥进上百个人,这时原有的防盗门就会不堪一击。
更加糟糕的情况是,随着黑产使用的各类攻击“武器”在不断升级,针对 DDos攻击的防护成本远远大于攻击成本,而且由于肉鸡的数量众多,对于攻击源的追查难度很大。
目前,出于商业竞争、打击报复和网络敲诈等多种因素,很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直成为DDoS攻击的目标,而随之而来出现的同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。
要想解决上百个人堵在门口,而正常用户却被挡在门外这个问题,有一个办法就是从攻击源头就开始治理,这就如同你要阻止100个人从全国各地来到你这里闹事,最好的办法不是在等他们集结好之后,在闹事地点等他们,而是在他们出发的时候,就能够识别出他们,在源头进行治理,张晓华把这称为—近源清洗,而这个平台,被称为“云堤”。
换句话说,清洗就是把正常的用户放进来,把肉鸡挡在门外,让业务可以正常进行。
于用户而言,他们可以对攻击流量无感知;于运营商而言,可以通过在攻击流量发起侧网络内处置掉攻击流量,提高运营商网络的资源利用。
为什么要搞近源清洗
抗击DDoS的方式有很多,为什么电信要选择云上做近源清理这种方式?
这还得从电信作为一家运营商所拥有的监测系统讲起。
与其他安全厂商不同,作为一家运营商,其本身就有DPI(基于应用层的流量检测和控制技术)、Netflow 监测系统、Botnet 监测系统、僵木蠕监测系统以及DNS等提供的实时信息来进行监测。
黑客无论是要干什么事情,最终还是得用运营商的网络的,而如果凭借早就在网络中布下的各类监测设备,就可以为最终的“抓捕”提供线索。
凭借电信自身的能力就可以达到监测的目的?你们不买外部的威胁情报吗?
对于宅客频道的这个问题,张晓华透露,威胁情报在整个处理过程中,其实更多的是处于一个补充的作用。
除了有识别能力,还得有处理能力,你能看出哪个是坏人,还要有把坏人撂倒的本事,重要的是还不能伤及无辜。
张晓华透露,运营商所具有的网络部署与路由调度能力也是他们的杀手锏之一,通过调度能力,就可以直接实现超大规模的网络层/应用层攻击防护,通过云化分布式清洗中心可同时协同处置区域攻击流量,这时单节点处理能力就能得到协同节点的有效补充。
据宅客频道了解,目前这个清洗中心在国内有26个,未来会逐步云化,张坦言,虽然网撒的很大,但在应用层的防护方面,未来依然需要加强对防护策略的制定,希望最终能做到客户完全不需要自己的处理的程度。
宅客频道还注意到,即将公布的《网络安全等级保护条例》中,对于云上的安全也提出了更高的要求,以防DDoS为例,现在的标准会要求“肉鸡”也要承担主体责任。
简单来说,你不仅要时刻注意自己有没有被 DDos攻击,还要确保自己不成为肉鸡,去攻击别人。
这些肉鸡某种程度上,如同电影《釜山行》中的丧尸,虽然你很无辜,你被别人咬了,但被咬的后果就是你马上也会成为一个攻击者,去伤害更多无辜的人。