锤子新品发布遭DDoS攻击引热议，腾讯云安全揭秘背后黑产

责任编辑：editor005 |来源：企业网D1Net 2015-08-31 17:06:02 本文摘自：CCTIME飞象网

和锤子抢头条的居然是 DDoS攻击！

8月25日晚，锤子手机新品牌坚果第一款手机公布，发布会意外延迟引发网络“ 黑色半小时” 大讨论。多种猜测在网络疯传，罗永浩在微博上证实官方网站遭受 DDoS攻击。据了解，锤子官网遭到高达数十 G的流量攻击，一度面临全面瘫痪风险。锤子科技立即启动应急预案，紧急接入腾讯云大禹系统，最后，新品坚果手机顺利发布并在9分钟内全部售罄！

DDoS攻击没有对锤子新品开放购买带来影响，但这一事件却再一次引发行业对于网络安全的关注。

由于安全防护能力的参差不齐，作为最常见的网络攻击方式， DD oS 往往能给大多数互联网企业带来沉重的打击。幸运的是，在网络安全上有深厚积累的腾讯，已经通过腾讯云将安全防护能力对外开放。

本文希望通过腾讯云安全团队的分享，梳理DDoS黑产，希望让行业对网络安全有更深认识。

DDoS黑产揭秘：以攻为业，利益至上

城东新开了一家牛肉面馆，生意红火，顾客络绎不绝。某天，一个地方恶霸召集了手下一批小弟，一窝蜂涌入牛肉面馆，霸占了所有座位，只聊天不点菜，导致真正的顾客无法进店消费。由此，牛肉面馆的生意受到影响，损失惨重。

如果把这家牛肉面馆看作是一家互联网企业，那么这群地痞的恶行，就是典型的分布式拒绝服务，也就是我们所说的 DDoS攻击。

攻击，只是手段。利益，才是永恒的目的。 DDoS诞生近二十年，最初纯粹是作为一种彰显黑客能力的技术而存在，往后却逐渐发展成为被人们用以逐利的工具。究其获利方式，主要有两大类：敲诈勒索和商业竞争。

一、敲诈勒索

相比于现实世界，互联网可以说是一个更难以监督，同时更易于匿藏的世界。在这个虚拟世界里，无论是犯罪成本、风险还是法律强制力，都远比现实世界来得低。

从现实延伸到网络，敲诈勒索这门犯罪活动愈演愈烈。而DDoS 由于成本低、实施容易等特点，在较早期就开始成为不法之徒在网络上敲诈勒索的主要方式。首先，勒索者或勒索组织选取目标网站，对其发起示威性的DDoS攻击，使其业务受到影响。接着，勒索者向受害者发送勒索信，收取所谓的「保护费」。如果受害者不按照要求支付费用，就会继续遭到更猛烈的攻击。因此，对于众多互联网业务的经营者来说，DDoS敲诈勒索始终是一个挥之不去的梦魇。

1、在线盈利企业成猎物

如果说早期黑客所进行的DDoS更多是表现为无序的攻击，那DDoS 敲诈勒索便是有特定目标、有一定计划的犯罪行为。不法之徒所选取的敲诈勒索的对象，往往是一些通过在线经营而盈利的业务，例如在线交易市场、博彩网站等等。另外，那些缺乏安全防护措施或者安全防护能力低下的在线业务或机构，也容易成为这些不法之徒的猎物。

而在攻击时间的选择上勒索者也很有考究，他们一般会选择在网站流量高峰期或者网站促销活动开始前发动DDoS

　　图 2 ： DDoS敲诈勒索信

2 、周而复始的敲诈

现实中的绑匪在收取保释金后，未必会遵守约定乖乖放人。网络世界也是如此，DDoS攻击者并非都是讲信义的黑客，隐藏在屏幕后面的往往是一个个贪婪的逐利者。

有时候，在受害者缴纳了商定的「保护费」之后，该网站就会被黑客列为容易屈服的网站名单中。根据这份名单，攻击者会伪装成其他的攻击组织再次进行敲诈勒索，或者直接撕破脸皮继续发动攻击，向其索要更多费用。

3 、勒索间接利益

而有的攻击者向受害者所勒索的，既不是现实货币，也不是虚拟货币，而是其他间接利益。例如，一些受到攻击的游戏运营商会被胁迫在其游戏中植入广告，攻击者再通过这些广告渠道获利。再例如，一些攻击者会把网吧作为专门的攻击对象，要求网吧植入僵尸程序，借此扩充自己的僵尸网络。

虽然攻击者没有从这种变相敲诈勒索中直接获得钱财，但通过植入广告或者僵尸程序，他们也实现了间接获利。

二、商业竞争

自古以来，商业竞争就是市场经济的一部分。为抢占更多的市场份额、获得更高的经济效益，商品经营者展开角逐，相互较量，最后汰弱留强。

商业竞争在互联网这个「万亿市场」中尤为激烈。乘着「互联网 +」的热潮，无数满怀热情和理想的创业者纷纷投奔到这片红海，老大想要稳坐第一，老二想要博取上位，老三想要抢占份额，老四也想分一杯羹。有些行业竞争者甚至为了利益不择手段、不顾法纪。在这种恶性竞争态势下， DDoS也成了一种邪恶的竞争手段，被互联网业务的经营者用以妨碍竞争对手的业务活动，打击对手的声誉，从中获取竞争优势。

1、电商和游戏深受其害

目前，这种利用 DDoS进行恶性竞争的情况主要存在于两大互联网行业：电商行业和游戏行业。O2O模式成为时下新宠，促使电商行业风生水起；而在线游戏用户量庞大，利润丰厚。正所谓「树大招风，财大招贼」，在利益和贪欲的驱使下，DDoS攻击充斥在这两个行业中。

另外，在创业初期的互联网业务也较易遭受 DDoS攻击，这些攻击大多数是来自行业壁垒同盟。行业壁垒同盟为了现有的市场份额不被更多地瓜分，遂通过攻击，共同抵制同盟外的「行业新人」。面对严峻形势，很多弱小的互联网初创企业只能早早夭折。

2、助长黑色产业

有人的地方就有江湖，有需求的地方就有市场。在互联网地下市场中，利用DDoS进行商业竞争已经成为一种低成本、见效快的现象，因此，在网络世界中明码标价提供DDoS攻击服务的黑产市场也随之不断扩张，并逐渐形成一条成熟的黑色产业链。

　　图 4 ：形形色色的DDoS接单广告

在这个黑色产业中，DDoS黑客不再是单纯发泄不满的年轻人，也不再是组织攻击的主角，他们成了同行竞争者所雇佣的「打手」。从事DDoS攻击服务已有四年的 K哥甚至信心满满地说：这是一份「零风险」的活儿，只要不打政府网站，没人会管，管也管不了。

3、两百块搞定一单

当某个行业发展到一定阶段，就自然而然衍生出一些业内行规。在提供 DDoS 攻击服务的黑市中，黑产从业者要想有生意，首先需要接收「D单」和「C单」。所谓「D单」，就是客户要求对某个目标发起 DDoS的订单。「C 单」则是指使用 CC攻击的订单（ CC攻击： DDoS攻击中较含技术含量的一种）。除此之外，DDoS黑市上还有「包天单」、「包夜单」等说法，分别指对目标进行整天、整夜攻击的大订单。

目前黑市上，根据攻击难度和攻击时长，完成一份 D单的报酬从1 00 元到上千元不等，一般是 200元一单。据一位专门接单的黑产人员透露：凭这份活儿，一个月能净赚3000元人民币以上。

4、黑吃黑现象普遍

在交易的时候，「先测试，后付款」是黑产人员与客户之间相沿成习的规定。攻击者先为客户对目标进行小试牛刀的DDoS攻击，让客户看到效果后再进行付款。收到约定的款项后，攻击者才会对目标进行持续性的攻击，攻击力度和时长根据客户要求而定。另外还有一种简单粗暴的交易规则：直到攻击者把目标网站彻底打瘫痪了，客户再一次性付款，行内俗称「支持测试，打死付款」。

然而，在DDoS 接单黑产中，也存在较多黑吃黑现象——客户骗取免费「测试」后逃之夭夭，或者接单人员收取客户的款项后，不按照约定提供攻击服务，直接拉黑对方。

5 、攻击工具唾手可得

外行人可能会认为 DDoS 攻击是黑客的专利，实际上，进行DDoS 攻击的门槛变得越来越低，这很大程度上是由于DDoS攻击工具唾手可得。

现在，DDoS 攻击所需的工具一般在网络上可以直接免费下载，稍微好一点的也能在网上廉价购得。这些工具使用简单、方便，只要输入攻击目标的地址就能进行攻击。此外，攻击所需的流量也可在网上租用，一般按时按量收费。

　　图 6 ：DDoS攻击所需的流量可在网上租用

6 、会打字就会 DDoS

有了攻击工具和流量，进行 DDoS便不再是难事。因此，除了接收攻击订单，有的攻击者还有偿接收学徒，提供DDoS 教学。目前黑市上学习 DDoS的学费从100 元到 5 00 元人民币不等。有的黑产人员甚至提供免费教学，前提是学徒必须租用由他们提供的工具和流量。从学徒收来的学费和租用费，也成了这些黑产从业者收入的一部分。

说到学习难度，黑产从业者承诺：只要会打字，就保证能学会DDoS 。事实上，这种说法并不假，只要具备攻击工具（软件）和攻击资源（流量），发起DDoS攻击的人可以是完全不具备专业技术知识的人。

腾讯云全面开放安全防护能力，新版大禹系统即将发布

曾有一位互联网大拿说过：安全，是互联网企业的第一道门槛。纵观被DDoS充斥的互联网产业生态圈，这句话显得格外在理。

为了提高互联网业界的安全防护能力，腾讯云总结十年安全对抗经验，倾力打造成熟的 DDoS攻击防护解决方案「大禹」，该系统曾抵御近300G攻击峰值，能够为腾讯云客户业务提供稳定可靠的DDoS攻击检测与防护能力，为业务的安全、稳定、健康运营保驾护航。

近期，团队集中研发资源对大禹系统进行了多次升级，新版大禹系统预计将在九月中旬对外全面开放。新版本将进一步强化DDoS和CC的防护能力，使其具备应用防火墙（WAF）、反DNS劫持、资源防盗链等安全能力，并且提供加速访问的功能，形成更加可靠和全面的web安全解决方案。

关键字：DDoS攻击腾讯罗永浩