近年來(lái)，DDoS 攻擊(Distributed Denial of Service)事件頻發(fā)，即黑客組織通過(guò)控制服務(wù)器、肉雞等資源，發(fā)動(dòng)對(duì)包括國(guó)家骨干網(wǎng)絡(luò)、重要網(wǎng)絡(luò)設(shè)施、政企或個(gè)人網(wǎng)站在內(nèi)的互聯(lián)網(wǎng)上任一目標(biāo)的攻擊，致使目標(biāo)服務(wù)器斷網(wǎng)，最終停止提供服務(wù)。據(jù)外媒報(bào)道， CDN 服務(wù)供應(yīng)商 Akamai 公司發(fā)布的二季度互聯(lián)網(wǎng)安全報(bào)告顯示，2017年全球 DDoS 攻擊的次數(shù)上升了28%。DDoS 攻擊對(duì)全球網(wǎng)絡(luò)全構(gòu)成了極大威脅，對(duì)于威脅行為者而言， DDoS 攻擊是從受害者處敲詐金錢、竊取數(shù)據(jù)、同行惡意競(jìng)爭(zhēng)的首選武器，甚至為了進(jìn)一步黑客主義意圖，還可以隨時(shí)發(fā)起大規(guī)模網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。

2017年4月初，江蘇省某網(wǎng)絡(luò)公司服務(wù)器頻繁遭到 DDoS 流量攻擊，導(dǎo)致掛載在服務(wù)器上的多個(gè)網(wǎng)站無(wú)法正常運(yùn)營(yíng)，損失嚴(yán)重。據(jù)了解，此次 DDoS 攻擊是網(wǎng)站經(jīng)營(yíng)者的業(yè)務(wù)同行惡意競(jìng)爭(zhēng)打壓，雇傭黑客實(shí)施 DDoS 攻擊網(wǎng)絡(luò)的犯罪行為。隨后，在騰訊“守護(hù)者計(jì)劃”與騰訊云安全團(tuán)隊(duì)的共同協(xié)助下，江蘇省徐州市公安局網(wǎng)安支隊(duì)根據(jù)網(wǎng)絡(luò)攻擊溯源尋蹤，開(kāi)展 DDoS 黑產(chǎn)打擊行動(dòng)，于近期打掉了這個(gè) DDoS 攻擊黑產(chǎn)團(tuán)伙，抓獲分布于全國(guó)15省30+城市的犯罪嫌疑人58人，包括發(fā)單人、攻擊實(shí)施人、肉雞商、出量人、擔(dān)保人、黑客攻擊軟件作者等 DDoS 黑產(chǎn)鏈條中的各類角色，對(duì)該類型的攻擊犯罪形成了有力震懾。

DDoS 黑產(chǎn)團(tuán)伙 “分工協(xié)作”詳解

據(jù)騰訊“守護(hù)者計(jì)劃”安全專家介紹，DDoS 攻擊犯罪已經(jīng)進(jìn)入產(chǎn)業(yè)化時(shí)代——從以往的需要專業(yè)黑客實(shí)施全部攻擊過(guò)程的行為，發(fā)展成由發(fā)單人、攻擊實(shí)施人、肉雞商、出量人、黑客攻擊軟件作者、擔(dān)保人等多個(gè)犯罪個(gè)體共同參與實(shí)施的產(chǎn)業(yè)化犯罪行為。此次江蘇某網(wǎng)絡(luò)公司 DDoS 流量攻擊案件，便是 DDoS 攻擊產(chǎn)業(yè)鏈化的典型例子。

那么，在這個(gè)黑色產(chǎn)業(yè)鏈中，這些角色如何“分工協(xié)作”呢？

發(fā)單人

在 DDoS 攻擊黑色產(chǎn)業(yè)鏈中，鏈條頂端的角色為“發(fā)單人”，也就是出資并發(fā)出對(duì)具體網(wǎng)站或服務(wù)器的攻擊需求的人。常見(jiàn)的“發(fā)單人”通常是非法網(wǎng)站如色情、賭博、彩票、游戲私服等網(wǎng)站的經(jīng)營(yíng)者，為了打壓競(jìng)爭(zhēng)對(duì)手而雇傭黑客對(duì)其他同類網(wǎng)站進(jìn)行攻擊。

攻擊實(shí)施人

接到“發(fā)單人”指令并執(zhí)行攻擊的人，稱為“攻擊實(shí)施人”。實(shí)施攻擊的方式有兩種：一種是利用軟件、工具操縱肉雞(被入侵利用做攻擊工具的個(gè)人計(jì)算機(jī))模擬訪問(wèn)，占用目標(biāo)的服務(wù)器CPU資源，導(dǎo)致正常用戶無(wú)法訪問(wèn)；另一種是發(fā)送大量流量攻擊目標(biāo)服務(wù)器，導(dǎo)致服務(wù)器無(wú)法訪問(wèn)網(wǎng)絡(luò)。軟件或工具多數(shù)購(gòu)買自“黑客軟件作者”。而有的“攻擊實(shí)施人”由于不懂DDoS攻擊服務(wù)器搭建，于是從“肉雞商”和“出量人”手中購(gòu)買已經(jīng)搭建好的“肉雞集群”和“流量平臺(tái)網(wǎng)頁(yè)端的服務(wù)”。

肉雞商

“肉雞商”是侵入計(jì)算機(jī)信息系統(tǒng)的實(shí)施人，或者買賣被侵入計(jì)算機(jī)系統(tǒng)權(quán)限的中間商。他們利用后門程序(繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的程序方法)配合各種各樣的安全漏洞，獲得個(gè)人計(jì)算機(jī)和服務(wù)器的控制權(quán)限，植入木馬，使得這些計(jì)算機(jī)變成能實(shí)施DDoS攻擊的“肉雞”。

出量人

“出量人”是擁有服務(wù)器控制權(quán)限和網(wǎng)絡(luò)流量的人。他們有一定技術(shù)能力，能夠租用專屬服務(wù)器并自行配置攻擊軟件從而獲取流量。擔(dān)保人

在發(fā)單、購(gòu)買肉雞、購(gòu)買流量等各個(gè)交易環(huán)節(jié)中，因?yàn)榻灰椎碾p方往往并不認(rèn)識(shí)，于是他們會(huì)找到業(yè)內(nèi)“信譽(yù)”較高的黑客作為“擔(dān)保人”，負(fù)責(zé)買賣雙方的資金中轉(zhuǎn)，擔(dān)保人可從中抽取一定的好處費(fèi)。

黑客攻擊軟件作者

負(fù)責(zé)編寫 DDoS 軟件，用其實(shí)現(xiàn)多種攻擊方式，降低黑客攻擊門檻，并售賣軟件盈利。

DDoS 黑產(chǎn)集團(tuán)運(yùn)作模式圖解

網(wǎng)絡(luò)空間安全與純凈

隨著 DDoS 攻擊的產(chǎn)業(yè)化和僵尸網(wǎng)絡(luò)構(gòu)建工具包和所謂的“stresser”、“booter”以及其他 DDoS 出租服務(wù)的廣泛運(yùn)用，不僅增加了 DDoS 攻擊的打擊難度，還降低了 DDoS 攻擊的實(shí)施門檻。如今，不再僅僅是國(guó)家支持的黑客和APT組織能夠使用 DDoS 基礎(chǔ)架構(gòu)，就連普通的網(wǎng)絡(luò)犯罪分子和腳本小子也能夠輕松發(fā)起一場(chǎng) DDoS 攻擊。因此，積極打擊 DDoS 攻擊，鏟除 DDoS 攻擊黑色產(chǎn)業(yè)鏈，是保障網(wǎng)絡(luò)空間的安全和純凈的重要行動(dòng)。

今年以來(lái)，騰訊“守護(hù)者計(jì)劃”安全團(tuán)隊(duì)陸續(xù)協(xié)助多地警方，破獲多起 DDoS 攻擊案件。除上述的4月江蘇某網(wǎng)絡(luò)公司 DDoS 流量攻擊案件以外，還有2月重慶某區(qū)局部網(wǎng)絡(luò) DDoS 攻擊等。