聽說賭球網站被競爭對手搞癱了,雲端 DDoS 了解一下?

.. 今年世界盃期間,黑客「烈劍」的 DDoS攻擊業務接單簡直接到手軟,而且「金主爸爸」們出手都很闊綽,這應該是他從事「中介服務」的四年中,生意最好的時候。

不差錢的金主爸爸來自幾家不同的博彩網站,他們找到「烈劍」的目的很簡單:用最快、最狠的 DDoS 攻擊搞垮競爭對手的網站,把用戶吸引到自己的平台上來。

雲端  DDoS 黑產鏈

在圈內,這類金主爸爸被稱為「發單人」,他們有些來自色情、賭博、彩票和遊戲私服等網站,用黑客技術手段對同行的服務器進行攻擊致使其宕掉,在圈內早已是慣用伎倆。

而烈劍在圈內更像是一個中介,由於懂技術,接到金主的單后,烈劍會迅速找到技術不錯的「攻擊手」,這些人可以用手頭現有的軟件和工具來操縱肉雞,讓它們對目標網站進行模擬訪問,佔據其服務器的 CPU 資源,以此來把正常用戶抵擋在門外。或者,直接發送大量流量攻擊目標服務器,導致服務器無法訪問網絡。

在這個黑產鏈條中,「肉雞商」和「出量人」也是攻擊武器的重要提供者,他們手中掌握着已經搭建好的「肉雞集群」和「流量平台網頁端的服務」,在實施攻擊前,這些「肉雞商」已經利用後門程序和漏洞,獲得電腦和服務器的控制權限,並植入木馬,使得這些計算機變成能實施 DDoS 攻擊的「肉雞」。而「出量人」作為擁有服務器控制權限和網絡流量的人,能夠租用專屬服務器並自行配置攻擊軟件從而獲取流量。

在利益面前,各路黑產配合默契,攻擊「武器」這兩年越來越先進,這也讓烈劍的生意越做越大。

其實,除了處於灰色地帶的一些比較邊緣的網站,一些跟國計民生相關的關鍵基礎設施也會遭到 DDoS 攻擊,目前,互聯網、金融、能源製造、政府機構等多個行業中,都面臨著相似的風險。

上雲后的超級 DDos 攻擊

要說近幾年越來越猖獗的 DDos 攻擊,其實還要拜「上雲」所賜。

正如一枚硬幣的兩面,網絡帶寬增加后,更高速、更廣泛的網絡連接讓我們的生活更加的便利,但這也為DDoS 攻擊創造了極為有利的條件,以前黑客獲取一個IP 后,可能對應的只是一個普通的用戶,但現在獲取了一個IP,他可以在拿到後門後去查屬於哪個服務商,是不是整片雲是不是有同樣的問題。

中國電信網絡安全產品運營中心的高級產品經理張曉華,就帶來了近幾年電信網內的攻擊趨勢圖↓↓↓

張曉華回憶,在2013年的時候,大部分客戶的主機還是在自己的機房裡面,最多也就是在 IDC 機房,然後扯上一根 2M 的線,直接接到服務器上面,所以那時雖然也有 DDos ,但攻擊量並不大。

隨着近幾年客戶逐漸上雲,接入帶寬變大,配備的都是上百G的雲資源池,這就出現了兩點變化,一是一旦成為肉雞,能夠往外攻擊的流量也會變大;二是隨着能夠湧入的流量增多,需要投資和配備的防護設備也需要相應升級。

這就如同你們家原來的門只是一個小門,一次最多只能同時進來兩個人,要擋住壞人,簡單的小防盜門就可以,由於人數少,哪些進來的是好人,哪些是壞人,也好分辨。但現在你們家的的門變成了一扇巨大的門,可以同時擁進上百個人,這時原有的防盜門就會不堪一擊。

更加糟糕的情況是,隨着黑產使用的各類攻擊「武器」在不斷升級,針對 DDos攻擊的防護成本遠遠大於攻擊成本,而且由於肉雞的數量眾多,對於攻擊源的追查難度很大。

目前,出於商業競爭、打擊報復和網絡敲詐等多種因素,很多IDC託管機房、商業站點、遊戲服務器、聊天網絡等網絡服務商長期以來一直成為DDoS攻擊的目標,而隨之而來出現的同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題。

要想解決上百個人堵在門口,而正常用戶卻被擋在門外這個問題,有一個辦法就是從攻擊源頭就開始治理,這就如同你要阻止100個人從全國各地來到你這裡鬧事,最好的辦法不是在等他們集結好之後,在鬧事地點等他們,而是在他們出發的時候,就能夠識別出他們,在源頭進行治理,張曉華把這稱為---近源清洗,而這個平台,被稱為「雲堤」。

換句話說,清洗就是把正常的用戶放進來,把肉雞擋在門外,讓業務可以正常進行。

於用戶而言,他們可以對攻擊流量無感知;於運營商而言,可以通過在攻擊流量發起側網絡內處置掉攻擊流量,提高運營商網絡的資源利用。

為什麼要搞近源清洗

抗擊DDoS的方式有很多,為什麼電信要選擇雲上做近源清理這種方式?

這還得從電信作為一家運營商所擁有的監測系統講起。

與其他安全廠商不同,作為一家運營商,其本身就有DPI(基於應用層的流量檢測和控制技術)、Netflow 監測系統、Botnet 監測系統、僵木蠕監測系統以及DNS等提供的實時信息來進行監測。

黑客無論是要幹什麼事情,最終還是得用運營商的網絡的,而如果憑藉早就在網絡中布下的各類監測設備,就可以為最終的「抓捕」提供線索。

憑藉電信自身的能力就可以達到監測的目的?你們不買外部的威脅情報嗎?

對於雷鋒網的這個問題,張曉華透露,威脅情報在整個處理過程中,其實更多的是處於一個補充的作用。

除了有識別能力,還得有處理能力,你能看出哪個是壞人,還要有把壞人撂倒的本事,重要的是還不能傷及無辜。

張曉華透露,運營商所具有的網絡部署與路由調度能力也是他們的殺手鐧之一,通過調度能力,就可以直接實現超大規模的網絡層/應用層攻擊防護,通過雲化分佈式清洗中心可同時協同處置區域攻擊流量,這時單節點處理能力就能得到協同節點的有效補充。

據雷鋒網了解,目前這個清洗中心在國內有26個,未來會逐漸雲話,張坦言,雖然網撒的很大,但在應用層的防護方面,未來依然需要加強對防護策略的制定,希望最終能做到客戶完全不需要自己的處理的程度。

雷鋒網還注意到,即將公布的《網絡安全等級保護條例》中,對於雲上的安全也提出了更高的要求,以防DDos為例,現在的標準會要求「肉雞」也要承擔主體責任。

簡單來說,你不僅要時刻注意自己有沒有被 DDos攻擊,還要確保自己不成為肉雞,去攻擊別人。

這些肉雞某種程度上,如同電影《釜山行》中的喪屍,雖然你很無辜,你被別人咬了,但被咬的後果就是你馬上也會成為一個攻擊者,去傷害更多無辜的人。


想在手機閱讀更多網站寄存資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems