2018年上半年DDoS产业链及新变化
小刀网络 2023-08-21 07:56:05 0

DDoS产业链


DDoS攻击犯法已进入产业化时期——从以往的需要专业黑客实行全部攻击进程的行动,发展成由发单人、攻击实行人、肉鸡商、出量人、黑客攻击软件作者、担保人等多个犯法个体共同参与实行的产业化犯法行动。



发单人


一次DDoS攻击常常始于发单人,DDoS攻击的发单人来自各行各业,同行竞争
是DDoS的主要缘由之一。因此,发单人与受害者常常身处同一行业。

最为典型的发单群体就是博彩网站站长。2016年6月14日,一家中国博彩公司不幸遭受多矢量DDoS攻击,攻击者以470Gbps和超过110Mpps对其服务器实行猛攻。该公司在遭受攻击头几天已遭到多个超过250+的攻击。攻击者利用9个区别的攻击矢量实行攻击。博彩网站常常利用DDoS攻击,使得竞争对手没法正常展开业务,从而争取用户资源。

一样需要争取用户的还有游戏行业,特别是网游私服。由于其背后的高收益,使得游戏行业成了发单群体中必不可少的一个部份。在我们针对目标行业的统计中,游戏行业的攻击占比高达35%以上,其中大部份的攻击也都来源自同行竞争。

发单渠道


和其他黑产行动一样,想要寻觅DDoS服务提供方,完全没必要大费周章的上暗网、Telegram群里去进行沟通、交易。通过QQ、淘宝、百度贴吧等渠道可以很轻松地找到提供DDoS的公司,乃至可以等他们自动找上门……


QQ渠道


在这几个渠道里,QQ一定是首选。首先在QQ群查找页直接搜索“DDoS”,就
会出来大量的QQ群,群成员人数4000+的不在少数。部份群在群名称和介绍中明确表示是技术交换群,更多的则是能够明显看出来是提供DDoS攻击服务的。




绝大部份DDoS群都是设置“全员禁言状态,只允许群主和管理员发言”,那末这类
群存在的唯一意义就是提供服务方与需求方的对接,通过私聊便可直接联系。

进群以后,立刻有很多人发送私信和加好友申请。可见一旦这个圈子里出现新人,产业链背后的从业者就会如猛虎扑食,蜂拥而上。








一个卖家表示,一个月的时间就可以够打垮目标网站,收费3000元。另外一家则表示
300元就能够弄定,并自称“到死也查不到(谁干的)”。






暗访期间,还可以找到一些提供DDoS服务的网站,可以直接下载对方所提供的软
件,通过租赁天卡、月卡或年卡使用。区别点卡在价格上可能存在较大的区分,但相同的地方在于,所有点卡交易都是通过第三方发卡平台进行,或许是为了有效隐藏收款渠道。




淘宝渠道

除QQ以外,万能的淘宝再次发挥了它的奇异作用。DDoS攻击之类的字眼也在
淘宝上疑似被封禁,但仍有大量提供DDoS防护的店铺。通过旺旺联系多个卖家,询问会不会提供压力测、DDoS攻击等服务,终究能获得一些结果。





询问卖家会不会提供DDoS服务,如果卖家答案是肯定的,那末他就会告知需求方通
过QQ联系,接下来的步骤便与QQ渠道部份内容相同。


搜索引擎

通过在QQ、淘宝等渠道暗访调查,可轻易获得有效的DDoS服务交易关键词,如
天罚“DDoS”、“大金DDoS”等。这些大多是一些DDoS攻击的履行软件,在搜索引擎搜索这些关键词,能够很快找到大量相关的平台网站。





虽然很多平台表面上看起来是正规的压力测试服务,但却打出了疑似黑产擦边球的标语,不论是“代天执法”或者“替天行道”,都有浓厚的江湖气味。
另外,在带有“DDoS”关键字的贴吧和一些黑客论坛里,找到提供DDoS服务的人都绝不费力。找到相关人员后,都可通过QQ或微信进一步联系。总而言之,在国内,想要找到DDoS攻击服务的提供商完全不需要折腾去暗网,毕竟压力测试和DDoS服务之间也只在一念之差。

QQ群地域散布
通过关键词“DDoS”、“渗透测试”、“压力测试”等查询QQ群,粗略统计其所在
地域散布情况,以广东、深圳、北京为主,其次上海、浙江、四川等其他地方均有些许散布。


群人数范围

报告统计了总共188个DDoS相关的讨论群,其中有4个QQ群的人数范围到达了
5000人,而且基本满员。而2000人群、1000人群分别到达了28个、15个。通过这些能够初步估计通过QQ群完成潜伏DDoS攻击交易及DDoS服务传播的范围。

接单中介


DDoS黑产的高度成熟也催生生产业链条中的中介服务:接单中介。最基础的模式
是接单人员接到客户的基于区别需求的“D单”、“C单”、“包天单”等定单,再把单子分发给具有相应攻击资源和能力的攻击者。根据对目前黑市的调查,完成一份D单的报酬根据攻击难度和攻击时长从100元到上千元不等,接单中介按协商好的百分比收取利润。

也有的接单中介本身具有较小的流量,如果需求较小,可以自己完成攻击,当需求较大时再转给专门的攻击手。
不过随着页端DDoS攻击平台的兴起,接单中介这类中间人角色已逐步被取代。如此一来,既精简了交易环节,也方便租赁者直接通过页端平台自主操作。

4.1.7攻击程序


从QQ群等渠道接触到各种DDoS服务提供商,虽然现在依然有提供软件端服务
的商家,但更多的或者在网页端,基本上每个人数较多的DDoS服务群都对应一个页端平台。压力测试和DDoS攻击处于黑与白之间,界限太模糊。所以压力测试这这类服务的网页过审、正常运营并没有甚么问题,也正由于这样DDoS黑产又多了一层外衣。








从以上提到的DDoS平台中挑出一家注册账户探究,在用户协议中明确提到
“DDoS攻击服务是严格制止的”、“使用DDoS压力测试你一定要对自己的行动负责”等。



不过这些网站在搜索引擎中结果展现都带有“DDoS攻击”的字样,全部注册进程中其实不需要实名认证、绑定手机号等,只需要一个邮箱便可,如果被黑产利用进行非法攻击,基本无迹可寻,而IP地址也能够捏造。







进入平台后台,可以看到该平台发起的总攻击数量和注册用户数量(该平台声明
会定期删除未租赁套餐或套餐过期的用户)。







一定要租赁套餐激活后才能进入该平台的压力测试区,只需要填写目标站点的Host、
端口、时间便可发送攻击,攻击方法也有多种可选,最少在这个环节,压力测试和DDoS攻击是没有区分的,就看使用者的目的了。





成心思的是,该平台有站长个人微博的外链,能够看“DDoS攻击”字眼,还有一篇《绕过CDN找到网站真实IP》的教程文章,这很难不让人与黑产联系到一起。

这一类页端DDoS攻击平台在搜索引擎中比比皆是,后台布局高度类似。虽然仅凭这些调查不能判定某个平台会不会从事黑产,但这些平台绝对是黑产最可能利用的渠道之一。

流量平台


一般采取海外的IDC机房租用G口带宽服务器做为发包机,进行反射放大攻击、
SYNFlood攻击。由于海外一些IDC机房监管不严,可以非本机房捏造源IP的数据包在网络在传输,这给DDoS的攻击创造了很大的便利,同时给防御带来了新的挑战。

CC攻击流量,采取传统肉鸡情势,因其要建立TCP的长连接,所以捏造源IP就
不可行了,一定要要大量肉鸡做这真实的出口来进行CC攻击。同理TCPFlood也是如此。

IoT类的botnet在整体的流量上占有很大的比例,由于IoT类装备无安全防护,且有一些账号密码是出厂固化,比弱口令更不安全。IoT类的botnet在bot端以弱口令或产品漏洞自传播模式为主,在控制端主要以API的模式发起攻击指令。在发起攻击指令处已有成熟的自动化调度策略,可以与页端DDoS攻击平台无缝衔接。

页端DDoS攻击平台是目前DDoS的最成熟的攻击平台,会以各种隐蔽手段存在。例如“压力测试平台”、“攻击演练平台”等,还有一些乃至直接叫DDoS攻击平台,在暗网上多以DDoS攻击平台直接标示。页端DDoS攻击平台已日渐代替DDoS中间人的角色,是DDoS发起攻击的主要入口。其后端可管理调度发包
机、带自动API的botnet等。


攻击实行

目前主流的DDoS攻击手段可参考本文第二章,黑客攻击者也被自动化攻击平台所
取代。从发起攻击命令到真正开始攻击,延时下降到了10s的水平,攻击效力大大提高。页端DDoS攻击平台常常会假装成“流量压力测试平台”,并由站上进行平台的综合管理、部署、运维工作。

产业新变化

暗网DDoS

美国云安全技术服务公司Armor近期发布的一份报告,揭露了暗网上针对各种网
络犯法相关服务实行的价格标准。

根据Armor的说法,用户可以以10美元/小时、200美元/天的价格或500美元
/12000美元的价格租用DDoS攻击。银行僵尸网络(750美元/月),漏洞利用套件(1400美元/月),WordPress漏洞(100美元),ATM分离器(1,500美
元)和黑客入门教程(50美元)也能够出售。



全球比较大的暗网平台一般都会出售DDOS服务、DDOSAPI接口、僵尸网络
等。与此同时,在暗网的地下论坛也有大量售卖DDoS攻击工具的渠道。根据卡巴斯基的调查,暗网的DDoS商户可以获得到95%的盈利空间。由于暗网的隐蔽
性,提供服务的商户可以将DDoS这样背法的服务以看似非常正规的服务方式推出,他们会提供基于Web的界面,与那些网上商城类似。客户可以查询到余额、配置等信息。

2.2.2DDoSasaService






DDosasaService商户提供的服务常常取决于最大攻击延续时间和所需的并发攻击数量,这个价格通常从10美元至200美元不等。
有很多提供服务的公司公然宣称业务是“压力测试”,但是在地下论坛中则将自己宣扬为DDoS服务。
而一个新趋势是,DDosasaService这类的服务在中国地下市场愈来愈受欢
迎。大量的在线DDoS服务网站使得DDoS服务更加定制化,也更加触手可及。

地下市场中存在大量的在线DDoS压力测试平台,这些平台很多使用了类似的界
面,可以通过租赁激活码发起攻击,并且客户可使用一些参数来调理攻击。在某个DDoS平台的介绍页面乃至写道,其已处理了来自44238名用户的168423个攻击要求。









对这些DDoS平台,能够实行的DDoS攻击方式多种多样:








通过查看这些在线平台的源码可以发现,这些DDoS平台的网页端代码大多来自国
外,经过汉化后在中国市场被广泛使用。除语言的修改之外,一些中国特点的特性也被加入其中,例如支付方式常常会被修改成支付宝。


小刀网络技术有限公司是一家专业致力于为企业提供全方位、多层面的网络安全公司。小刀云盾是建立在硬防以外的另道全新模式防护,此防护依托于独立牵引机柜经三道防御层层过滤,以到达最有效的防护效果。小刀云盾属于最高真个顶级防护环境,主要针对稳定性要求极高的客户群,完全杜绝服务器掉线或卡频。
小刀网络专注于高防行业,精耕细作,致力打造IDC基础服务提供商领跑者。专业的防CC功能,智能的多盾联动混合节点防御技术,10秒高效辨认,快速拦截,让您从此阔别CC攻击。小刀数据中心,1000G以上带宽抗DDoS,并可随时应急调用电信自有带宽1.5TB,总防御能力超2T!高效的CC攻击拦截引擎,无尚限防御CC攻击。自主研发的小刀云盾引擎能根据访问者的URL,频率,行动等访问特点,迅速辨认出CC攻击并进行拦截,100%拦截无漏传。全面抵抗任何类型的DDoS攻击,抗D保为最容易遭受攻击的金融借贷平台、游戏、电商、教育培训、竞价排名、医疗等高危网站制定专属策略,为网络安全保驾护航。
我们区别于纯洁的IDC或传统服务器提供商,我们能帮助用户在使用云防御的进程中,最大程度的消除各种隐性本钱和运营风险,将安全架构的构建和运维工作变得真正简单、可靠。用户可以用极低本钱取得最适合的网络安全基础架构和最专业、持久的服务团队。我们为用户的想法提供全力支持,用户得以真正自由,全身心投入到对业务的思考和运营中。我们与用户,就是一个团队。
实力优势:我们与国内知名ISP公司建立战略火伴关系,和阿里、电信、联通、移动、绿盟、天融信、启明星、华为、百度、腾讯等长时间合作。
小刀网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点:
亮点一:多重整合
有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小刀网络,数以万计的DDOS攻击防范克服经验证明了其防御体系的技高一筹。小刀网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系,由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。
亮点二:智能防御
小刀的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻防备可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另外一节点。在面临攻击要挟时,小刀采取的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小刀的“立体式”安全防护体系能完全有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小刀组建的是散布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。
再就是定制的商用DDoS解决方案。
针对超大流量的攻击或复杂的游戏CC攻击,可以斟酌采取专业的DDoS解决方案。目前,通用的游戏行业安全解决方案,做法是在IDC机房前端部署防火墙或流量清洗的一些装备,或采取大带宽的高防机房来清洗攻击。
当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的本钱要求也比较高。
在小刀网络,我们团队去颠覆带宽“军备比赛”的策略,是提供一个可信的访问网络,这也是游戏盾诞生的初衷。
游戏盾风控模式的初衷,是从收到访问的第一刻起,便判断它是“好”或者“坏”,从而决定它是不是是可以访问到它想访问的资源;而当攻击真的产生时,也能够通过智能流量调度,将所有的业务流量切换到一个正常运作的机房,保证游戏正常运行。
游戏行业DDoS 6年谈:甚么样的架构才可以对DDoS免疫?
某棋牌行业基于游戏盾的架构示意图
所以,通过风控理论和SDK接入技术,游戏盾可以有效地将黑客和正常玩家进行拆分,可以防御超过300G以上的超大流量攻击。
风控理论需要用到大量的云计算资源和网络资源,小刀网络天然的优势为游戏盾带来了很好的土壤,当游戏盾能调度10万以上节点进行快速计算和快速调度的时候,那给攻击者的感觉是这个游戏已从他们的攻击目标里面消失。
游戏盾,是小刀网络的人工智能技术与调度算法,在安全行业中的成功实践。
而随着攻防进程的推动,网络层和接入层逐渐壮大,我们希望“游戏盾”的风控模式,会逐渐延展到各个行业中,建立起一张安全、可信的网络。这张网络中,传输着干净的流量,而攻击被前置到网络的边沿处。所有的端,在接入这张网络时,都会经过“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等风险控制的辨认,网内的风控系统,也让坏人没法访问到他锁定资源。
未来,以资源为基础的DDoS防护时期终将被打破,演进出对DDoS真正免疫的风控架构。

标签: 平台小刀
相关信息推荐