年入100亿38万人黑产帝国解密,DDos攻击背后的利
小刀网络 2023-08-03 07:58:53 0

【谁坑了创业者的钱】

创业的路上千难万险,一不留心就会尸骨无存。在过去的十年,小刀高防服务器安全积累了丰富对抗经验和方法。但是,我们要如何开放十年的积累,能够为这些优秀的企业做点甚么,这就是小刀安全未来的方向——专业、服务、分享。

甚么是DDoS?

“你开了一间饭馆,我花钱雇了很多人冲进你的饭馆,占了你的餐位,纠缠你的服务员,但就是不点吃的。这样一来,真正想消费的顾客进不去,你就没有办法提供服务。”

----DDoS

每次讲到DDoS都要重复啰嗦这一段,大家可能都听烦了。那我们就直接进入下一个话题。

为何创业者容易成为攻击目标?

DDoS发展至今天,他的获利途径可以说是复杂的。而创业者变成主要被攻击的对象之一,主要缘由是由于这些企业大多未能构建成熟的防御体系,坏人攻击本钱小,而获利途径,大多为商业竞争和敲诈勒索。下面给大家详细介绍。

1、商业恶性竞争

商业竞争在互联网这个万亿市场中尤其剧烈。一些行业竞争者乃至为了利益不择手段、不顾法纪,通过DDoS攻击妨碍竞争对手的业务活动,打击对手的名誉,从中获得竞争优势。其中,电商行业和在线游戏行业是重灾区。

例如我之前听说有一个朋友开了一家专门销售成人用品的网站。网站刚刚上线就开始被不停的DDoS攻击。攻击延续了一个月,不知道为何被打,也没有人来勒索或谈条件。终究或者实行DDoS攻击的“打手”于心不忍,偷偷告知我那个朋友,是一个同行雇他延续攻击的。终究无奈,朋友的网站也放弃了运营。

图:源于行业竞争的DDoS

2、敲诈勒索

DDoS由于本钱低、实行容易等特点,在较初期就开始成为黑客在网络上进行敲诈勒索、收取“保护费”的主要方式。而企业在创业早期常常以经济发展为第一要务,在安全防护工作方面常常投入不多,就更加容易成为不法之徒敲诈勒索的目标。

坏人首先会先对企业的网站进行攻击,导致网页不能被用户访问,然后联系公司的员工勒索钱财,金额一般不会太大,在2000⑻000元左右。一般的企业由于业务遭到影响,加上坏人索要的金额也其实不巨大,大多都会支付赎金。但是,得了好处的骗子其实不会就这样信守许诺,勒索也将变成无底洞。

图:DDoS攻击者敲诈勒索

无敌舰队”攻击时,企业官网被大量的DDoS攻击流量梗塞致使网站没法访问,攻击流量基本在800Mbps⑸0Gbps不等,攻击时间在15分钟到1个小时左右。勒索者会给企业发送邮件并要求支付10个比特币(现市值大约18万人民币),如果企业未在规定时间内支付比特币,将增加勒索比特币的额度要求,并将DDoS攻击流量增加到最大1Tbps。

目前已有用户选择报警,但由于没法准确对攻击进行溯源而且勒索者在海外,警方短时间难以追踪勒索者,建议企业自行加强防御措施抵抗DDoS攻击,以确保网站业务的正常使用。

图 1 黑客勒索邮件

针对“无敌舰队”这样的大流量DDoS攻击,小刀网络为代表的立体式云端抗D清洗防护服务是一种理想的抗D方式。

乐视此次所遭受的歹意DDOS攻击峰值流量到达了200G,这类高频率、高流量的攻击必定属于有预谋的歹意攻击,而且DDOS攻击是一种“伤敌一千,自损八百”的攻击手段,对攻击者的财力考验也是巨大的。截至目前,此次攻击已延续了约一天,乐视方面已就此向公安机关报案。

DDoS攻击会对企业造成怎样的危害?

DDoS对企业的影响是非常直观的,比如企业的网页没法打开、APP的内容没法加载、游戏玩家大面积掉线、视频资源没法播放等等。最近一些创业企业,由于被黑客DDoS攻击而遭受巨大损失的案例也不在少数。那末,DDoS究竟会给企业带来多大的影响?

这里我们以网络游戏业务为例。据小刀安全平台部宙斯盾统计,目前网络上的DDoS攻击,超过40%的目标都是游戏,仅在今年1月份到10月份,宙斯盾在游戏业务领域共拦截了30万次DDoS攻击,平均每分钟防御1次。如果完全不作防护的话,这些攻击会直接造成约5.2亿次的玩家掉线。5.2亿玩家掉线会带来多少损失,会使多少游戏产品面临死亡的要挟,我想不用说,大家也能感遭到。

DDoS产业是如何赚钱的?

经过这么多年的发展,DDoS的产业链条已发展的十分成熟了。各团伙之间分工明确、合作紧密,俨然构成一个井然有序、不断扩大的地下市场。而各个链条的获益模式也是不尽相同。

图:DDoS攻击黑色产业链

1、出售攻击工具

在DDoS全面蔓延的今天, 许多DDoS攻击的工具在网络上可以直接不要钱下载的。但是一些质量较好的,有特殊定制服务的软件,或者需要从专业的制作团伙租赁。软件作者一般会根据攻击团伙的需求,编写定制化软件,并收取费用。一般数百元到千元不等。

图:在网上公然售卖的DDoS攻击工具

2、出售攻击流量

除攻击工具,发起DDoS攻击还需要具有一定的流量。一般而言,通过抓“肉鸡”构建僵尸网络来获得流量耗时耗力,并且不够稳妥。所以一些攻击者会选择向流量平台商租用流量。据安平情报团队调查,流量提供商会把所掌握的流量管理权限有偿提供给攻击者实行网络攻击,一般按时按量收费。

图:DDoS攻击所需的流量可在网上租用

3、接单中介抽水

DDoS黑产的高度成熟也催生生产业链条中的中介服务:接单中介。最基础的模式是接单人员接到客户的基于区别需求的“D单”、“C单”、“包天单”等定单,再把单子分发给具有相应攻击资源和能力的攻击者。根据对目前黑市的调查,完成一份D单的报酬根据攻击难度和攻击时长从100元到上千元不等,接单中介按协商好的百分比收取利润。

图:五花八门的DDoS接单广告

4、攻击者攻击获利

在这个黑色产业中,DDoS攻击者不再是单纯宣泄不满的年轻人,也不再是组织攻击的主角,他们更多是“客户”所雇佣的“打手”。通过接单中介或自己直接接活,黑产人员的月收入可到达数万元人民币。巨大的潜伏利益驱使着攻击者们不断地铤而走险,也使得DDoS攻击成为互联网企业挥之不去的梦魇。

图:DDoS攻击交易

十年,从业者暴涨至数十万,年产值过百亿

在98年初,DDoS仅作为一种彰显黑客技术能力的夸耀手段而出现,随后的几年,随着互联网业务的不断丰富和发展,从2003年开始,网络上开始有人利用DDoS技术攻击网游私服,并勒索钱财,我们称之为“黑吃黑的阶段”。到了08年,DDoS的攻击技术被用于“统一市场”,主要攻击小型的网游私服发布站、论坛,并强行吞并,当时的DDoS攻击资源被掌握在少数的攻击小组手里,例如“骑士攻击小组”。到了10年前后,DDoS黑色产业发展的空前壮大,攻击资源开始蔓延,依托于DDoS的敲诈勒索时有产生,受害者多为网吧、游戏公司、中小型创业企业等,DDoS进入“全面蔓延时期”。

经过十余年的发展壮大,DDoS攻击已构成了一条高度成熟的黑色产业链。据安全平台部黑产情报团队分析调查,目前在这条黑色产业链中,相关黑产从业人员或已到达38万余人,触及6000多个大大小小的黑产团伙,其中,专职于DDoS黑产的人员就高达13万,如果以人均月收入4000元计算,年产值将超过100亿。

图:DDoS攻击要挟延续严峻

那末,该如何应对?

从目前来看,可以说DDoS的防护并没有捷径可走,这完全是一场攻防本钱的博弈。简单的说,就是大量的人力和财力。但是,很多企业在快速发展的阶段,并没有能力大量投入本钱完成类似的建设。因此,我认为性价比最好的选择是借助已有的成熟平台,通俗的讲就是前人栽树,后人乘凉

那小刀云主机是怎么解决黑客攻击这个困扰业内已久的问题呢?
实际上,大多数的黑客攻击都离不开带宽和流量这两方面,不过是DDOS攻击、CC攻击,UDP攻击、TCP协议攻击等等,其中又由以DDOS攻击最为常见,
目前而言,黑客乃至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。可以想象一下,如果是100G的歹意流量瞬间涌来,大多数的网站极可能就立马game over了。
小刀投资一亿元搭建的顶级"立体式"安全防护体系,具有领先行业云防御3.0架构,由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB利用防火墙” “小刀云盾” “移动安全” “数据风控” “要挟感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。经太小刀经过13年的防御经验的积累和不断改进完善,基于大数据智能分析,超过600G真实的防御能力,能完全有效处理超过1T以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS FloodDDoS攻击连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击。
小刀T级防御高防云服务器上线,秒破DDoS歹意攻击
纵观云主机市场,很多云厂商说:不限流量。但当客户租赁服务后,真正需要流量时候就会发现,原来所谓的“不限流量”只是云厂商的广告噱头而已。而小刀云主机提供的都是真实的防御流量。小刀的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻防备可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另外一节点。在面临攻击要挟时,小刀采取的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小刀的“立体式”安全防护体系能完全有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小刀组建的是散布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。

除流量攻击外,服务器配置性能弹性也是用户关注的重点。低配置的服务器CPU经不起折腾,跟计算机一样很快跑满,反应卡顿,远程连接出错等等问题的出现也是再正常不过。而小刀云主机机器配置可以进行弹性配置,从4核心8线程到16核心32线程内存最低从32G到高达512G带宽从1G到10G,,硬盘从2*2T到72T,任意DIY搭配,满足低配到高配的各类需求。

HTTP/HTTPS网站常规防护方案

小刀网络Web利用安全云防护系统可以通过云端有效的防护攻击者针对网站的发起的SYN Flood攻击、ACK Flood攻击、UDP Flood攻击、ICMP Flood攻击,和基于这4类攻击的变种攻击,比如NTP 反射攻击、DNS 反射攻击、IP 分片攻击等各种流量型攻击方式。

用户接入云防护系统非常便捷,只需要修改其DNS指向,将原来域名指向服务器IP地址的方式通过CNAME引流指向云防护系统便可,云防护系统可以在不影响网站访问的情况下,10分钟左右完成快速接入。

当检测到由大流量DDoS攻击时,小刀网络Web利用安全云防护系统可以将大流量调度到全国的几十个高防节点机房进行清洗防护,清洗后将正常流量返回给用户网络。现在最大可以抵抗600Gbps⑴Tbps的大流量DDoS攻击。

当用户遭受超越其租赁套餐流量时候,本着对用户负责的态度和原则,小刀网络不会直接放行DDoS的攻击流量,在短时间内会替用户先扛着,除非对用户的攻击是延续性的大流量攻击,会根据生成的流量报表和用户协商更换套餐。

小刀网络可以和用户签署具有法律效率的保密协议确保用户通过云真个数据安全,针对用户的HTTPS网站防护,还可以通过以下技术性方案来确保用户数据安全。

图2 360安域网站安全云防护系统

四层代理清洗方案

小刀网络有成熟的四层云端代理清洗技术,即通过提供多个运营商的高容量DDoS防护IP对用户HTTP/HTTPS网站业务进行接入,直接从TCP层对DDoS攻击进行判断和清洗,对用户的利用层数据不感知,不基于网站内容进行防护。这样厂商在不接触用户利用数据的同时并还可以对DDoS攻击进行有效清洗。

用户使用基于云端代理防护时,用户从网站服务器看到的所有攻击及访问源IP地址都是云端防护系统的回源IP,而看不到真实互联网访问者IP地址,这对有些用户来讲是难接受的。小刀网络首创性的通过在云端防护系统及网站服务器之间部署IP地址解析转换器的方式完成地址的解析转换,通过对IP地址的解析转换,可让服务器端直接查看到真实的互联网访问及攻击者的真实源IP地址。

如果用户的源站服务器IP地址暴露,黑客可能直接攻打源站服务器的IP地址而绕过云端防护系统,此时用户需要预留IP地址,当服务器IP地址被直接攻击时云端防护系统可以将数据回源到用户的预留IP地址上,由于云端防护系统可以隐藏网站服务器的细节,可以确保黑客没法获得到新的IP地址,固然为了不操作的麻烦,用户也能够在接入时直代替换并由云端防护系统直接隐藏源站IP地址。

如果用户网站已有CDN、负载均衡等通过CNAME解析的配置,小刀网络可以无缝的做前后CNAME值的解析接入和回源,确保用户可以自行快速控制云端防护系统的防护和回源状态配置,用户可以按需使用。

图 4 四层代理清洗方案

目前对DDoS攻击进行追踪,对攻击IP地址及背后的C&C控制器进行溯源分析还比较困难,非技术手段对抗DDoS攻击难以实现,所以通过技术手段做好DDoS的攻击防护或者当下主要能做的事情。在此小刀网络建议金融机构或者做好平常的DDoS攻击防御措施资源准备,建立常态化的DDoS应急演练,积累应对DDoS攻击的经验,当DDoS攻击来时不至于手足无措。当遭受DDoS攻击时应及时报警并寻觅有效适用的抗DDoS措施进行防御以减少损失。

标签: 小刀流量
相关信息推荐