DDoS 产业链
DDoS 攻击犯罪已经进入产业化时代——从以往的需要专业黑客实施全部攻击过程 的行为,发展成由发单人、攻击实施人、肉鸡商、出量人、黑客攻击软件作者、担 保人等多个犯罪个体共同参与实施的产业化犯罪行为。
发单人
一次 DDoS 攻击往往始于发单人,DDoS 攻击的发单人来自各行各业,同行竞争
是 DDoS 的主要原因之一。因此,发单人与受害者往往身处同一行业。
最为典型的发单群体就是博彩网站站长。2016年6月14日,一家中国博彩公司不幸 遭遇多矢量 DDoS 攻击,攻击者以 470 Gbps 和超过 110 Mpps 对其服务器实施 猛攻。该公司在遭受攻击前几天已经遭到多个超过250+的攻击。攻击者利用9个不 同的攻击矢量实施攻击。博彩网站往往利用 DDoS 攻击,使得竞争对手无法正常开 展业务,从而争夺用户资源。
同样需要争夺用户的还有游戏行业,特别是网游私服。由于其背后的高收益,使得 游戏行业成为了发单群体中必不可少的一个部分。在我们针对目标行业的统计中, 游戏行业的攻击占比高达35%以上,其中大部分的攻击也都来源自同行竞争。
发单渠道
和其他黑产行为一样,想要寻找 DDoS 服务提供方,完全不必大费周章的上暗网、 Telegram 群里去进行沟通、交易。通过 QQ、淘宝、百度贴吧等渠道可以很轻松 地找到提供 DDoS 的服务商,甚至可以等他们自动找上门……
QQ渠道
在这几个渠道里,QQ 一定是首选。首先在 QQ 群查找页直接搜索 “DDoS” ,就
会出来大量的 QQ 群,群成员人数4000+的不在少数。部分群在群名称以及介绍中 明确表示是技术交流群,更多的则是能够明显看出来是提供 DDoS 攻击服务的。
绝大部分 DDoS 群都是设置“全员禁言状态,只允许群主和管理员发言”,那么这种
群存在的唯一意义就是提供服务方与需求方的对接,通过私聊即可直接联系。
进群之后,立刻有很多人发送私信以及加好友申请。可见一旦这个圈子里出现新 人,产业链背后的从业者就会如猛虎扑食,一拥而上。
一个卖家表示,一个月的时间就能够打垮目标网站,收费3000元。另一家则表示
300元就可以搞定,并自称“到死也查不到(谁干的)”。
暗访期间,还能找到一些提供 DDoS 服务的网站,可以直接下载对方所提供的软
件,通过购买天卡、月卡或者年卡使用。不同点卡在价格上可能存在较大的区别, 但相同之处在于,所有点卡交易都是通过第三方发卡平台进行,也许是为了有效隐 藏收款渠道。
淘宝渠道
除了 QQ 之外,万能的淘宝再次发挥了它的神奇作用。DDoS 攻击之类的字眼也在
淘宝上疑似被封禁,但仍有大量提供 DDoS 防护的店铺。通过旺旺联系多个卖家, 询问是否提供压力 测、DDoS 攻击等服务,最终能获取一些结果。
询问卖家是否提供 DDoS 服务,如果卖家答案是确定的,那么他就会告知需求方通
过 QQ 联系,接下来的步骤便与 QQ 渠道部分内容相同。
除了 QQ 之外,万能的淘宝再次发挥了它的神奇作用。DDoS 攻击之类的字眼也在
淘宝上疑似被封禁,但仍有大量提供 DDoS 防护的店铺。通过旺旺联系多个卖家, 询问是否提供压力 测、DDoS 攻击等服务,最终能获取一些结果。
询问卖家是否提供 DDoS 服务,如果卖家答案是确定的,那么他就会告知需求方通
过 QQ 联系,接下来的步骤便与 QQ 渠道部分内容相同。
搜索引擎
通过在 QQ、淘宝等渠道暗访调查,可轻易获取有效的 DDoS 服务交易关键词,如
天罚 “DDoS”、“大金 DDoS”等。这些大多是一些 DDoS 攻击的执行软件,在搜 索引擎搜索这些关键词,能够很快找到大量相关的平台网站。
虽然不少平台表面上看起来是正规的压力测试服务,但却打出了疑似黑产擦边球的 标语,不论是“代天执法”还是“替天行道”,都有浓厚的江湖气息。
此外,在带有 “DDoS” 关键字的贴吧以及一些黑客论坛里,找到提供 DDoS 服务 的人都毫不费力。找到相关人员后,都可通过 QQ 或者微信进一步联系。总而言 之,在国内,想要找到 DDoS 攻击服务的提供商完全不需要折腾去暗网,毕竟压力 测试和 DDoS 服务之间也只在一念之差。
QQ 群地域分布
通过关键词 “DDoS” 、“渗透测试”、“压力测试”等查询 QQ 群,粗略统计其所在
地域分布情况,以广东、深圳、北京为主,其次上海、浙江、四川等其他地方均有 些许分布。
地域分布情况,以广东、深圳、北京为主,其次上海、浙江、四川等其他地方均有 些许分布。
群人数规模
报告统计了总共188个 DDoS 相关的讨论群,其中有4个 QQ 群的人数规模达到了
5000人,而且基本满员。而2000人群、1000人群分别达到了28个、15个。通过 这些能够初步估计通过 QQ 群完成潜在 DDoS 攻击交易及 DDoS 服务传播的规 模。
接单中介
DDoS 黑产的高度成熟也催生出产业链条中的中介服务:接单中介。最基础的模式
是接单人员接到客户的基于不同需求的“D 单”、“C 单”、“包天单”等订单,再把 单子分发给具备相应攻击资源和能力的攻击者。根据对目前黑市的调查,完成一份 D 单的报酬根据攻击难度和攻击时长从100元到上千元不等,接单中介按协商好的 百分比收取利润。
也有的接单中介本身拥有较小的流量,如果需求较小,可以自己完成攻击,当需 求较大时再转给专门的攻击手。
不过随着页端 DDoS 攻击平台的兴起,接单中介这种中间人角色已经逐渐被取代。 如此一来,既精简了交易环节,也方便购买者直接通过页端平台自主操作。
4.1.7 攻击程序
从 QQ 群等渠道接触到各种 DDoS 服务提供商,虽然现在仍然有提供软件端服务
的商家,但更多的还是在网页端,基本上每一个人数较多的 DDoS 服务群都对应一 个页端平台。压力测试和 DDoS 攻击处于黑与白之间,界限太模糊。所以压力测试 这这类服务的网页过审、正常运营并没有什么问题,也正因为这样 DDoS 黑产又多 了一层外衣。
从以上提到的 DDoS 平台中挑出一家注册账户探究,在用户协议中明确提到
“DDoS 攻击服务是严格禁止的”、“使用 DDoS 压力测试你必须对自己的行 为负责”等。
不过这些网站在搜索引擎中结果展示都带有 “DDoS 攻击” 的字样,整个注册过程 中并不需要实名认证、绑定手机号等,只需要一个邮箱即可,如果被黑产利用进行 非法攻击,基本无迹可寻,而IP地址也可以伪造。
进入平台后台,可以看到该平台发起的总攻击数量以及注册用户数量(该平台声明
会定期删除未购买套餐或者套餐过期的用户)。
必须购买套餐激活后才能进入该平台的压力测试区,只需要填写目标站点的 Host、
端口、时间即可发送攻击,攻击方法也有多种可选,至少在这个环节,压力测试和 DDoS 攻击是没有区别的,就看使用者的目的了。
有意思的是,该平台有站长个人微博的外链,能够看 “DDoS 攻击” 字眼,还有一 篇《绕过 CDN 找到网站真实 IP》的教程文章,这很难不让人与黑产联系到一起。
这一类页端 DDoS 攻击平台在搜索引擎中比比皆是,后台布局高度相似。虽然仅凭 这些调查不能判定某个平台是否从事黑产,但这些平台绝对是黑产最可能利用的渠 道之一。
流量平台
一般采用国外的 IDC 机房租用 G 口带宽服务器做为发包机,进行反射放大攻击、
SYN Flood 攻击。因为国外一些 IDC 机房监管不严,可以非本机房伪造源 IP 的 数据包在网络在传输,这给 DDoS 的攻击创造了很大的便利,同时给防御带来了新 的挑战。
CC 攻击流量,采用传统肉鸡形式,因其要建立 TCP 的长连接,所以伪造源IP就
不可行了,必须要大量肉鸡做这真实的出口来进行 CC 攻击。同理 TCP Flood 也 是如此。
IoT 类的 botnet 在整体的流量上占有很大的比例,因为 IoT 类设备无安全防护, 且有一些账号密码是出厂固化,比弱口令更不安全。IoT 类的 botnet 在 bot 端以 弱口令或产品漏洞自传播模式为主,在控制端主要以 API 的模式发起攻击指令。在 发起攻击指令处已有成熟的自动化调度策略,可以与页端 DDoS 攻击平台无缝衔 接。
页端 DDoS 攻击平台是目前 DDoS 的最成熟的攻击平台,会以各种隐蔽手段存 在。例如“压力测试平台”、“攻击演练平台”等,还有一些甚至直接叫 DDoS 攻击 平台,在暗网上多以 DDoS 攻击平台直接标示。页端 DDoS 攻击平台已日渐代替 DDoS 中间人的角色,是 DDoS 发起攻击的主要入口。其后端可管理调度发包
机、带自动 API 的 botnet 等。
攻击实施
目前主流的 DDoS 攻击手段可参考本文第二章,黑客攻击者也被自动化攻击平台所
取代。从发起攻击命令到真正开始攻击,延时降低到了 10s 的水平,攻击效率大大 提高。页端 DDoS 攻击平台往往会伪装成“流量压力测试平台”,并由站长进行平 台的综合管理、部署、运维工作。
产业新变化
暗网 DDoS
美国云安全技术服务公司 Armor 近期发布的一份报告,揭示了暗网上针对各种网
络犯罪相关服务实施的价格标准。
根据 Armor 的说法,用户可以以10美元/小时、200美元/天的价格或者500美元
/12000美元的价格租用 DDoS 攻击。银行僵尸网络(750美元/月),漏洞利用套 件(1400美元/月),WordPress 漏洞(100美元),ATM 分离器(1,500美
元)和黑客入门教程(50美元)也可以出售。
暗网 DDoS
美国云安全技术服务公司 Armor 近期发布的一份报告,揭示了暗网上针对各种网
络犯罪相关服务实施的价格标准。
根据 Armor 的说法,用户可以以10美元/小时、200美元/天的价格或者500美元
/12000美元的价格租用 DDoS 攻击。银行僵尸网络(750美元/月),漏洞利用套 件(1400美元/月),WordPress 漏洞(100美元),ATM 分离器(1,500美
元)和黑客入门教程(50美元)也可以出售。
全球比较大的暗网平台一般都会出售 DDOS 服务、DDOS API 接口、僵尸网络
等。与此同时,在暗网的地下论坛也有大量售卖 DDoS 攻击工具的渠道。根据卡巴 斯基的调查,暗网的 DDoS 商户可以获取到95%的盈利空间。由于暗网的隐蔽
性,提供服务的商户可以将 DDoS 这样违法的服务以看似非常正规的服务方式推 出,他们会提供基于 Web 的界面,与那些网上商城类似。客户可以查询到余额、 配置等信息。
2.2.2 DDoS as a Service
DDos as a Service 商户提供的服务往往取决于最大攻击持续时间和所需的并发 攻击数量,这个价格通常从10美元至200美元不等。
有很多提供服务的公司公开宣称业务是“压力测试”,然而在地下论坛中则将自己宣 传为 DDoS 服务。
而一个新趋势是,DDos as a Service 这类的服务在中国地下市场越来越受欢
迎。大量的在线 DDoS 服务网站使得 DDoS 服务更加定制化,也更加触手可及。
地下市场中存在大量的在线 DDoS 压力测试平台,这些平台很多使用了类似的界
面,可以通过购买激活码发起攻击,并且客户可以使用一些参数来调节攻击。在某 个 DDoS 平台的介绍页面甚至写道,其已经处理了来自44238名用户的168423个 攻击请求。
对于这些 DDoS 平台,能够实施的 DDoS 攻击方式多种多样:
通过查看这些在线平台的源码可以发现,这些 DDoS 平台的网页端代码大多来自国
外,经过汉化后在中国市场被广泛使用。除了语言的修改以外,一些中国特色的特 性也被加入其中,例如支付方式往往会被修改为支付宝。
小蚁网络技术有限公司是一家专业致力于为企业提供全方位、多层面的网络安全服务商。小蚁云盾是建立在硬防之外的另道全新模式防护,此防护依托于独立牵引机柜经三道防御层层过滤,以达到最有效的防护效果。小蚁云盾属于最高端的顶级防护环境,主要针对稳定性要求极高的客户群,彻底杜绝服务器掉线或卡频。
小蚁网络专注于高防行业,精耕细作,致力打造IDC基础服务提供商领跑者。专业的防CC功能,智能的多盾联动混合节点防御技术,10秒高效识别,快速拦截,让您从此远离CC攻击。小蚁数据中心,1000G以上带宽抗DDoS,并可随时应急调用电信自有带宽1.5TB,总防御能力超2T!高效的CC攻击拦截引擎,无上限防御CC攻击。自主研发的小蚁云盾引擎能根据访问者的URL,频率,行为等访问特征,迅速识别出CC攻击并进行拦截,100%拦截无漏传。全面抵御任何类型的DDoS攻击,抗D保为最容易遭受攻击的金融借贷平台、游戏、电商、教育培训、竞价排名、医疗等高危网站制定专属策略,为网络安全保驾护航。
我们不同于纯粹的IDC或传统服务器供应商,我们能帮助用户在使用云防御的过程中,最大程度的消除各种隐性成本和运营风险,将安全架构的构建和运维工作变得真正简单、可靠。用户可以用极低成本获得最合适的网络安全基础架构和最专业、持久的服务团队。我们为用户的想法提供全力支持,用户得以真正自由,全身心投入到对业务的思考和运营中。我们与用户,就是一个团队。
实力优势:我们与国内知名ISP服务商建立战略伙伴关系,和阿里、电信、联通、移动、绿盟、天融信、启明星、华为、百度、腾讯等长期合作。
小蚁网络介绍新推出的“立体式”DDOS安全防护体系的几大亮点:
亮点一:多重整合
有着十年IDC运营、八年专业DDOS安全防护、在国内掌握顶尖与领先DDOS攻击防范水准的小蚁网络,数以万计的DDOS攻击防范战胜经验证明了其防御体系的技高一筹。小蚁网络花巨额资金搭建了国内目前为止防御系数最高的全新“立体式”安全架构体系,由“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “小蚁云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等多个安全产品整合而成,从多层面、多角度、多结构集成一套多元化、高智能的完善安全防护体系。
亮点二:智能防御
小蚁的“立体式”安全防护体系通过网络监控实现定期扫描网络主节点,利用智能DNS解析系统设置监测端口,时刻提防可能存在的安全漏洞,如果一个节点遭受攻击时将会自动切换至另一节点。在面临攻击威胁时,小蚁采用的是目前较为理想的一种应对策略,以海量的容量和资源拖垮黑客的攻击,小蚁的“立体式”安全防护体系能彻底有效处理超过1000G以下SYN Flood、ACK Flood、ICMP Flood、UDP Flood、DNS Flood的DDOS攻击,并能有效处理连接耗尽、HTTP Get Flood、DNS Query Flood、CC攻击等。而面对黑客DDOS攻击时,小蚁组建的是分布式集群防御,可根据需求增加节点数量提高防御力度,宕机检测系统会快速响应更换已经瘫痪的节点服务器保证网站正常状态。还可以把攻击者发出的数据包全部返回到发送点,使攻击源变成瘫痪状态,从而削减攻击能力。
再就是定制的商用DDoS解决方案。
针对超大流量的攻击或者复杂的游戏CC攻击,可以考虑采用专业的DDoS解决方案。目前,通用的游戏行业安全解决方案,做法是在IDC机房前端部署防火墙或者流量清洗的一些设备,或者采用大带宽的高防机房来清洗攻击。
当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的成本要求也比较高。
在小蚁网络,我们团队去颠覆带宽“军备竞赛”的策略,是提供一个可信的访问网络,这也是游戏盾诞生的初衷。
游戏盾风控模式的初衷,是从收到访问的第一刻起,便判断它是“好”还是“坏”,从而决定它是不是可以访问到它想访问的资源;而当攻击真的发生时,也可以通过智能流量调度,将所有的业务流量切换到一个正常运作的机房,保证游戏正常运行。
游戏行业DDoS 6年谈:什么样的架构才可以对DDoS免疫?
某棋牌行业基于游戏盾的架构示意图
所以,通过风控理论和SDK接入技术,游戏盾可以有效地将黑客和正常玩家进行拆分,可以防御超过300G以上的超大流量攻击。
风控理论需要用到大量的云计算资源和网络资源,小蚁网络天然的优势为游戏盾带来了很好的土壤,当游戏盾能调度10万以上节点进行快速计算和快速调度的时候,那给攻击者的感觉是这个游戏已经从他们的攻击目标里面消失。
游戏盾,是小蚁网络的人工智能技术与调度算法,在安全行业中的成功实践。
而随着攻防进程的推进,网络层和接入层逐步壮大,我们希望“游戏盾”的风控模式,会逐步延展到各个行业中,建立起一张安全、可信的网络。这张网络中,传输着干净的流量,而攻击被前置到网络的边缘处。所有的端,在接入这张网络时,都会经过“高防服务器”、“高防智能DNS”“高防服务器集群”“集群式防火墙架构”“WEB应用防火墙” “小蚁云盾” “移动安全” “数据风控” “威胁感知” “安全管家” “CDN高速分发网络”“网络监控系统”“高防智能路由体系”等风险控制的识别,网内的风控系统,也让坏人无法访问到他锁定资源。
未来,以资源为基础的DDoS防护时代终将被打破,演进出对DDoS真正免疫的风控架构。
咨询
24小时技术QQ:1767559921
24小时技术电话:13221000030
