揭秘DDoS黑市：50塊錢就能擊癱一家網站

前兩天，阿里云在微博上發布一則聲明，稱12月20-21日間，部署在阿里云上的某知名游戲公司，遭遇了全球互聯網史上最大的一次DDoS攻擊。

DDoS是一種在互聯網地下非常常見的攻擊方式，可以稱作黑客入門的基礎技巧。但要做到像阿里云這次的規模——攻擊流量峰值達每秒453.8Gb，仍是一個刷新排行榜的“巨大”數字。

但這起事件，除了阿里云主動傳播的聲明外，并未有更多討論，也沒有后續進展。這讓整個事情看起來很奇怪，沉默的被攻擊方，猖獗的攻擊者，飛速發展的DDoS產業。雷鋒網聯絡到加速樂產品經理西盟以及一位不具名的安全人士，就此事和背后的DDoS黑產鏈進行分析解讀。

450G流量為何“消無聲息”

每一次大規模DDoS，在互聯網上都可以算是大事件，因為它總能鬧出大動靜。例如2013年3月創記錄的300Gbps，Spamhaus、CloudFlare遭到攻擊，被評價為“差點癱瘓歐洲網絡”；2014年2月創紀錄的400Gbps，攻擊對象為CloudFlare客戶，據稱當時包括4chan、維基解密在內的78.5萬個網站安全服務受到影響。

但這次的450Gbps+的流量，如果不是阿里云主動公示，可能就此蓋過無人知曉。為何反差如此巨大呢？安全專家西盟認為，本次攻擊是直接針對阿里云服務器的。因為沒有造成骨干網絡的異常，外人觀察不到這一現象，所以感覺沒有動靜。

“450G是個很大的值，據我們了解，國內一些中小城市總的帶寬也不一定有450G，也就是說如果有這么大的流量打到某個城市的IP上，這個城市就要斷網了。”

但如果是攻擊北京、上海等國家級網絡節點的話，要造成骨干網影響還不夠，它們的帶寬很高。阿里云的機房分布很多，450G流量不一定是集中打某個機房，分散到每個機房，量可能并不是非常大。

“野蠻粗暴”的DDoS

DDoS之所以能動輒網站失聯、服務癱瘓，造成巨大影響，原因在于它簡單直接，直接攻擊在底層連接上。

西盟稱，DDoS攻擊是一種很野蠻的攻擊方式。一些黑客通過技術手段控制了一些服務器、個人電腦后，他們只需要在這些設備上植入DDoS攻擊程序，即可打擊互聯網上任意一目標。以往一個黑客要入侵一個網站，一般要經過技術分析、查找漏洞、實施入侵等一系列工作。但這并不總是有效的，如果一些網站代碼、服務器安全加固較好的話，這類技術入侵也無計可施。

但DDoS就不一樣了，比如黑客控制了1000臺機器，這些機器每個帶寬是10M，那么相當于黑客有了10G的流量，當它控制這些機器同時向某一網站發起流量攻擊時，目標網站可能瞬間帶寬被占滿，而無法訪問。

據了解，國內的絕大多數的網站都是10M、100M規模的帶寬，超過1G帶寬的只有那些互聯網上非常知名的企業才會有。超過100G的，除過國內一些做IDC帶寬服務的、以及像加速樂這樣專門做抗攻擊服務的，算下來估計在互聯網企業中不超過20家企業。所以超大流量打過來，企業自身一般沒有任何辦法。

誰被控制？誰被攻擊？

被控制的機器，在黑客圈子里叫做“肉雞”。在去年，加速樂曾基于防御平臺上的數據進行統計，其中發起攻擊的IP（肉雞）中，79.7%是服務器，其它較為零散，有個人電腦、路由器等。

服務器多是有原因的，因為在當下，服務器比個人電腦更容易入侵。原因很簡單，服務器上需要部署各種Web服務，要允許遠程訪問，并經常有新的Web服務漏洞、系統漏洞爆出，這些任意一個問題都可以使它淪為肉雞。反而個人電腦則沒有這么多對外接口，攻擊控制它相對麻煩很多。

利用這些肉雞的人，被稱作黑產從業者（搞黑產）。他們通常受利益驅動，或主動或受雇傭，去攻擊一些高盈利行業。西盟透露，一般像游戲、博彩、互聯網金融等行業很容易發生DDoS攻擊，這次阿里云上的歷史記錄，也是發生在游戲行業。

而目前這類黑客攻擊成本很低，已經形成了產業鏈，一些黑客明碼標價。比如，打1G的流量到一個網站一小時，網上報價只需50塊錢。前不久就有報道一個P2P網貸的網站CEO為了打擊競爭對手雇傭黑客DDOS攻擊，導致對方業務全線癱瘓。

10Mb和10Gbps，DDoS規模化上限

10Mb，是目前機房服務器最常見的帶寬，攻擊者手中最容易看到的肉雞。

10Gbps，是目前互聯網公司大概的防御上限值，只有數家巨頭有能力抵御而不受影響。

10Gbps這個數不太好理解，可以從成本角度來看。國內二線城市機房帶寬價格，1G大概30萬，10G大概300萬。一線城市類似北京，這個價格還得乘以10。價格是企業難以承受之痛，平常可能網站只用過10-100Mbps，很少有公司愿意花高價格去買大帶寬做防御。

由于少有新的攻防技術出現，觀察DDoS行業最直觀的指標就是這兩個數值。西盟稱，要湊齊10Gb流量，大概需要1000臺肉雞，這算是一個較有門檻的水平了。一般第三方安全防護服務提供方都是以10Gbps作為提醒的標準。

不過10Gbps以上的攻擊同樣不少見。另一家網站安全防護服務提供方的安全專家告訴雷鋒網，其每月大概能檢測到10-20次10Gbps以上的DDoS攻擊，其中大約2-3次超過40Gbps。

而隨著寬帶不斷發展，我們可以預見，這兩個數值被刷新的時間亦不會太久。

題圖來自jumpcloud.com

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。