手握百萬惡意IP，阿里云要跟黑客拼了 | 云棲大會

如果把所有的云安全企業比作班級里的童鞋，那么阿里云算得上是學習委員。當然，就如同每個人都遇到過的那個學習委員一樣，Ta 往往不一定是學習成績頂好那個，但是卻得為大家樹立一個“拼命三郎”般正面的榜樣。

號稱全國超過30%的網站部署在阿里云上，這個數據讓阿里云張目而臥，不敢有半點閃失。

在云棲大會上，來自阿里巴巴的技術大牛們也分享了他們和黑客做斗爭的經驗。

【被掛了賭場廣告的體育總局網站】

快槍手黑客——從開始到結束只需一小時

一小時，足夠你做完很多想做的事。但是對一次攻擊來說，能夠在一小時之內取得服務器權限，這樣的黑客無疑算是快槍手。但是，阿里云公布了一個奇異的數據：

在阿里云盾攔截的8萬次定向攻擊中，黑客入侵的成功率是12.19%，而在這些成功的進攻中，有一半從開始到得手不到一個小時。

要知道，從技術上來講，攻擊一個網站所需要的尋找漏洞、找到注入點、發起進攻嘗試到最終攻破防守，這一系列進攻需要很多次試錯。傳統上來說，整個過程持續一周到數周都是正常的。為什么現在的進攻會如此迅雷不及掩耳呢？

阿里云安全專家葉敏告訴雷鋒網：

這件事情其實并不難理解。因為探測到的攻擊，其中96.25%是靠掃描器發起的。得益于成熟的滲透工具，現在的黑客只需要點一點鼠標，所有的攻擊就全部自動化完成了。

在阿里云攻防團隊攻破的一個黑產組織中，安全研究員看到了黑客掌握著超過300G的賬號和密碼。而且在這個產業鏈上，有人專門收集信息，有人申請攻擊代理服務器，有人專門編寫攻擊工具，最終把受害人賬號里的虛擬資金轉走。這件事情，已經遠遠不是黑客們的小把戲，而是已經成為一個堅如磐石的完整產業鏈。

【黑客入侵用時統計，半數不到一小時】

既然黑客們使用了“自動步槍”，所以為了保護云上的用戶，安全人員同樣要使用自動化武器。例如，在一些高級對抗中，安全研究員會研發自動化追蹤黑客的工具，可以通過類似的反制手法定位到黑客通過什么路徑一步步進入到我方營地，而且還會在黑客的操作過程中，自動對黑客的行為進行取證。

挨揍——成為武術家的秘籍

從安全上來講，阿里云擁有一個得天獨厚的條件，那就是手上擁有極大量的用戶大數據。通俗地來講，這條船上保護的乘客千姿百態，所以安全人員有幸可以見到千奇百怪的進攻。由于平臺之上的網站價值巨大，阿里云的命就是被各種黑客“刀砍斧剁”。

然而，鑒于大多數網站的安全意識差得令人發指，黑客們不僅懶到了天天用工具掃描的地步，甚至有一批黑客專門掃描其他黑客已經做好的“后門”，這種行為大概就是我們俗稱的“截胡”吧。

在“黑產界”最為普遍的web應用攻擊中，黑客在成功進入服務器之后，都會放置一類名為“webshell”的后門，而在全年80億次web攻擊中，探測“別人家后門”的攻擊竟然達到了16.88%。這無異于兩個流氓在別人的家里火并，簡直是讓安全研究員吐槽無力。

【16.88%的Web應用攻擊為“Webshell探測”】

許多安全公司都有一種“收集癖”，那就是收集世界上的惡意IP。例如安全特種兵知道創宇，號稱掌握全球數千萬的惡意IP地址庫，而擁有電腦管家和安全衛士的騰訊和360，也都依靠自己強大的終端把控能力，掌握著大量的惡意IP，而阿里巴巴依靠阿里云和黑客們的無數斗爭，積累了一批寶貴的高精準度的惡意IP。阿里云盾負責人吳翰清（道哥）透露，這個黑名單大概有百萬數量級。

通過對這些惡意IP進行分析，發現他們主要來自于東部沿海城市。不過道哥解釋說：

之所以大量惡意攻擊IP來自中國沿海，并不是說這里的黑客多，而是因為這里往往有大的IDC機房，黑客們通過租用或盜用IDC機房資源，進行24小時持續攻擊。

正是因為如此，每天被黑客“捅刀”成為了阿里云盾的使命。不過，阿里的童鞋表示，就算沒有來自阿里云的客戶，自家的淘寶系產品和其他業務也都是需要極高的防護等級的。因為虎視眈眈想要黑掉淘寶的黑客大有人在。對于阿里云盾來說，捕獲諸多的攻擊，有一個天大的好處，那就是每周都可以捕獲2-3個“0 Day”漏洞，并且可以在廠商推出補丁之前先行做好防護。也算是對阿里云“挨刀”的獎賞吧。

加密——最后一根稻草

為了打退黑客一波又一波的進攻浪潮，阿里云顯然已經玩了命。然而，做好安全防護就可以防止企業核心資料被竊嗎？答案是：“門也沒有。”

得到一個企業的核心數據，有八萬六千法門。使用黑客手段入侵，是最為“直線思維”的一種。

阿里巴巴專家蘇建東告訴雷鋒網，

想要達到（竊取資料）這個目的，并非一定要通過黑客入侵。還可以通過內部工作人員或者外包人員的違規操作得到，甚至可以在網絡傳輸的中間節點進行竊聽。

例如，黑客通過社會工程學手段破譯員工的工作密碼，或者干脆買通企業員工，甚至采用暴力破解的手段“猜”出員工的密碼。就可以通過完全“合法”的途徑進入公司內部。

事實上，由于員工采用弱密碼而造成的企業數據泄漏，占到這種情況的一半還多。這個比例是令人發指的。企業辛辛苦苦構建了無數條安全防線，只是因為一個員工的密碼是“123456”，所有的努力都功虧一簣，付之東流。

總之，再少的企業數據也是紛繁復雜的，可以接觸到核心數據的途徑很多，每一個途徑都是一條炸彈引信。保存一個帶有眾多引信的炸彈，自然難度非凡。于是一個簡單的辦法就是：把核心數據加密，然后小心保管這個密碼。

最近經常傳出新聞，例如某易被拖庫等等。蘇建東說，

很多網站的用戶數據可以輕易被黑客盜取，不僅僅因為安全防護存在紕漏，也因為他們的用戶信息采用了明文存儲方式。而如果把重要信息加密，就算被拖庫，也沒有辦法破解真實的用戶數據。

國家保密局等機構在數據保密方面有相當規范的標準，通過采用這些標準，可以把對數據的保護簡化為對密鑰的保護，這就極大程度降低了數據泄漏的風險。同樣在數據傳輸的過程中，盡可能使用Https加密協議，也可以防止數據在傳輸過程中被竊聽。阿里云相信，這種方式可以使得數據的安全性空前提高。

兩年前，有關云服務的討論是“可行或不可行”，但隨著政府機構和老牌國企都已經在向云上遷移。討論的重點已經轉到“如何更好地在云上玩耍”了。既然要玩耍，就要注意安全。和黑客“拼命”，云服務廠商仍然任重道遠。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。