前幾天阿里旺旺、千牛、釘釘出現(xiàn)登陸不上的現(xiàn)象，據(jù)說是遭到了DDoS攻擊，系統(tǒng)流量突然增大導(dǎo)致的。

DDoS是一種在互聯(lián)網(wǎng)地下非常常見的攻擊方式，可以稱作黑客入門的基礎(chǔ)技巧。但要做到搞垮阿里這種規(guī)模的公司——攻擊量流量起碼得每秒100G以上，這是一個相當(dāng)龐大的數(shù)值。

但這起事件，除了阿里云主動傳播的聲明外，并未有更多討論，也沒有后續(xù)進展。這讓整個事情看起來很奇怪，沉默的被攻擊方，猖獗的攻擊者，飛速發(fā)展的DDoS產(chǎn)業(yè)。雷鋒網(wǎng)聯(lián)絡(luò)到加速樂產(chǎn)品經(jīng)理西盟以及一位不具名的安全人士，就此事和背后的DDoS黑產(chǎn)鏈進行分析解讀。

450G流量為何“消無聲息”

每一次大規(guī)模DDoS，在互聯(lián)網(wǎng)上都可以算是大事件，因為它總能鬧出大動靜。例如2013年3月創(chuàng)記錄的300Gbps，Spamhaus、CloudFlare遭到攻擊，被評價為“差點癱瘓歐洲網(wǎng)絡(luò)”；2014年2月創(chuàng)紀錄的400Gbps，攻擊對象為CloudFlare客戶，據(jù)稱當(dāng)時包括4chan、維基解密在內(nèi)的78.5萬個網(wǎng)站安全服務(wù)受到影響。

但這次的450Gbps+的流量，如果不是阿里云主動公示，可能就此蓋過無人知曉。為何反差如此巨大呢？安全專家西盟認為，本次攻擊是直接針對阿里云服務(wù)器的。因為沒有造成骨干網(wǎng)絡(luò)的異常，外人觀察不到這一現(xiàn)象，所以感覺沒有動靜。

“450G是個很大的值，據(jù)我們了解，國內(nèi)一些中小城市總的帶寬也不一定有450G，也就是說如果有這么大的流量打到某個城市的IP上，這個城市就要斷網(wǎng)了?！?/p>

但如果是攻擊北京、上海等國家級網(wǎng)絡(luò)節(jié)點的話，要造成骨干網(wǎng)影響還不夠，它們的帶寬很高。阿里云的機房分布很多，450G流量不一定是集中打某個機房，分散到每個機房，量可能并不是非常大。

“野蠻粗暴”的DDoS

DDoS之所以能動輒網(wǎng)站失聯(lián)、服務(wù)癱瘓，造成巨大影響，原因在于它簡單直接，直接攻擊在底層連接上。

西盟稱，DDoS攻擊是一種很野蠻的攻擊方式。一些黑客通過技術(shù)手段控制了一些服務(wù)器、個人電腦后，他們只需要在這些設(shè)備上植入DDoS攻擊程序，即可打擊互聯(lián)網(wǎng)上任意一目標(biāo)。以往一個黑客要入侵一個網(wǎng)站，一般要經(jīng)過技術(shù)分析、查找漏洞、實施入侵等一系列工作。但這并不總是有效的，如果一些網(wǎng)站代碼、服務(wù)器安全加固較好的話，這類技術(shù)入侵也無計可施。

但DDoS就不一樣了，比如黑客控制了1000臺機器，這些機器每個帶寬是10M，那么相當(dāng)于黑客有了10G的流量，當(dāng)它控制這些機器同時向某一網(wǎng)站發(fā)起流量攻擊時，目標(biāo)網(wǎng)站可能瞬間帶寬被占滿，而無法訪問。

據(jù)了解，國內(nèi)的絕大多數(shù)的網(wǎng)站都是10M、100M規(guī)模的帶寬，超過1G帶寬的只有那些互聯(lián)網(wǎng)上非常知名的企業(yè)才會有。超過100G的，除過國內(nèi)一些做IDC帶寬服務(wù)的、以及像加速樂這樣專門做抗攻擊服務(wù)的，算下來估計在互聯(lián)網(wǎng)企業(yè)中不超過20家企業(yè)。所以超大流量打過來，企業(yè)自身一般沒有任何辦法。

誰被控制？誰被攻擊？

被控制的機器，在黑客圈子里叫做“肉雞”。在去年，加速樂曾基于防御平臺上的數(shù)據(jù)進行統(tǒng)計，其中發(fā)起攻擊的IP（肉雞）中，79.7%是服務(wù)器，其它較為零散，有個人電腦、路由器等。

服務(wù)器多是有原因的，因為在當(dāng)下，服務(wù)器比個人電腦更容易入侵。原因很簡單，服務(wù)器上需要部署各種Web服務(wù)，要允許遠程訪問，并經(jīng)常有新的Web服務(wù)漏洞、系統(tǒng)漏洞爆出，這些任意一個問題都可以使它淪為肉雞。反而個人電腦則沒有這么多對外接口，攻擊控制它相對麻煩很多。

利用這些肉雞的人，被稱作黑產(chǎn)從業(yè)者（搞黑產(chǎn)）。他們通常受利益驅(qū)動，或主動或受雇傭，去攻擊一些高盈利行業(yè)。西盟透露，一般像游戲、博彩、互聯(lián)網(wǎng)金融等行業(yè)很容易發(fā)生DDoS攻擊，這次阿里云上的歷史記錄，也是發(fā)生在游戲行業(yè)。

而目前這類黑客攻擊成本很低，已經(jīng)形成了產(chǎn)業(yè)鏈，一些黑客明碼標(biāo)價。比如，打1G的流量到一個網(wǎng)站一小時，網(wǎng)上報價只需50塊錢。前不久就有報道一個P2P網(wǎng)貸的網(wǎng)站CEO為了打擊競爭對手雇傭黑客DDOS攻擊，導(dǎo)致對方業(yè)務(wù)全線癱瘓。

10Mb和10Gbps，DDoS規(guī)?；舷?/strong>