互联网黑市：残暴的DDoS攻击
&这是互联网乱世，也是集体亢奋狂欢的时代。全民创业和互联网+相互慰藉，过热的资本和「信息差」彼此爱抚。行业中的每个人都拥有无知者无畏的自信和见证历史的使命感，没能进场的则会产生莫名的恐惧，争相恐后的学习所谓的各种互联网创新。
我们且不谈整个行业氛围，而聚焦到每一个创业者身上。虽不情愿却不得不承认，其实大多数人并没有改变世界的初衷，也没有什么颠覆行业的雄心，更没有推动发展的情操。对大多数创业者来说，多赚钱，改善生活，满足物欲才是目标，别的只是自我欺骗或相互欺骗而已。而就连这样的目标，也并不是所有的创业者都能明确。
生活总有各种艰辛，能力总有各种局限，我们习惯寄希望于未来的美好：高中苦读的日子会幻想大学的美好；大学迷茫又寄希望毕业后在职场叱咤风云；而在职场一年又一年的蹉跎中，我们觉得没能实现自己的价值，不是自己想要的环境，没有发挥自我价值的平台。我们终于，开始寄希望于创业。创业成为我们平庸生活的救命稻草。
而创业真的是救命稻草么？还是仅仅是又一个对未来的憧憬而已。继上次的《&成本黑洞：网络营销的隐藏逻辑&》后，今天给大家带来的互联网黑市分析报告是：「互联网黑市：DDoS攻击」。
小m是当前众多互联网创业者中的一个典型。他少年得志：一路名校，毕业后即加入著名的....，打拼五年，升职为高级架构师，前途无量。但是小m却一直不满足，总觉得没能实现自己的价值，希望能得到更大的发展空间，当然主要还是渴望在一线城市有更好的生活。
小m在30岁这年选择创业。而他的目标和方向也相当的成熟：目的就是为了赚钱，方向是垂直的成人用品电商。小m发现成人用品电商销量极高，但是产品相对比较低端，各种独立电商网站也比较简陋，没有形成品牌营销概念。而通过一系列调研发现高端定位产品市场需求还没有得到充分释放，有很大空间，相关流量成本较低。从这一切看来，这个方向是「绝对可以赚到钱的」。于是小m开始设计包装自己的产品，开发非常精美网站(PC端+移动端+App)，在百度凤巢和腾讯广点通开户进行推广。
经过小m团队半年的准备，一切都准备就绪，开始大干一场。万万让小m没想到的是，网站从上线第三天开始，就开始受到DDoS攻击。托管的虚拟主机服务商直接退款给小m，不再提供服务。而小m开始了漫长的寻找主机托管服务商的路。让小m不理解的是，很多服务商听说是做成人用品电商的，直接就不提供服务。甚至周边的服务商(例如流量分发商)也都不提供服务，甚至戏言：「你根本就做不下去这个行业，回头给你退款太麻烦。」
小m和团队完全傻了眼：好不容易连瞒带骗，找到主机服务商，少则1-2天，多则3-4天，就会又被DDoS，再次被服务商请出去。哪怕使用知名的云计算服务商也不能给托管。这网站才刚刚上线，都没有什么知名度，也无冤无仇，到底是谁反复的攻击呢。说是勒索吧，但也没有收到过任何勒索消息啊。
而在一次次的防DDoS技术优化，一次次的寻找主机托管的过程中，一次次购买防御软硬件产品的成本消耗中，小m团队也彻底失去了耐心，创业也就这样莫名其妙的终止了(或者说根本就没有开始)。大几十万成本打水漂还算是小事，小m也被彻底打击了信心，一蹶不振，从此提「创业」色变。再次回去专心打工，踏实升职，其实对他来说，也不能算是坏事。
而到底是谁在反复的DDoS小m的网站，又到底是什么在驱动呢?
什么是DDoS
DDoS(Distributed Denial of Service，分布式拒绝服务)是一种互联网的攻击手段，攻击的主要目的是让目标无法提供正常服务。有计算机通讯技术基础的读者会对此会非常了解。我们通俗的解释下就是：每一个网络应用(网站、App、游戏等)就好比一个线下的店铺，而DDoS攻击就是派遣大量故意捣乱的人去一个店铺，占满所有的位置，和售货员聊天，在收费处排队，让真实购物的人没办法的正常购物。
DDoS攻击是互联网地下产业链中的一环，也是网络攻击最常规性的手段。从理论上讲，DDoS是没办法100% 防御的，更多的是攻防成本的一种博弈。就如现实世界的战争，最后比拼的是战争双方国家的经济实力。在一般情况下，DDoS攻击方会使用大量的肉鸡(被木马控制住的计算机)对目标服务器进行攻击，而让目标应用无法正常运行。而防御者需要优化服务技术，购买带宽，以硬件防护。攻防双方都需要消耗成本。相对而言，DDoS攻击方的成本非常小，而防御方一般会造成很难估量的损失，特别对于初创型企业和一些在关键节点的企业。
在技术角度上分析，DDoS攻击针对网络通讯协议的各层，手段大致有：TCP类的SYN Flood、ACK Flood、UDP类的Fraggle、Trinoo，DNS Query Flood，ICMP Flood，Slowloris类、各种社工方式等等。但是一般会根据攻击目标的情况，针对性的把技术手法混合，以达到最低的成本最难防御的目的，并且可以进行合理的节奏控制，以及隐藏保护攻击资源。地下产业链中攻击获益和正常商业环境中防御成本严重不成比例，防御技术实力并不匹配，导致了恶性循环：DDoS 攻击和木马病毒等不同，病毒必须是最新的代码以绕过防病毒软件， 而 DDoS 可以说是不需要新技术，一个10年前的SYN Flood可以让90%以上的网站瘫痪，这也是DDoS非常难于防范的原因。
也可以看看《&全方位解析网站流量超额和流量攻击&》
而为什么DDoS充斥在中国互联网生态中，却很少有人对此进行研究打击。为什么DDoS很少被曝光，而攻击方又明目张胆呢？我们接下来就从DDoS背后的商业逻辑来分析这一现象的本质和其产业生态。
DDoS的背后的商业逻辑
任何行为都会有一定的驱动力。有些会为了体现自己的实力和为了一些情怀去黑掉一个网站，但是很少有人怀着这种目的去DDoS
。一方面是这根本没有多少技术含量，另一方面破坏性只是被攻击方的网站应用无法使用，效果并不花哨。这种成本低、朴实无华、效果明显的方式，是纯粹的商业驱动。DDoS从背后的商业逻辑来分析，主要有三种情况：直接攻击获利、利益同盟壁垒、和同行之间的相互竞争。
三种情况相对独立，但是攻击基础资源是相同的。换句话说，DDoS攻击资源提供方仅仅是提供基础服务，攻击目的各有不同。
直接攻击获利
直接攻击获利一般是敲诈勒索，攻击者一般是专业的互联网敲诈勒索组织。这些组织会选择合适的节点对一些网络服务进行攻击，例如：一些创业者融资前期，服务停止潜在成本较大的应用(例如互联网金融类)，游戏服务器新服，或者一些特定的活动阶段。
在攻击过后，会让受害者缴纳一定的「保护费」，保护费仅限于让目前的攻击组织停止攻击，有其他的攻击者，还要再次缴纳「保护费」。甚至这一次得逞后，会伪装成其他的攻击者再次进行敲诈勒索。
A哥从事DDoS敲诈勒索快10年了，依然生存在互联网地下产业链黑市中，不得不说这个行当的持久性。A哥：说了你都不信，现在互联网创业很少赚钱，也很少有以项目赚钱为目的的，大多都是骗投资。我DDoS他们，他们还问我要发票，还要多开点；有的还让我发个PPT介绍攻击防御成本，好去给投资人汇报要钱交差。唉，我有点跟不上时代了。
要么就是幼稚脆弱的一塌糊涂，有时候创业者都不知道什么是DDoS，攻击半天，来回找问题，从头学防御，唉，我还得等他们学习防御，再一次次的打击他们。最后他们还可能就放弃项目直接不干了，我还得掌握住节奏，保护他们的信心。我还是怀念之前的互联网环境，至少有江湖规矩，大家出来混也都明白道理，目的也明确。
「稍微大点的能赚钱的公司大家也都熟悉了，定期多少钱相安无事，也很稳定。不过好像市场也就那么大。我现在开始考虑转型，接点同行攻击的单子了。这些创业公司被敲诈后，一般都想让我们攻击同行。唉，江湖以及不是那个江湖了，乱了，全乱了。」A哥的话也能从另一个角度反映出目前互联网创业的浮躁和青涩。甚至DDoS敲诈勒索行业本身，都被影响。
同行相互竞争
同行相互竞争攻击是把DDoS当做竞争中的手段，攻击者一般是雇佣专业攻击组织。这种攻击一般分成「可控」或者「不可控」两种情况，前者一般是只用可以控制掌握的肉鸡进行攻击，可以随时停止；后者一般用网络社工化的方式进行攻击，有时候是不可逆的。对于后者举个简单的例子：使用p2p类型的网络，发布一个热门的种子资源，指向攻击目标的服务器，使大量的真实IP地址连接过来，就算能支撑的住，也浪费大量带宽。大量使用这种「不可控」的攻击，让竞争对手的流量带宽大量消耗，甚至到了停止服务的地步。
同行相互竞争到了一定的阶段，会愈发的激烈，不计成本，甚至引发其他的连带后果。比如游戏私服行业之间的DDoS极其严重，甚至在有过导致整个互联网.CN域名瘫痪的局面。
这种同行间的竞争主要存在一些特定的行业：游戏私服、游戏、特定垂直行业的电商(一般暴利)、医疗和职业教育相关的网络营销、以及一些百度竞价投放的网站等等。
B哥给同行竞争提供DDoS攻击服务。「很多时候，都是一个行业圈子里面成网状攻击。攻击到最后，肯定都是要坐下来谈的。没有能力去攻击的会被淘汰，有能力的才有话语权，话语权大的可以在谈判中有更多的筹码。其实这种关系在很多事情上都是一样的。」
利益同盟壁垒
当同行相互竞争攻击发展到一定阶段，就会形成利益联盟。利益同盟内大家按照一定的规则分配利益。然后共同抵制同盟外的新加入者，形成一定的利益保护壁垒。而抵制的方式，就是DDoS攻击。比如我们在开始提到的小m的故事。就是一种典型的利益保护壁垒：在成人用品电商行业，已经形成了利益平衡和保护。小m作为新进入者，势必会受到DDoS攻击，直到离开，或者真正有实力加入。
这种利益壁垒存在于很多互联网细分行业中，而且与同行之间的攻击相互转化：很多同行之间攻击的久了，就会坐下来谈，谈妥后大家把网站或应用托管到一个机房，甚至一个服务器上，这样彼此的DDoS就在逻辑上行不通了。这种机房在黑市上也叫做「xx行业服务器」。
然而其他新的竞争中，就会收到这个联盟的共同抵制。所以慢慢的很多互联网细分行业都形成了联盟。比如：你复制一个竞价单页去百度开户，有时候代理都懒的给你开，因为大家都知道你用不了多久就由于被DDoS的无法自理要求退款，还不够麻烦钱。
特别是一些暴利行业，利益同盟的情况非常严重，形成了各种「xx系」，即某一种电商模式被一个地域的人垄断的情况。也很难形成创新和良性发展，商业模式会越来越往「欺诈性」发展，给互联网的生态带来不好的影响。
这三种商业逻辑是目前DDoS生态主要情况。而者一旦受到DDoS，要么退出，要么成为参与者。受害者要么隐忍死去，要么很快变成施害者。这也导致了在中国互联网生态中，很少有人对DDoS进行研究打击，很少被曝光，而攻击方又明目张胆。
甚至很多在互联网圈子老鸟聚会中，把有没有DDoS攻击资源作为互联网圈子「男孩和男人的区别」，这种心态和整体氛围，也导致了DDoS在某种意义上甚至成为真正互联网创业的准入门槛之一。
从这个点上来看，中国互联网生态中的创业创新也变得畸形。当越来越多的人加入到「颠覆创新」的队伍中来的时候，这个队伍到底何去何从，我们也应该沉下心来多思考下。而那些跃跃欲试的潜在加入者，更应该客观冷静合理的来看待：和任何一个行业一样，互联网行业的门槛也很高，并不是大多科技媒体所宣传的那样。
给我们的启示
有时候我们总是混淆欲望和梦想，就如混淆创新和商业。我们喜欢把纯粹的欲望进行包装，打上各种光明堂皇的标签或借口。同时，我们也喜欢把纯粹的商业行为称为创新，以此为基础鄙视其他的商业行为。我们喜欢无限的放大自己拥有的创新机会，虽然转眼间就会飘散无烟，或者根本就是我们自己的臆想。
我们抱怨着不公平，寻求着平等的创新和内在的和谐。这需要我们每个互联网从业者共同的努力，从我们自身做起：追求自我的价值释放，和内心的和谐。这也许远远不够，但却是能客观深入的洞察中国互联网行业的基本要求。
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'每秒453G！阿里云抵御全球互联网史上最大DDoS攻击
发表于 15:26|
来源阿里云|
作者阿里云
摘要：12 月 24 日午间消息，阿里云计算发布声明： 12 月 20 日 -21 日，部署在阿里云上的一家知名游戏公司，遭遇了全球互联网史上最大的一次 DDoS 攻击，攻击时间长达 14 个小时，攻击峰值流量达到每秒 453.8Gb 。 第一波分布式拒绝服务攻击（ DDoS ）从 12 月 20 日晚上 19 点左右开始，一直持续到 21 日凌晨，第二天...
12月24日午间消息，阿里云计算发布声明：12月20日-21日，部署在阿里云上的一家知名游戏公司，遭遇了全球互联网史上最大的一次DDoS攻击，攻击时间长达14个小时，攻击峰值流量达到每秒453.8Gb。
第一波分布式拒绝服务攻击（DDoS）从12月20日晚上19点左右开始，一直持续到21日凌晨，第二天黑客又再次组织大规模攻击，攻击共持续了14个小时。阿里云安全防护产品&云盾&，结合该游戏公司的&超级盾防火墙&，帮助用户成功抵御此次攻击。面对疯狂的攻击，该游戏公司业务平稳运行，阿里云计算平台也未受影响。
阿里云官方表示，将继续为其游戏、互联网金融等容易遭到攻击的客户保驾护航，并强烈谴责这次黑客攻击行动：&我们绝不会妥协，也希望所有互联网创新企业共同抵制黑客行动。&阿里云还在声明中呼吁，健康的网络安全环境，需要得到运营商和业界各方的更大支持，希望大家一起来维护互联网的公平竞争环境。
此前史上最大的DDoS攻击发生在今年2月份，是针对Cloudflare的一次400G攻击。CloudFlare是美国一家提供云安全服务的公司，攻击时，包括4chan和维基解密在内的78.5万个网站安全服务受到了影响。
2013年3月，欧洲反垃圾邮件机构Spamhaus曾遭遇300G攻击，导致全球互联网大堵塞。&目前，年仅17岁的犯罪嫌疑人已承认其曾发起大规模DDoS攻击，明年1月等待法院宣判。&
阿里云官网显示，&云盾&基于阿里巴巴集团十余年积累的攻防经验研发，结合阿里云计算平台强大的数据分析能力，为云计算用户提供DDoS防护，主机入侵防护，以及漏洞检测、木马检测等一整套安全服务。
阿里云官微：
以下为阿里云声明全文：
关于阿里云游戏用户遭遇黑客攻击的声明
1、12月20日-21日，阿里云上的一家知名游戏公司，遭遇了全球互联网史上最大的一次DDoS攻击，攻击时间长达14个小时，攻击峰值流量达到每秒453.8Gb。
2、阿里云云盾，帮助客户成功抵御此次攻击。我们将继续为游戏、互联网金融等容易遭到攻击的客户保驾护航。
3、强烈谴责这次黑客攻击行动，我们绝不会妥协，也希望所有的互联网创新企业共同抵制黑客行为。
4、健康的网络安全环境，需要得到运营商和业界各方的更大支持，希望大家一起来维护互联网的公平竞争环境。
阿里云安全团队
2014年12月24日
推荐阅读相关主题：
CSDN官方微信
扫描二维码,向CSDN吐槽
微信号：CSDNnews
相关热门文章您所在的位置： &
史上最大DDoS攻击的本质与防范
史上最大DDoS攻击的本质与防范
DDos攻击在今天看来并不新鲜，近两年来发展态势也渐趋平缓，直至一个月前，欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击，让人们警醒，原来DDos攻击手段从未被攻击者忽略。
DDos攻击在今天看来并不新鲜，近两年来发展态势也渐趋平缓，直至一个月前，欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击，让人们警醒，原来DDos攻击手段从未被攻击者忽略。
这次超大流量DDos攻击的本质是什么?为什么会在今天出现?对此类攻击又该如何防范? 在防DDos攻击领域耕耘多年的安全公司Arbor近日对相关问题给出了答案。
问：迄今为止，这是最大的DDoS攻击吗?
答：是的，而且规模比以前大得多。之前报告的(和验证的)最大攻击约为100Gb/秒。
问：这是一种新型的DDoS攻击吗?
答：不是的。此次攻击属于DNS反射/放大攻击，而DNS反射/放大攻击已存在多年了。这种类型的攻击已被发现用来产生近年来互联网上看到的多个最大攻击。DNS 反射/放大攻击利用互联网上的DNS 基础结构来放大攻击能够产生的通信量。DNS 是用于主机名到IP 地址解析的互联网基础设施的重要组成部分。DNS 反射/放大攻击通过使用多个客户端肉机(bots僵尸肉机) 将查询发送到多个开放DNS 解析器中，从而使大量的攻击流量从广泛分布源中产生(在Spamhaus袭击期间，使用了超过30K开放解析器)。
问：DNS反射/放大攻击是如何产生的?
答：两件事使这些类型的攻击成为可能：服务提供商网络缺乏入口过滤(允许流量从虚假源地址转发);因特网上开放 DNS 解析器的数目(可从任何 IP 地址进行查询响应)。
攻击者必须能够假冒目标受害人DNS 查询的源地址。所有组织应在他们网络的所有边界实施 BCP38/84 反欺骗。不幸的是，在今年的Arbor全球网络基础设施安全报告(包含2012年) 中，仅 56.9%的调查对象表示他们目前正在他们的网络边缘执行 BGP 38/84。
这种攻击的第二个关键组成部分是因特网上大量可用的开放DNS 解析器。目前在互联网上预计约有 2700 万开放DNS 解析器。
问：DNSSec(域名系统安全拓展)可帮助处理这些攻击吗?
答：不，DNSSec 旨在确保DNS 查询答复的真实并且不被篡改。完全无助于DNS反射/放大攻击，相比没有DNSSec的情况，具有DNSSec的任何类型查询都会生成更显著的大量回复数据包，实施DNSSec 实际上意味着更易将攻击放大。
问：互联网基础设施几乎已经到了最大的100Gbps。如果是这样的话，Spamhaus是如何看到300 Gbps的流量的?
答：虽然 100Gb/秒是部署在生产网络中的最大单个物理链路速度，但是多个100Gb/秒物理链路结合在一起，就可以形成大容量逻辑链路。
问：如何缓解这类攻击?
答：如果大部分服务提供商在网络边界执行了BCP 38/84，同时还大幅减少互联网上开放的DNS 解析器的数目，那么就可以减小攻击者的能力，从而降低此类较大攻击的风险。
我们需要通过各种机制来缓解这些攻击。我们可通过IP 筛选器列表，黑/白名单，灵活僵尸去除，和/或攻击中合适的负载正则表达式对策来保护通过DNS 反射/放大攻击的最终目标服务器。S/RTBH(基于源的远程触发黑洞)和FlowSpec(特定流过滤)也可用于缓和攻击流量;然而，在应用这些机制时必须谨慎，因为这有可能阻止所有的流量通过利用反射攻击的开放的DNS递归器。在某些情况下，这可能是最佳行动方法。选择缓解机制和策略需依赖客观事实。
问：其他公司可从此次攻击得到哪些教训?
答：目前的DDoS 威胁很复杂，由大容量攻击和复杂应用层威胁构成。为了有效地解决我们目前看到的攻击，保护服务可用性，企业组织需要分层的 DDoS 防御。企业组织必须具有网络边界解决方案，以积极地处理隐秘、复杂的应用层威胁，还必须利用基于云的服务提供商提供DDoS 保护服务，以减轻大的攻击。理想的情况是这两个组件一起工作并提供完整、集成、自动化的保护系统，从而使其免受DDoS 威胁的影响。
企业组织还应知道，巨大的攻击可能超过服务提供商预设的智能缓解能力或导致服务提供商内部的通信流量堵塞 (或在其互连点)，而导致重大的附加损害(影响攻击者的非针对性服务)。在这些情况下，服务提供商可通过ACLs，S-RTBH，FlowSpec等来保护自己及客户。
对终端客户而言，应询问服务提供商具备多大的智能DDoS 缓解能力;服务提供商是否已在他们的网络上部署了BCP38/84 反欺骗系统;服务提供商是否部署了其它网络基础设施的当前最好实践，如Acl (iACLs) 基础设施和一般 TTL 安全机制 (GSTM) ;服务提供商是否已经在他们的网络上部署了 S/RTBH 或FlowSpec。【编辑推荐】【责任编辑： TEL：（010）】
关于&&的更多文章
分布式拒绝服务攻击（DDoS）是目前黑客经常采用而难以防范的攻击
虽然网购有诸多优点，越来越多的人热衷于此，但网购的安全性也逐渐凸显
热播谍战电影《007：大破天幕杀机》中，英国情报处面
下一代防火墙”（缩写NGFW）一般是指带有入侵检测等超
“Cookies”也被称为HTTP cookies、网络cookies或浏览
本书主要介绍了SQL Server 关系数据库系统的应用知识，全面介绍了关系数据模型基础理论，SQL Server数据库系统安装、配
51CTO旗下网站&|&&|&&|&&|&&|&&|&|&&|&&|&&|&
您当前的位置：&&&&
阿里巴巴云称遭互联网史上最大规模DDoS攻击
【字号： |
　　阿里云计算发布声明称，12月20日-21日，部署在阿里云上的一家知名游戏公司，遭遇了全球互联网史上最大的一次DDoS攻击，攻击时长14个小时，攻击峰值流量达到每秒453.8G。
　　DDoS是DistributedDenialofService的缩写，翻译成中文是分布式拒绝服务。DDoS攻击就是指以分散攻击源来黑进指定网站的黑客方式。DDoS的攻击方式有很多种，最基本的攻击就是利用合理的服务请求来占用过多的服务器资源，从而使合法用户无法得到服务器响应。阿里云称，第一波DDoS共计从12月20日19点左右开始，一直持续到21日凌晨，第二天黑客又再次组织大规模攻击，共持续了14个小时。阿里云安全防护产品&云盾&，结合该游戏公司的&超级盾防火墙&，帮助用户成功抵御了此次攻击。
　　&我们绝不会妥协，也希望所有互联网创新企业共同抵制黑客行动。&阿里云呼吁，健康的网络安全环境，需要得到运营商和业界各方的更大支持，&希望大家一起维护互联网的公平竞争环境&。
　　据了解，此前史上最大的DDoS攻击发生在今年2月，是针对Cloudflare的一次400G攻击。CloudFlare是美国一家提供云安全服务的公司，攻击造成包括4chan和维基解密在内的78.5万个网站安全服务受到影响。而在2013年3月，欧洲反垃圾邮件机构Spamhaus曾遭遇300G攻击，导致全球互联网大堵塞。
关键词：互联网,阿里巴巴
责任编辑：王莹