揭秘DDoS黑市：50块钱就能击瘫一家网站

前两天，阿里云在微博上发布一则声明，称12月20-21日间，部署在阿里云上的某知名游戏公司，遭遇了全球互联网史上最大的一次DDoS攻击。

DDoS是一种在互联网地下非常常见的攻击方式，可以称作黑客入门的基础技巧。但要做到像阿里云这次的规模——攻击流量峰值达每秒453.8Gb，仍是一个刷新排行榜的“巨大”数字。

但这起事件，除了阿里云主动传播的声明外，并未有更多讨论，也没有后续进展。这让整个事情看起来很奇怪，沉默的被攻击方，猖獗的攻击者，飞速发展的DDoS产业。雷锋网联络到加速乐产品经理西盟以及一位不具名的安全人士，就此事和背后的DDoS黑产链进行分析解读。

450G流量为何“消无声息”

每一次大规模DDoS，在互联网上都可以算是大事件，因为它总能闹出大动静。例如2013年3月创记录的300Gbps，Spamhaus、CloudFlare遭到攻击，被评价为“差点瘫痪欧洲网络”；2014年2月创纪录的400Gbps，攻击对象为CloudFlare客户，据称当时包括4chan、维基解密在内的78.5万个网站安全服务受到影响。

但这次的450Gbps+的流量，如果不是阿里云主动公示，可能就此盖过无人知晓。为何反差如此巨大呢？安全专家西盟认为，本次攻击是直接针对阿里云服务器的。因为没有造成骨干网络的异常，外人观察不到这一现象，所以感觉没有动静。

“450G是个很大的值，据我们了解，国内一些中小城市总的带宽也不一定有450G，也就是说如果有这么大的流量打到某个城市的IP上，这个城市就要断网了。”

但如果是攻击北京、上海等国家级网络节点的话，要造成骨干网影响还不够，它们的带宽很高。阿里云的机房分布很多，450G流量不一定是集中打某个机房，分散到每个机房，量可能并不是非常大。

“野蛮粗暴”的DDoS

DDoS之所以能动辄网站失联、服务瘫痪，造成巨大影响，原因在于它简单直接，直接攻击在底层连接上。

西盟称，DDoS攻击是一种很野蛮的攻击方式。一些黑客通过技术手段控制了一些服务器、个人电脑后，他们只需要在这些设备上植入DDoS攻击程序，即可打击互联网上任意一目标。以往一个黑客要入侵一个网站，一般要经过技术分析、查找漏洞、实施入侵等一系列工作。但这并不总是有效的，如果一些网站代码、服务器安全加固较好的话，这类技术入侵也无计可施。

但DDoS就不一样了，比如黑客控制了1000台机器，这些机器每个带宽是10M，那么相当于黑客有了10G的流量，当它控制这些机器同时向某一网站发起流量攻击时，目标网站可能瞬间带宽被占满，而无法访问。

据了解，国内的绝大多数的网站都是10M、100M规模的带宽，超过1G带宽的只有那些互联网上非常知名的企业才会有。超过100G的，除过国内一些做IDC带宽服务的、以及像加速乐这样专门做抗攻击服务的，算下来估计在互联网企业中不超过20家企业。所以超大流量打过来，企业自身一般没有任何办法。

谁被控制？谁被攻击？

被控制的机器，在黑客圈子里叫做“肉鸡”。在去年，加速乐曾基于防御平台上的数据进行统计，其中发起攻击的IP（肉鸡）中，79.7%是服务器，其它较为零散，有个人电脑、路由器等。

服务器多是有原因的，因为在当下，服务器比个人电脑更容易入侵。原因很简单，服务器上需要部署各种Web服务，要允许远程访问，并经常有新的Web服务漏洞、系统漏洞爆出，这些任意一个问题都可以使它沦为肉鸡。反而个人电脑则没有这么多对外接口，攻击控制它相对麻烦很多。

利用这些肉鸡的人，被称作黑产从业者（搞黑产）。他们通常受利益驱动，或主动或受雇佣，去攻击一些高盈利行业。西盟透露，一般像游戏、博彩、互联网金融等行业很容易发生DDoS攻击，这次阿里云上的历史记录，也是发生在游戏行业。

而目前这类黑客攻击成本很低，已经形成了产业链，一些黑客明码标价。比如，打1G的流量到一个网站一小时，网上报价只需50块钱。前不久就有报道一个P2P网贷的网站CEO为了打击竞争对手雇佣黑客DDOS攻击，导致对方业务全线瘫痪。

10Mb和10Gbps，DDoS规模化上限

10Mb，是目前机房服务器最常见的带宽，攻击者手中最容易看到的肉鸡。

10Gbps，是目前互联网公司大概的防御上限值，只有数家巨头有能力抵御而不受影响。

10Gbps这个数不太好理解，可以从成本角度来看。国内二线城市机房带宽价格，1G大概30万，10G大概300万。一线城市类似北京，这个价格还得乘以10。价格是企业难以承受之痛，平常可能网站只用过10-100Mbps，很少有公司愿意花高价格去买大带宽做防御。

由于少有新的攻防技术出现，观察DDoS行业最直观的指标就是这两个数值。西盟称，要凑齐10Gb流量，大概需要1000台肉鸡，这算是一个较有门槛的水平了。一般第三方安全防护服务提供方都是以10Gbps作为提醒的标准。

不过10Gbps以上的攻击同样不少见。另一家网站安全防护服务提供方的安全专家告诉雷锋网，其每月大概能检测到10-20次10Gbps以上的DDoS攻击，其中大约2-3次超过40Gbps。

而随着宽带不断发展，我们可以预见，这两个数值被刷新的时间亦不会太久。

题图来自jumpcloud.com