数十万人的黑产帝国DDoS，年产值超100亿

陈梦 腾讯安全平台部高级安全产品经理

【谁坑了创业者的钱2】

　　创业的路上千难万险，一不留神就会尸骨无存。在过去的十年，腾讯安全积累了丰富对抗经验和方法。然而，我们要如何开放十年的积累，能够为这些优秀的企业做点什么，这就是腾讯安全未来的方向——专业、服务、分享。

　　█ 什么是DDoS？

“你开了一间饭馆，我花钱雇了很多人冲进你的饭馆，占了你的餐位，纠缠你的服务员，但就是不点吃的。这样一来，真正想消费的顾客进不去，你就没有办法提供服务。”

----DDoS

　　每次讲到DDoS都要重复啰嗦这一段，大家可能都听烦了。那我们就直接进入下一个话题。

　　█ 为什么创业者容易成为攻击目标？

　　DDoS发展至今天，他的获利途径可以说是复杂的。而创业者变成主要被攻击的对象之一，主要原因是因为这些企业大多未能构建成熟的防御体系，坏人攻击成本小，而获利途径，大多为商业竞争和敲诈勒索。下面给大家详细介绍。

　1、商业恶性竞争

　　商业竞争在互联网这个万亿市场中尤为激烈。一些行业竞争者甚至为了利益不择手段、不顾法纪，通过DDoS攻击妨碍竞争对手的业务活动，打击对手的声誉，从中获取竞争优势。其中，电商行业和在线游戏行业是重灾区。

　　例如我之前听说有一个朋友开了一家专门销售成人用品的网站。网站刚刚上线就开始被不停的DDoS攻击。攻击持续了一个月，不知道为什么被打，也没有人来勒索或者谈条件。最终还是实施DDoS攻击的“打手”于心不忍，偷偷告诉我那个朋友，是一个同行雇他持续攻击的。最终无奈，朋友的网站也放弃了运营。

图：源于行业竞争的DDoS

2、敲诈勒索

　　DDoS由于成本低、实施容易等特点，在较早期就开始成为黑客在网络上进行敲诈勒索、收取“保护费”的主要方式。而企业在创业初期往往以经济发展为第一要务，在安全防护工作方面常常投入不多，就更加容易成为不法之徒敲诈勒索的目标。

　　坏人首先会先对企业的网站进行攻击，致使网页不能被用户访问，然后联系公司的员工勒索钱财，金额一般不会太大，在2000-8000元左右。一般的企业因为业务受到影响，加上坏人索要的金额也并不巨大，大多都会支付赎金。然而，得了好处的骗子并不会就这样信守承诺，勒索也将变成无底洞。

图：DDoS攻击者敲诈勒索

　　█ DDoS攻击会对企业造成怎样的危害？

　　DDoS对企业的影响是非常直观的，比如企业的网页无法打开、APP的内容无法加载、游戏玩家大面积掉线、视频资源无法播放等等。最近一些创业企业，因为被黑客DDoS攻击而遭受巨大损失的案例也不在少数。那么，DDoS究竟会给企业带来多大的影响？

　　这里我们以网络游戏业务为例。据腾讯安全平台部宙斯盾统计，目前网络上的DDoS攻击，超过40%的目标都是游戏，仅在今年1月份到10月份，宙斯盾在游戏业务领域共拦截了30万次DDoS攻击，平均每分钟防御1次。如果完全不作防护的话，这些攻击会直接造成约5.2亿次的玩家掉线。5.2亿玩家掉线会带来多少损失，会使多少游戏产品面临死亡的威胁，我想不用说，大家也能感受到。

　　█ DDoS产业是怎样赚钱的？

　　经过这么多年的发展，DDoS的产业链条已经发展的十分成熟了。各团伙之间分工明确、合作紧密，俨然形成一个井然有序、不断扩张的地下市场。而各个链条的获益模式也是不尽相同。

图：DDoS攻击黑色产业链

1、出售攻击工具

　　在DDoS全面蔓延的今天， 许多DDoS攻击的工具在网络上可以直接免费下载的。但是一些质量较好的，有特殊定制服务的软件，还是需要从专业的制作团伙购买。软件作者一般会根据攻击团伙的需求，编写定制化软件，并收取费用。一般数百元到千元不等。

图：在网上公开售卖的DDoS攻击工具

　2、出售攻击流量

　　除了攻击工具，发起DDoS攻击还需要具备一定的流量。一般而言，通过抓“肉鸡”构建僵尸网络来获取流量耗时耗力，并且不够稳当。所以一些攻击者会选择向流量平台商租用流量。据安平情报团队调查，流量供应商会把所掌握的流量管理权限有偿提供给攻击者实施网络攻击，一般按时按量收费。

图：DDoS攻击所需的流量可在网上租用

　3、接单中介抽水

　　DDoS黑产的高度成熟也催生出产业链条中的中介服务：接单中介。最基础的模式是接单人员接到客户的基于不同需求的“D单”、“C单”、“包天单”等订单，再把单子分发给具备相应攻击资源和能力的攻击者。根据对目前黑市的调查，完成一份D单的报酬根据攻击难度和攻击时长从100元到上千元不等，接单中介按协商好的百分比收取利润。

图：形形色色的DDoS接单广告

4、攻击者攻击获利

　　在这个黑色产业中，DDoS攻击者不再是单纯发泄不满的年轻人，也不再是组织攻击的主角，他们更多是“客户”所雇佣的“打手”。通过接单中介或自己直接接活，黑产人员的月收入可达到数万元人民币。巨大的潜在利益驱使着攻击者们不断地铤而走险，也使得DDoS攻击成为互联网企业挥之不去的梦魇。

图：DDoS攻击交易

　　█ 十年，从业者暴涨至数十万，年产值过百亿

　　在98年初，DDoS仅作为一种彰显黑客技术能力的炫耀手段而出现，随后的几年，随着互联网业务的不断丰富和发展，从2003年开始，网络上开始有人利用DDoS技术攻击网游私服，并勒索钱财，我们称之为“黑吃黑的阶段”。到了08年，DDoS的攻击技术被用于“统一市场”，主要攻击小型的网游私服发布站、论坛，并强行吞并，当时的DDoS攻击资源被掌握在少数的攻击小组手里，例如“骑士攻击小组”。到了10年前后，DDoS黑色产业发展的空前壮大，攻击资源开始蔓延，依托于DDoS的敲诈勒索时有发生，受害者多为网吧、游戏公司、中小型创业企业等，DDoS进入“全面蔓延时代”。

　　经过十余年的发展壮大，DDoS攻击已形成了一条高度成熟的黑色产业链。据安全平台部黑产情报团队分析调查，目前在这条黑色产业链中，相关黑产从业人员或已达到38万余人，涉及6000多个大大小小的黑产团伙，其中，专职于DDoS黑产的人员就高达13万，如果以人均月收入4000元计算，年产值将超过100亿。

图：DDoS攻击威胁持续严峻

　　█ 那么，该如何应对？

　　从目前来看，可以说DDoS的防护并无捷径可走，这完全是一场攻防成本的博弈。简单的说，就是大量的人力和财力。但是，很多企业在快速发展的阶段，并没有能力大量投入成本完成类似的建设。因此，我认为性价比最好的选择是借助已有的成熟平台，通俗的讲就是前人栽树，后人乘凉。

　　写了这么多，大家就大发慈悲允许我打打广告吧，不然老板不发工资我就去你家吃饭了。

　　█ 腾讯安全平台部十年磨砺，送给行业的礼物

　　宙斯盾，是腾讯的第一套DDoS防御系统，其寓意是构建最坚固防御盾牌，保护腾讯业务免受DDoS的侵害。宙斯盾的建设起源于2006年，历经3年，于09年正式上线。在随后的6年里，宙斯盾先后担负了游戏、微信红包、腾讯网、微博等业务的保卫工作，防御场景几乎涵盖腾讯所有业务。经历过的大战很多，比如去年春节晚会的抢红包，英雄联盟、CF等网游的重大活动保护等等。

　　而今天，云计算的技术浪潮开创了新的网络产业生态格局，也改写了众多互联网企业的生存法则，安全成为行业不得不关注的问题。作为腾讯的安全团队，安平也希望与例如SNG、MIG等各大BG优秀的安全团队一起，能够在这个风起“云”涌的时代，将安全平台部十年来的经验和方法更好地用于帮助行业发展，为更多优秀的创业企业保驾护航。