前两天,阿里云在微博上发布一则声明,称12月20-21日间,部署在阿里云上的某知名游戏公司,遭遇了全球互联网史上最大的一次DDoS攻击。
DDoS是一种在互联网地下非常常见的攻击方式,可以称作黑客入门的基础技巧。但要做到像阿里云这次的规模——攻击流量峰值达每秒453.8Gb,仍是一个刷新排行榜的“巨大”数字。
但这起事件,除了阿里云主动传播的声明外,并未有更多讨论,也没有后续进展。这让整个事情看起来很奇怪,沉默的被攻击方,猖獗的攻击者,飞速发展的DDoS产业。雷锋网联络到加速乐产品经理西盟以及一位不具名的安全人士,就此事和背后的DDoS黑产链进行分析解读。
450G流量为何“消无声息”
每一次大规模DDoS,在互联网上都可以算是大事件,因为它总能闹出大动静。例如2013年3月创记录的300Gbps,Spamhaus、CloudFlare遭到攻击,被评价为“差点瘫痪欧洲网络”;2014年2月创纪录的400Gbps,攻击对象为CloudFlare客户,据称当时包括4chan、维基解密在内的78.5万个网站安全服务受到影响。
但这次的450Gbps+的流量,如果不是阿里云主动公示,可能就此盖过无人知晓。为何反差如此巨大呢?安全专家西盟认为,本次攻击是直接针对阿里云服务器的。因为没有造成骨干网络的异常,外人观察不到这一现象,所以感觉没有动静。
“450G是个很大的值,据我们了解,国内一些中小城市总的带宽也不一定有450G,也就是说如果有这么大的流量打到某个城市的IP上,这个城市就要断网了。”
但如果是攻击北京、上海等国家级网络节点的话,要造成骨干网影响还不够,它们的带宽很高。阿里云的机房分布很多,450G流量不一定是集中打某个机房,分散到每个机房,量可能并不是非常大。
“野蛮粗暴”的DDoS
DDoS之所以能动辄网站失联、服务瘫痪,造成巨大影响,原因在于它简单直接,直接攻击在底层连接上。
西盟称,DDoS攻击是一种很野蛮的攻击方式。一些黑客通过技术手段控制了一些服务器、个人电脑后,他们只需要在这些设备上植入DDoS攻击程序,即可打击互联网上任意一目标。以往一个黑客要入侵一个网站,一般要经过技术分析、查找漏洞、实施入侵等一系列工作。但这并不总是有效的,如果一些网站代码、服务器安全加固较好的话,这类技术入侵也无计可施。
但DDoS就不一样了,比如黑客控制了1000台机器,这些机器每个带宽是10M,那么相当于黑客有了10G的流量,当它控制这些机器同时向某一网站发起流量攻击时,目标网站可能瞬间带宽被占满,而无法访问。
据了解,国内的绝大多数的网站都是10M、100M规模的带宽,超过1G带宽的只有那些互联网上非常知名的企业才会有。超过100G的,除过国内一些做IDC带宽服务的、以及像加速乐这样专门做抗攻击服务的,算下来估计在互联网企业中不超过20家企业。所以超大流量打过来,企业自身一般没有任何办法。
谁被控制?谁被攻击?
被控制的机器,在黑客圈子里叫做“肉鸡”。在去年,加速乐曾基于防御平台上的数据进行统计,其中发起攻击的IP(肉鸡)中,79.7%是服务器,其它较为零散,有个人电脑、路由器等。
服务器多是有原因的,因为在当下,服务器比个人电脑更容易入侵。原因很简单,服务器上需要部署各种Web服务,要允许远程访问,并经常有新的Web服务漏洞、系统漏洞爆出,这些任意一个问题都可以使它沦为肉鸡。反而个人电脑则没有这么多对外接口,攻击控制它相对麻烦很多。
利用这些肉鸡的人,被称作黑产从业者(搞黑产)。他们通常受利益驱动,或主动或受雇佣,去攻击一些高盈利行业。西盟透露,一般像游戏、博彩、互联网金融等行业很容易发生DDoS攻击,这次阿里云上的历史记录,也是发生在游戏行业。
而目前这类黑客攻击成本很低,已经形成了产业链,一些黑客明码标价。比如,打1G的流量到一个网站一小时,网上报价只需50块钱。前不久就有报道一个P2P网贷的网站CEO为了打击竞争对手雇佣黑客DDOS攻击,导致对方业务全线瘫痪。
10Mb和10Gbps,DDoS规模化上限
10Mb,是目前机房服务器最常见的带宽,攻击者手中最容易看到的肉鸡。
10Gbps,是目前互联网公司大概的防御上限值,只有数家巨头有能力抵御而不受影响。
10Gbps这个数不太好理解,可以从成本角度来看。国内二线城市机房带宽价格,1G大概30万,10G大概300万。一线城市类似北京,这个价格还得乘以10。价格是企业难以承受之痛,平常可能网站只用过10-100Mbps,很少有公司愿意花高价格去买大带宽做防御。
由于少有新的攻防技术出现,观察DDoS行业最直观的指标就是这两个数值。西盟称,要凑齐10Gb流量,大概需要1000台肉鸡,这算是一个较有门槛的水平了。一般第三方安全防护服务提供方都是以10Gbps作为提醒的标准。
不过10Gbps以上的攻击同样不少见。另一家网站安全防护服务提供方的安全专家告诉雷锋网,其每月大概能检测到10-20次10Gbps以上的DDoS攻击,其中大约2-3次超过40Gbps。
而随着宽带不断发展,我们可以预见,这两个数值被刷新的时间亦不会太久。
题图来自jumpcloud.com
