【科讯】从锤子发新品官网被DDoS引起的互联网黑产大揭秘

本篇文章3585字，读完约9分钟

夺取锤子和顶尖的竟然是ddos攻击！

8月25日晚，锤子手机新企业品牌坚果的第一部手机宣布意外延迟将引起网络黑半小时大讨论。 许多推测在网上疯狂，罗永浩在微博上证明官网受到了ddos攻击。 锤子的官网受到数十g流量攻击，曾经面临全面瘫痪的风险。 锤子科技立即启动应急方案，紧急接入腾讯云大禹系统，最后，新产品坚果手机顺利发布，9分钟内全部售罄！

dos攻击没有影响锤子新产品的开放购买，但这件事再次引起了区域对互联网安全的关注。

由于安全功能的偏差，ddos作为最常见的互联网攻击方法，经常对许多网络企业造成沉重的打击。 幸运的是，网络安全有深深积累的帐篷，已经通过腾讯云对外开放了安全防护能力。

本文希望通过腾讯云安全团队的共享，整理ddos黑产，领域对网络安全有更深刻的认识。

ddos黑产暴露:以攻击为业，利益至上

城东新设牛肉面馆，生意兴隆，顾客络绎不绝。 有一天，一个地方的恶霸召集了手下们，蜂拥到牛肉面馆，占领了全部座位，只聊天不点菜，所以真正的客人进不了店。 因此，牛肉面馆的生意受到影响，受到了很大的损害。

如果把这家牛肉面馆看作是互联网公司，这种痞恶的行为就是典型的拒绝分散服务，即我们所说的ddos攻击。

攻击，只是手段。 好处是永远的目的。 ddos诞生了近20年，最初作为表现黑客能力的技术而存在，但后来迅速发展成为获利的工具。 探究其利益的方法有敲诈勒索和商业竞争两大类。

图1:ddos的快速发展史

敲诈勒索

与现实世界相比，网络可以说是更难监督、更容易隐藏的世界。 在这个虚拟世界里，犯罪的价格、风险、法律的强制力都远远低于现实世界。

从现实到网络，敲诈勒索这种犯罪活动越来越激烈。 ddos由于价格低、容易实施等优点，成为不法分子在网上敲诈的第一方法。 首先，恐吓者和恐吓组织选择目标网站，发起演示性的ddos攻击，影响业务。 其次，恐吓者向受害者发送恐吓信，领取所谓的“保护费”。 如果受害者不按要求支付费用，将继续受到更猛烈的攻击。 因此，对很多互联网事业的经营者来说，敲诈ddos总是一个挥之不去的噩梦。

1、网上利益公司成为猎物

如果初期黑客进行的ddos表现为无序的攻击，敲诈ddos是有特定目标、有一定计划的犯罪行为。 不法分子选择的敲诈勒索对象多为通过网上经营获利的业务，如网上交易市场、博彩网站等。 另外，安全防护措施不足或者安全防护能力低下的在线业务和机构也容易成为这些不法分子的猎物。

关于攻击时间的选择，恐吓者也进行了调查，多数情况下，在网站流量高峰时或网站促销活动开始前开始ddos攻击，严重影响业务，提高受害者支付“保护费”的可能性。

图2:ddos敲诈状

周而复始的敲诈

现实中的绑匪收到保释金后，不一定信守诺言释放人。 网络世界也是如此。 ddos攻击者都不是讲信义的黑客。 隐藏在画面后面的是贪婪的利益追求者。

有时，在支付受害者同意的“保护费”后，会被列入容易向黑客屈服的网站列表。 根据这个名单，攻击者冒充其他攻击组织再次敲诈或撕毁脸继续攻击，收取越来越多的费用。

3、胁迫间接的利益

有些攻击者既不是被受害者威胁的，也不是现实货币，也不是虚拟货币，而是其他间接利益。 例如，受到攻击的游戏运营商被迫在该游戏中嵌入广告，攻击者通过这些广告渠道受益。 例如，攻击者以网吧为专业攻击对象，通过在网吧中嵌入僵尸程序来扩展自己的僵尸网络。

攻击者没有直接从这种变态欺诈恐吓中获得金钱，但通过嵌入广告和僵尸程序获得了间接利益。

图3:ddos攻击软件

二、商业竞争

自古以来，商业竞争就是市场经济的一部分。 切断越来越多的市场份额，取得更高的经济效益，商品经营者展开角逐，相互竞争，最后淘汰弱小而强大。

商业竞争在互联网这个“兆市场”中尤为激烈。 乘着“网络+”的热潮，充满热情和理想的创业者相继跳入红海。 老板想坐第一名。 次子想得到上位，三儿子想取得份额，老四也想分一碗汤。 有些领域的竞争者为了利益不择手段，不顾法纪。 在这种恶性竞争的情况下，ddos也成为了邪恶的竞争手段，被用于让互联网业务经营者妨碍竞争对手的业务活动，打击对方的名声，获得竞争的特征。

1、电商和游戏受损

目前，这种利用ddos的恶性竞争状况存在于电子商务领域和游戏领域两个主要的网络领域。 o2o模型成为现在的新宠物，促进电商领域的风生水。 网络游戏的客户庞大，利润丰厚。 正是“树招风，财招贼”，在利益和贪婪的驱使下，ddos攻击充斥着这两个领域。

另外，创业初期的互联网事业也容易受到ddos攻击，这些攻击大多来自领域壁垒同盟。 领域壁垒同盟为了不使现有的市场份额越来越多地分割，通过攻击共同抵抗同盟外的“领域新人”。 面对严峻的形势，许多弱小的互联网第一家公司只能早死。

助长黑色产业。

有人的地方有江湖，有指控的地方有市场。 在网络地下市场，利用ddos的商业竞争已经成为价格低、效果快的现象。 因此，在互联网世界，提供ddos攻击服务的黑产品市场也在扩大，逐渐形成成熟的黑产业链。

图4 :各种ddos订单广告

在这个黑色产业中，ddos黑客不仅仅是不满发泄的年轻人，也不是组织攻击的主角，他们成了同行其他公司雇佣的“击球手”。 从事ddos攻击服务4年的k哥哥说:“这是零风险的工作。 如果不打政府的网站，谁也管理不了，也管理不了”，自信地说。

三两百元搞定一张

如果某个领域迅速发展到一定阶段，自然会产生一点行业内的规则。 在提供ddos攻击服务的黑市中，黑产工人为了进行商务，首先需要领取“D片”和“C片”。 “d表”是指客户要求某个目标开始订购ddos。 “c单”是指使用cc攻击的订单( cc攻击: ddos攻击中包含的技术含量的一种)。 除此之外，ddos黑市还有“包天单”、“包夜单”等说法，分别是指对目标整晚进行攻击的大订单。

现在的黑市，根据攻击的难度和攻击时间，完成d单的报酬从100元到千元不等，通常是200元。 据某订单专业的黑生产者说，这项工作一个月可以赚3000元以上。

図5:ddos攻撃取引

4、黑蚀黑现象普遍

交易时，“先测试，后付款”是符合黑色生产者和顾客之间习惯的规定。 攻击者为用户对目标进行小试牛刀的ddos攻击，让顾客看到效果后进行支付。 收到约定金后，攻击者对目标进行持续攻击，攻击力和时间根据顾客的要求决定。 另一个简单粗暴的交易规则是，在攻击者完全瘫痪目标网站之前，顾客不再重复支付，行内俗称“支持测试，杀死支付”。

但是，在ddos的接单生产中，黑食黑现象的顾客骗取免费的“测试”逃跑，订单负责人收到顾客的货款后，不按约定提供攻击服务，直接黑对方的情况也很多。

5、获得攻击工具

外行人可能认为ddos攻击是黑客的专利，但实际上进行ddos攻击的门槛越来越低。 这是因为可以得到ddos攻击工具。

现在，ddos攻击所需的工具通常可以直接在互联网上免费下载。 即使是好一点的东西，也可以在网上便宜地购买。 这些工具简单方便，只需输入攻击目标地址即可攻击。 另外，攻击所需的流量也可以在网上借到，通常按时收钱。

图6:ddos攻击所需的流量可以在线租用

6、打字会变成ddos

有攻击工具和流量，就不难进行ddos。 因此，有些攻击者不仅接受攻击订单，还有偿接受学徒，提供ddos教育。 现在在黑市学习ddos的学费从100元到500元不等。 有些黑生产者提供免费教育。 如果你必须租学徒提供的工具和流量。 学徒给的学费和租赁费也成为了这些黑产工人收入的一部分。

说到学习的困难，黑产作业者也许只要能打字就能学会ddos。 实际上，这种说法只要有攻击工具(软件)和攻击资源(流量)，发动ddos攻击的人就可以是完全没有专业技术知识的人。

图7 :黑生产者招募学徒

腾云全面开放安全防护能力，新版大禹系统即将推出

一家网络巨头说:“安全是网络公司的第一个门槛。” 纵观充满ddos的网络产业生态圈，这句话特别有道理。

为了提高网络行业的安全防护能力，腾讯云总结了10年的安全对抗经验，创造了成熟的ddos攻击防护处理方案“大禹”，该系统防止了近300g的攻击高峰，对腾讯云客户业务进行了稳定可靠的ddos攻击检测和防护

最近，团队集中研发资源多次升级大禹系统，新版大禹系统预计将于9月中旬全面开放。 新版本进一步增强了ddos和cc的保护功能，包括防火墙( waf )、dns劫持防止、资源防盗链等安全功能，提供了加快访问的功能，以及更可靠的全面的web安全

1 .每天的网络遵循领域规范，转载的原稿都确定注释的作者和来源2 .每天网络的原始复印件，转载时一定要注明文案作者和“来源:每天互联网”，不尊重原始行为的每天在网上。 3 .作者的帖子可能每天在网上制作或补充。