【黑灰产犯罪研究】DDOS攻击

1、概念

DDoS 攻击(Distributed Denial of Service，简称分布式拒绝服务攻击) 是指将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对 一个或多个目标发起通信请求，消耗目标服务器性能或网络带宽，从而造成 服务器无法正常地提供服务。一次完整的 DDoS 攻击体系由攻击者、主控端、 代理端和攻击目标四部分组成。 

2、现状

以前，DDoS攻击的主要承受者主要是自行搭建服务器的运营商和诸如美国Dyn之类的网络基础设施提供者。近年来随着云计算的兴起，云服务商也 逐渐成为DDoS攻击主要的承受者。 
2019年百度全网范围共监测到DDoS攻击36万余次，相对于2018年的46万 余次有所减少。但今年开始，疫情造成线下的暂时失能，大量传统行业线下 业务被逼上线，DDoS攻击次数随之攀升，2020年Q3单季度的攻击量已达约20 万次，而去年同期仅有约7万次。百度2019年监测到的最大攻击峰值达 793.84Gbps，2020年至今最大峰值为513.83Gbps。其中，在线教育、游戏、 直播、云服务商等领域已成为DDoS攻击的主要目标。 

在攻击数量反弹的同时，DDoS攻击黑灰产在多个环节已逐渐标准化。发 单人直接在“网页端DDoS攻击平台”下单，平台上包括用户注册、套餐付 费、攻击发起等一系列操作，且在用户侧都可以完成，不需要其他人员参 与。此外，DDoS攻击在分工上也由工具开发者向人员多维化发展，除发单 人、担保商、黑客软件作者外，又增加了肉鸡商、接单人、资源提供者、接 发单平台等多个维度。上述特征体现出DDoS攻击已经具备了SaaS化的趋势。 

根据工信部数据，2017 年我国工业互联网直接产业规模为 5700 亿元， 按每年 18%的复合增长率预计，工信部预计，2020 年我国工业互联网的直接 产业规模有望突破 1 万亿规模。在自身向 SaaS 发展的同时，DDoS 的攻击目 标也在发生变化，工业互联网、云平台已成为主要受害者。 
目前，以云计算、人工智能、5G 技术等为代表的“新基建”产业迎来新 机遇，未来这些领域随着云服务的普及或将成为 DDoS 攻击的重点目标。此 外，疫情影响导致行业竞争的加剧，同业公司之间雇佣 DDoS 攻击的现象频 发，而以赌博、淫秽色情等黑色产业之间的攻击尤甚。 
 

3、黑灰产业态

当下，DDoS 黑灰产业态一般有以下三种： 

（1）出售攻击软件和攻击流量 
在网络上许多 DDoS 攻击工具可以直接免费下载。有特殊攻击需求的团 伙可以从联系软件开发者定制特殊功能。软件开发者一般会根据攻击团伙的 需求，开发定制化软件，并收取费用。一般数百元到千元不等。 
除了攻击工具，发起 DDoS 攻击还需要具备一定的流量。攻击者会选择向 流量平台商租用流量，流量供应商会把所掌握的流量管理权限有偿提供给攻 击者实施网络攻击，一般按时按量收费。 
（2）承接攻击业务 
DDoS 黑灰产的高度成熟也催生出中介服务。最基础的模式是接单人员接 到订单，再把订单分发给具备相应攻击资源和能力的攻击者。DDoS 攻击的报 酬根据攻击难度、攻击时长、流量大小等要求的不同差异较大，从数百到数 千元不等。中介则按比例从中抽成。 
（3）敲诈勒索获利 
在互联网上进行敲诈勒索，最常见的方式就是 DDoS 攻击。攻击者会把目 标锁定在服务稳定性要求高、利润大的行业，如在线教育、游戏、金融、电 商等。由于现在 DDoS 攻击成本越来越廉价，只需少量资金就可以租到一个规 模庞大的僵尸网络，这直接导致 DDoS 攻击次数越来越高，逐年上升。 

4、防治建议

业内防范DDoS攻击有如下4种主要的防御手段。 
（1）持续更新系统。确保所有服务器采用最新系统，并打上安全补丁。 计算机紧急响应协调中心发现，几乎每个受到DDoS攻击的系统都没有及时打 上补丁。 
（2）隐藏服务器IP。可以选择将所有的域名以及子域名都使用CDN来解 析，这样可以隐藏服务器的真实IP，从而也不容易让服务器被DDOS攻击。不 要把域名直接解析到服务器的真实IP地址，不能让服务器真实IP泄漏，服务 器前端加CDN中转(免费的CDN一般能防止5G左右的DDoS)。 
（3）实时监控，定期扫描。要定期扫描现有的网络主节点，清查可能存 在的安全漏洞，对新出现的漏洞及时进行清理。