玩遊戲老掉線?網絡攻擊黑產:一千元癱瘓網站9小時

　　玩遊戲為啥老掉線？網絡攻擊黑產：一千元癱瘓網站9小時

　　玩遊戲為啥老掉線？網頁為什麼打不開？也許是受到了網絡攻擊。

　　近日，最高檢公布了國內首例全鏈條打擊黑客跨境網絡攻擊案。最高人民檢察院公布的第十八批指導性案例中，包括姚曉傑等11人破壞計算機信息系統案，涉及黑客圈內知名的「暗夜」攻擊小組。

　　目前黑市上仍有大量通過此類網絡DDoS攻擊牟取利益的黑客團夥。新京報記者4月13日至4月17日調查發現，在黑灰產交易平臺中，網絡攻擊成為了明碼標價的「商品」，不少僱主直接發布想要攻擊的網站地址或APP名稱，僱傭黑客攻擊，導致目標無法訪問，服務癱瘓。根據目標網站的安全防禦力不同，攻擊的價格也有所不同。進行攻擊的黑客、為黑客供應「彈藥」的流量提供方、用來測試攻擊力的「牆」、同業競爭的僱主等，構成了網絡攻擊黑產產業鏈。

　　「『暗夜』一案是全國首例全鏈條打擊黑客跨境攻擊案，案件涉及的並非只有『暗夜攻擊小組』一個團夥，全案11名被告人在攻擊鏈條中起到的作用不同，甚至有一些素未謀面。但這類案件往往需要將上下遊行為串在一起，才能還原事實、查明真相，這也是打擊網絡犯罪的特點和難點。」騰訊網絡安全與犯罪研究基地高級研究員肖薇表示。

 

　　網絡攻擊明碼標價

　　數百元發起一次攻擊，勒索數萬元

　　「接非法網站、私服、博彩、棋牌App，DDoS攻擊服務，幫你打擊競爭對手」、「網址XXX，能打的私聊」……4月13日，新京報記者調查發現，在某境外黑灰產交易平臺中，網絡攻擊成為了明碼標價的「商品」，不少僱主直接發布想要攻擊的網站地址或APP名稱，僱傭黑客進行DDoS攻擊，導致目標無法訪問，服務癱瘓。

　　新京報記者了解到，DDoS攻擊的原理是攻擊者控制多臺機器在同一時間集中訪問一個IP位址，造成訪問流量飆升，最終導致該地址網頁無法打開，服務崩潰，其原理類似於一家餐廳突然湧入了極多「霸王客」導致正常顧客無法進入。

　　4月16日下午1點，新京報記者聯繫到一名提供DDoS攻擊服務的黑客，對方表示要先看目標網站的IP位址，才能給出攻擊報價。記者給出某小型非法網站地址，對方表示該網站「之前打過，有6個CDN(內容分發網絡，可以降低網絡堵塞，一定程度上抵抗攻擊)，一個IP打10分鐘，大概30分鐘就能打死(癱瘓)，價格1000元，從現在到晚上十點。」照此計算，只要支付1000元，就可以讓目標網站癱瘓9個小時。

　　騰訊守護者計劃資深安全專家雪狼告訴新京報記者，針對攻擊目標網絡防護能力的不同，攻擊的成本也不一樣，「最低檔的話基本上是200元打一次，一般有一點防禦的小網站是1000到2000元打一次，價格波動很大。」

　　而對於把服務放在雲伺服器中或者防護更好的網站，則需要流量更大、攻擊力更高的DDoS攻擊。

　　「在2017年基本上一名黑客若能做到每秒450G峰值攻擊力的DDoS攻擊，一個小時的成本大概為1000元左右，攻擊的目的可能是只把網站打癱瘓一次，之後進行勒索，也可能是受僱於人持續攻擊擾亂網站的正常服務。」雪狼表示。

　　根據公開報導，較近的一則DDoS攻擊案例是4月10日《檢察日報》發布的台州某智能科技公司遭攻擊一案。2019年1月，該公司陸續接到不少遊戲玩家投訴，反映在玩遊戲時出現頻頻掉線等狀況，後證實遭到了黑客DDoS攻擊，這些攻擊讓用戶無法登錄，造成大量用戶流失，僅一臺伺服器上受影響的註冊用戶人數就有近2萬人。為了應對攻擊，公司專門花費5萬多元購買DDoS防護包，但效果並不顯著。最終公安機關抓獲了涉事黑客駱某，發現其以300元的價格從僱主處接單，並租用了一臺中控伺服器，抓「肉雞」(即被非法控制的計算機信息系統，可以為攻擊提供流量)，使用DDoS攻擊技術攻擊了該公司的伺服器。

　　騰訊雲發布的《2019年DDoS威脅報告》(下稱《威脅報告》)顯示，黑客購買攻擊服務的成本在數百元，而發起勒索每次的贖金可以達到數萬元；黑客搭建攻擊站點的成本在數千元，而出租DDoS攻擊服務的收入可以達到數十萬元。

 

　　黑產分工明確

　　有人提供「彈藥」黑客負責攻擊

　　新京報記者發現，目前黑市中DDoS攻擊已經形成了分工明確的上下遊產業鏈：處在產業鏈上遊的是各類DDoS攻擊軟體賣家，他們為「傻瓜式」網絡攻擊提供了工具，降低了黑客的入門門檻；處在產業鏈中遊的是流量提供方，這些流量提供者或是擁有自己的專業機房，可以提供穩定的帶寬，或是擁有大量「肉雞」，可以為DDoS攻擊提供充足的「彈藥」；產業鏈下遊的則是執行攻擊的黑客本人。此外，還有一些具有抗DDoS攻擊的公司主動參與了DDoS攻擊，他們的作用是提供測試DDoS攻擊力的「牆」，以方便僱主驗證黑客的攻擊實力，也成為了網絡攻擊黑產的一環。

　　其中，黑客最重要的上遊當屬流量提供方，2016年北京朝陽法院溫榆河法庭公布的案例顯示，曾有被告人通過木馬程序控制了68臺計算機，並將被控制計算機的流量出租給黑客進行DDoS攻擊並從中牟利，1G流量一天獲利100元，5個月間獲利3萬餘元，被告人供述自己只負責抓「肉雞」，並不負責攻擊任何伺服器和網站。但顯然該被告人也屬於DDoS攻擊黑產產業鏈的鏈條之一。

　　《威脅報告》顯示，中木馬的個人電腦是黑客最大的肉雞來源，佔比46%。

　　4月16日，新京報記者在境外黑灰產平臺中發現，有不少黑客在平臺中高調「收流量」，當有流量方表示以50元1G的價格出售流量時，立刻有黑客表示「全都收」，此外也有黑客表示真正有實力的人都是「自己買機房」。

　　除買賣流量外，黑灰產平臺中還活躍著不少提供DDoS攻擊腳本、軟體的賣家，熟悉黑產的人士「戰神」對記者表示，許多老的攻擊腳本到現在仍然可以賣出不少錢，但真正前沿的DDoS攻擊技術目前還主要從國外傳入，如果一名黑客可以做到300到500G的持續攻擊，一個月至少需要幾萬元成本。

 

　　誰易被攻擊？

　　遊戲、電商位居前兩名 主要是惡性競爭

　　而在攻擊目標上，大部分黑客表示樂意攻擊非法網站。「戰神」表示，這主要是因為這類「黑吃黑」的攻擊發生後，被攻擊者一般只能吃啞巴虧，而BAT等大型網際網路公司則是這些黑客們普遍不樂意攻擊的對象，因為「難度過高，風險較大」。

　　根據《威脅報告》，在DDoS攻擊的行業分布中，遊戲行業佔42%，是最易受DDoS攻擊的對象，電子商務和網絡服務行業分別佔15%和14%，位居二三位。而遊戲行業中，近半數遭到攻擊的對象為手遊APP。

　　不過，新京報記者在黑灰產平臺中同一些黑客交談時發現，由於手遊APP無法像頁遊一樣直觀的顯示出所在IP，所以往往需要使用一些技術手段先檢測出IP所在地再進行攻擊，因此不少黑客在收到攻擊APP的需求時往往要求僱主先給出IP位址，「自己檢測IP太麻煩了，你直接給我地址我才能給你報價。」

　　《威脅報告》稱，在DDoS攻擊的目的方面，打擊競爭對手、向網際網路企業收取「保護費」勒索以及向玩家出售「炸房掛」、「掉線掛」是最主要的三類收益來源，其中，超過80%的黑客發動DDoS攻擊的動機源於惡意競爭。

 

　　DDoS攻擊的打擊難題：

　　取證難、需國際合作

　　雪狼表示，近年來隨著網絡的發展，雲伺服器的帶寬和性能都大幅度提升，防禦力和對抗技術也在不斷進步，因此DDoS攻擊需要的流量也逐年攀升。跟前幾年相比，黑客團夥的兩極分化比較嚴重，小黑客對大型企業沒有什麼威脅，大型黑客組織則一般都牽涉境外，這是最麻煩的問題。此外，隨著物聯網的發展，越來越多物聯網設備成為了「肉雞」，利用物聯網設備進行UDP反射攻擊的攻擊方式越來越多，這給取證帶來了更大的難題。

　　《威脅報告》顯示，2019年DDoS攻擊次數相較於2018年出現小幅回落趨勢，但大流量攻擊依然突出；海外DDoS威脅大幅增長，2019年，海外攻擊佔比達到15%，相較於2018年幾乎翻倍。

　　目前，已經落網的較為知名的黑客包括騎士攻擊小組以及暗夜攻擊小組。其中，騎士攻擊小組於2010年落網，據公開報導顯示其在落網時收益已經達到1億元。而暗夜攻擊小組則是騎士之後國內最知名的黑客團隊之一，案發當時擁有國內近半的DDoS攻擊份額。

　　「暗夜小組能在非常短的時間內組織起極高流量的DDoS攻擊，隨時對不特定目標發起進攻，這是非常可怕的。」肖薇告訴記者，「這樣規模的攻擊需要上下遊各環節結合起來才能實現。例如『暗夜』背後有僱主提供資金和指定目標，外部有『肉雞』控制者為其提供流量，『暗夜』自身也有組織分工：有負責日常管理的，有專門收購攻擊流量和『測牆』的，有分析IP和操控『肉雞』攻擊的，有負責軟體調試和電腦維護的，有負責轉帳洗錢的，還有負責後勤服務的。所有這些人在DDoS攻擊中起到的作用各不相同，有一些人甚至相互都不認識。」

　　「戰神」告訴記者，目前打擊DDoS攻擊很難，因為「國內運營商要配合中國公安，可溯源放大攻擊必須要國外運營商配合，國外運營商不太可能完全配合中國公安。」

　　在肖薇看來，對DDoS攻擊的打擊難點在於，一是在客觀無法完整溯源的情況下，每一次攻擊與損害結果間難以確立一一對應的因果關係；二是僅從法律規定的「直接經濟損失」和「修復的必要費用」評價，無法客觀反映出網絡攻擊給雲服務商和網絡秩序造成的實際損害；三是當前主流的雲服務普遍採用前置防護的方式維護網絡安全，這一部分成本投入無法映射至經濟損失中，令案件難以達到入罪標準。此外，高隱蔽性和跨境化是當前DDoS攻擊的普遍特徵，這也為開展案件打擊、取證固證都帶來了極大的挑戰。

　　此外，相對於造成的破壞，目前國內對網絡攻擊案例的判罰大多只在一至二年。如最高檢公布的關於暗夜小組的指導性案例中，11名被告人最終因破壞計算機信息系統案被分別判處有期徒刑一年至二年不等。

　　有遊戲行業從業者認為，相對於黑客行為造成的破壞，判一至二年的結果「非常輕」，「伺服器崩潰會直接影響用戶體驗，一些黑客專門挑在線人數最多的時候攻擊，造成用戶無法登錄，最後導致用戶流失，這給我們造成的損失無法估量。」

　　對此，有法律界人士對新京報記者表示，破壞計算機信息系統罪處五年以下有期徒刑或者拘役；後果特別嚴重的，處五年以上有期徒刑。根據國家規定，造成十臺以上計算機不能正常運行的屬於「後果嚴重」，但目前在雲服務的背景下，已經不能按照十臺、百臺來計算，因此，適時更新與黑客攻擊有關的法律法規勢在必行。

　　新京報記者 羅亦丹