無商業目的-以前攻擊者的角度揭秘真正的DDoS市場

先做個自我介紹，

本人14年接觸到私人網路遊戲（私服），後面開的還挺大來著，隨後基本上各種洗信，外掛，數據，證件，yhk，戶籍，菠菜，porn等黑色產業都了解了一遍，從15年開始便接觸到了DDoS市場，在出事以前也好歹做到了市場的前幾把手吧。

上個月剛剛把事情解決- - 金盆洗手、彌留之際之際我想以一個攻擊者的角度給大家揭露一下這個充斥著罪惡的市場。

Chapter one：什麼是DDoS攻擊？

這個不想多解釋，此處引用nmask的文章

Chapter two：為什麼會有人攻擊你的網路業務？

1.你的業務太灰色太暴利技術含量太低！（此處必須@黃色，賭博，遊戲，私服與外掛產業）

就拿16年崛起的棋牌手游大軍來說吧~

做一個棋牌遊戲出來多容易？投資20-50萬不等就能做的出來。

只要能保證每天幾萬玩家流量，月入百萬真的毫不誇張。如果採用半黑色的棋牌運營模式（公司→銀商→玩家→銀商→公司），靠著一批戒賭吧的老哥們，月千萬都不是夢想- - 這裡我想舉一個典型的棋牌遊戲帶聚眾賭博性質的例子。。。

豐厚的利潤導致16-17年棋牌公司百花齊放，由此也帶來了激烈的市場競爭。

棋牌遊戲本身就很難開發什麼新玩法，加上那麼多的對手，那麼高的利潤，會帶來什麼？

那必然是三國演義般的打打殺殺！反正弄死了你你也不一定敢去報案~反正弄死了你，你報案了，我有的是錢來和你鬥法~

可以毫不誇張的說，在中國市場，95%的商業攻擊都是針對著灰色產業的

2. 新興一代為了證明自己的實（Zhuang）力（Bi）~

這種情況一般由20歲以下的DDoSer觸發，攻擊目標不定。

總之就是想裝個逼唄，人總是要有點成就感的，年紀青青除了埋頭苦讀很難還有什麼地方找成就感了。

3.敲詐

這種情況在中國較少，不過也有。一般下手目標也是高利潤的灰色產業公司（抱著你不敢報案的心態）

比如說某網名為GL的前著名DDoSer（他的大流量端遠銷海外來著- -）

某天突然覺得沒事幹了，就突然想去敲詐一把。

在敲詐了某棋牌遊戲50w之後的一個月後，便從網路上徹底消失了（被caught）。

4. 誤傷

傳統的伺服器商有些時候不給機櫃做網路隔離的哦~

在這種情況下如果你的同一機櫃里有人遭到較大攻擊，超過了該機櫃的防禦閾值，你的機器很可能遭受網路延遲或者直接跟著一起斷網~

Chapter three：中國DDoS市場的運轉模式？

這裡引用到騰訊雲的追擊實錄（二） Plus 我個人的見解

「發單人 （[上帝]老闆-往往缺乏計算機信息知識的人，大多擁有不錯的經營天賦以及討價還價技巧，因為知識短板，常常被騙子騙錢~）

在 DDoS 攻擊黑色產業鏈中，鏈條頂端的角色為「發單人」，也就是出資並發出對具體網站或伺服器的攻擊需求的人。常見的「發單人」通常是非法網站如色情、賭博、彩票、遊戲私服等網站的經營者，為了打壓競爭對手而僱傭黑客對其他同類網站進行攻擊。

攻擊實施人（[工農階級]DDoSer-往往掌握著最基礎的計算機知識【如mstsc，ping，HFS等工具/指令的使用方法】，文化水平和個人素質普遍較低）

接到「發單人」指令並執行攻擊的人，稱為「攻擊實施人」。實施攻擊的方式有兩種：

一種是利用軟體、工具操縱肉雞(被入侵利用做攻擊工具的個人計算機)模擬訪問，佔用目標的伺服器CPU資源，導致正常用戶無法訪問；

另一種是發送大量流量攻擊目標伺服器，導致伺服器無法訪問網路。軟體或工具多數購買自「黑客軟體作者」。而有的「攻擊實施人」由於不懂DDoS攻擊伺服器搭建，於是從「肉雞商」和「出量人」手中購買已經搭建好的「肉雞集群」和「流量平台網頁端的服務」。

肉雞商（[中層階級]由初中生+高中生+大學生以及社會閑散人員組成的一群腳本小子/掌握渠道的中間商）

「肉雞商」是侵入計算機信息系統的實施人，或者買賣被侵入計算機系統許可權的中間商。他們利用後門程序(繞過安全性控制而獲取對程序或系統訪問權的程序方法)配合各種各樣的安全漏洞，獲得個人計算機和伺服器的控制許可權，植入木馬，使得這些計算機變成能實施DDoS攻擊的「肉雞」。

出量人（[上層階級]國內外機房的好朋友/大客戶~往往身後是一群大老闆）

「出量人」是擁有伺服器控制許可權和網路流量的人。他們有一定技術能力，能夠租用專屬伺服器並自行配置攻擊軟體從而獲取流量。

擔保人（[上中下層階級]個人素質較高的一群人，只要有積攢下來的，足夠的信譽，就可以由DDoS產業里任何一部分人充當）

在發單、購買肉雞、購買流量等各個交易環節中，因為交易的雙方往往並不認識，於是他們會找到業內「信譽」較高的黑客作為「擔保人」，負責買賣雙方的資金中轉，擔保人可從中抽取一定的好處費。

黑客攻擊軟體作者（大多數是苦逼程序員一枚- -有極少數投入一些大型DDoS團隊的懷抱，享受高官厚祿@阿布小組）

負責編寫 DDoS 軟體，用其實現多種攻擊方式，降低黑客攻擊門檻，並售賣軟體盈利。」

被曝光以及被安全人士掌握的信息永遠只是一少部分！

事實上在中國的DDoS產業鏈上，還存在另外的幾類人：

「二手販子」：靠著手裡掌握的靠譜打手的聯繫方式，與老闆聯絡溝通並高價接單，來賺取差價。

「騙子」：不錯，在DDoS市場中也存在大量騙局，20-40%的廣告都是騙子發的。通常通過告訴老闆先付定金再開打的詐騙運營模式來作案。

「御用打手」：被老闆包養，協助老闆壟斷市場、鞏固江山，並接受老闆庇護的一類人@阿布小組 @騎士小組

「跑量人」：手下有大量的嗷嗷待捕肉雞來源（一般10萬隻起步），大多數情況下是通過網站掛馬與下載站植後門獲取到這麼多肉雞量的，通過包天出租控制端或著代跑量（比如：保證10000-15000上線，4000元一天）賺錢，市場上針對博彩產業的CC攻擊源，很多都出自跑量人。

「自產自銷售+自用者」：新興出現的一種人士，本身有相當好的計算機基礎，產品破壞力非常巨大，可卻因為剛入行沒多久，或者不知道哪裡有市場，沒有老闆包養，只好自產自銷售+自用，典型的例子就是Mirai的作者~

「網頁端站長」：網頁端（Booter/Stesser）的搭建者和銷售者，通過論壇上爛大街的源碼，和租用來的發包機構建出租憑式網路攻擊平台。典型的例子就是Vdos。他們為大量小學生+中學生+高中生+大學生+無業游民+小老闆提供了基礎的攻擊服務。我15年最先接觸到的就是國外網頁端。

Chapter four：中國市場的主流攻擊方式與攻擊流量大小？

你們極有可能不相信我待會給出的流量數據，但是你們要記住，安全人士掌握的信息永遠只是一少部分！一台高防的防禦能力只有300G的情況下，黑客發動600G的攻擊，你也只能監測到300G，因為網路通信已經被堵塞了~防火牆上看不到更多~

什麼？你「竟然」遭受到了超過100G的攻擊？不好意思，那實在是個塞牙縫的量。

1.本年度最佳最暢銷-SYN （市場總掌握量約1.5-2.5Tbps）

隨著越來越多的國內伺服器商開始為只需TCP協議的網路應用，提供阻斷UDP協議的安全規則（比如Minecraft），SYN攻擊開始變的更加主流，並開始撼動前幾年打造好的UDP的王位。

中國市場上的SYN分大包與小包

小包為128位元組以下的syn包體

大包則是128位元組以上的syn包體

「我不知道有沒有學術上的用詞不當，請勿介意」

我見過的，行內最大的syn攻擊為峰值600Gbps為時3小時的攻擊，目標是武漢116.211.144.21的棋牌遊戲（此ip段從省運營商阻斷海外和UDP，單機防禦560G，難打的一匹- -我現在都還記得）。

2. 風靡全球的能量大霸王-UDP（市場上總掌握量約5-8Tbps）

聽老一批人說，08年之前，UDP在國內是沒人要的東西。直到騎士小組公開了他們的，擁有DNS查詢攻擊模式的集群控制端後，才漸漸有人開始收購純UDP（肉雞UDP量），用來攻擊DNS解析。

但隨著前幾年反射/放大攻擊（reflection/amplification attack）的出現，UDP在市場上變的十分火熱。

只需要1G的偽造流量，即可給目標帶來幾十G甚至上百G的傷害，這麼爽的屬性，誰不喜歡呢？

目前，大部分的反射攻擊腳本因為泛濫與安全工作者的努力，已經無法提供超過50倍的放大倍數。但是有一部分腳本以及特殊的過濾反射源方法，依然能夠提供65-150倍的放大能力~

我見過的最大的攻擊是預估值2Tbps的混合放大攻擊（NTP+SSDP+SNMP），目標是阿里雲盾電信116.211與聯通218.11的多個棋牌客戶。

3. 博彩/色站剋星-CC（市場上總掌握量約500-800萬同時並發數）

CC攻擊的成本往往很低，攻擊沒接入CDN和沒有ssl的站點只需要用http代理就行了~

這一兩年lot設備劇增，也給CC攻擊源補充了大量新能量~

層出不窮，防不勝防，成本低廉的CC攻擊往往才是許多抗D廠家的痛點

我見過的最大的CC集群有一百多萬的控制量。分配在10台C&C伺服器上。

據那個人說是和某黃色播放器的作者比較熟，然後......他的馬還上了騰訊雲安全的頭條來著- -好像被命名為暗雲

4. 穿盾小王子-TCP （市場上總掌握量約500-800萬同時並發數）

TCP攻擊如同CC一樣，成本很低，也可以通過proxy來發動。

很多防禦賊高的伺服器都最後倒在了tcp的石榴裙下~因為防火牆很難判斷哪個是合法的用戶請求~

Chapter five：怎麼抵擋T級的DDoS攻擊？

答：花錢-很多錢~

如果是灰/黑色網站，Cloudflare與Incapsula的絕對是最佳選擇

如果是棋牌遊戲，那TCP轉發技術是你的最好選擇，10個節點的防禦效果絕對要比單機強悍。（通過api分析玩家的ip地址，再按地區分配高防節點）

如果是色情，那就選擇亞太與歐洲的不封機機器（此處必須推薦一下OVH）

如果是遊戲/私服，同樣的，TCP轉發技術會是你最好的選擇。

Chapter six：DDoSer的行業人均收入？

在中國的DDoS的市場，收入取決於你的能力與智商。一個缺乏技術含量的DDoSer收入大概在每月0.5-5萬人民幣這個樣子。一個優秀的流量producer可以收入10-30萬/月，而如果背後有非常大的集團包養（御用打手），那可能會更多。這行業就和現實里的小混混一樣，靠著一幫灰黑色產業苟活。高風險，高回報。

Chapter seven: 點評如今市場上阿里，騰訊，網易推出的DDoS高防？

阿里云云盾：

優點：賬戶里沖滿錢的情況下，單機防禦600-700G，按攻擊流量大小計費。

缺點：遇到攻擊瞬間變成吞金獸，被超過閾值的流量攻擊1分鐘就會封機！沒錯，雲盾也是會封機的~電信116.211.167-172段封20-50分鐘，聯通218.11.1-3段封40-60分鐘。

阿里雲遊戲盾：

15萬一個月起步，提供50個50G防禦的ip（給更多錢的話也許會有更多節點）。

優點：節點多，可以有效的緩解攻擊造成的破壞。

缺點：太貴，單節點防禦實在不堪入目（小學生拿網頁端都能幹了- - ），節點大部分都在同段，遊戲埠一致的情況下可以直接掃描出全部節點ip，逐一剿滅。封機時間在60分鐘左右。

騰訊雲DDoS高防ip：

優點：賬戶里沖滿錢的情況下，單機防禦300-500G左右，按攻擊流量大小計費。

缺點：遇到攻擊瞬間變成吞金獸，被超過閾值的流量攻擊會立馬封機。封機時間30-50分鐘。

網易易盾：

優點：賬戶里充滿錢的情況下，單機防禦500-700G左右，遇到超過閾值的攻擊不封機（不知道時間太久了封不封）

缺點：遇到攻擊瞬間變成吞金獸

」這是我第一次寫網路文章，第一次在知乎上發表文章，第一次和他人分享我所見過的黑暗。」 ——轉載此文章請表明出處，謝謝。