跨越全國15省、30+城市，58名犯罪嫌疑人被捕，其包含 DDoS 攻擊黑色產業(yè)鏈中的各類角色：發(fā)單人、攻擊實施人、肉雞商、出量人、擔保人、黑客攻擊軟件作者等，人民網(wǎng)、中新網(wǎng)、鳳凰網(wǎng)等多家媒體對此事進行了相關報道。

案件回顧：DDoS 黑產全鏈條遭斬斷

近年來，DDoS 攻擊(Distributed Denial of Service)事件頻發(fā)，即黑客組織通過控制服務器、肉雞等資源，發(fā)動對包括國家骨干網(wǎng)絡、重要網(wǎng)絡設施、政企或個人網(wǎng)站在內的互聯(lián)網(wǎng)上任一目標的攻擊，致使目標服務器斷網(wǎng)，最終停止提供服務。據(jù)外媒報道， CDN 服務供應商 Akamai 公司發(fā)布的二季度互聯(lián)網(wǎng)安全報告顯示，2017年全球 DDoS 攻擊的次數(shù)上升了28%。DDoS 攻擊對全球網(wǎng)絡全構成了極大威脅，對于威脅行為者而言， DDoS 攻擊是從受害者處敲詐金錢、竊取數(shù)據(jù)、同行惡意競爭的首選武器，甚至為了進一步黑客主義意圖，還可以隨時發(fā)起大規(guī)模網(wǎng)絡戰(zhàn)爭。

2017年4月初，江蘇省某網(wǎng)絡公司服務器頻繁遭到 DDoS 流量攻擊，導致掛載在服務器上的多個網(wǎng)站無法正常運營，損失嚴重。據(jù)了解，此次 DDoS 攻擊是網(wǎng)站經營者的業(yè)務同行惡意競爭打壓，雇傭黑客實施 DDoS 攻擊網(wǎng)絡的犯罪行為。隨后，在騰訊“守護者計劃”與騰訊云安全團隊的共同協(xié)助下，江蘇省徐州市公安局網(wǎng)安支隊根據(jù)網(wǎng)絡攻擊溯源尋蹤，開展 DDoS 黑產打擊行動，于近期打掉了這個 DDoS 攻擊黑產團伙，抓獲分布于全國15省30+城市的犯罪嫌疑人58人，包括發(fā)單人、攻擊實施人、肉雞商、出量人、擔保人、黑客攻擊軟件作者等 DDoS 黑產鏈條中的各類角色，對該類型的攻擊犯罪形成了有力震懾。

DDoS 黑產團伙 “分工協(xié)作”詳解

據(jù)騰訊“守護者計劃”安全專家介紹，DDoS 攻擊犯罪已經進入產業(yè)化時代——從以往的需要專業(yè)黑客實施全部攻擊過程的行為，發(fā)展成由發(fā)單人、攻擊實施人、肉雞商、出量人、黑客攻擊軟件作者、擔保人等多個犯罪個體共同參與實施的產業(yè)化犯罪行為。此次江蘇某網(wǎng)絡公司 DDoS 流量攻擊案件，便是 DDoS 攻擊產業(yè)鏈化的典型例子。

那么，在這個黑色產業(yè)鏈中，這些角色如何“分工協(xié)作”呢？

發(fā)單人

在 DDoS 攻擊黑色產業(yè)鏈中，鏈條頂端的角色為“發(fā)單人”，也就是出資并發(fā)出對具體網(wǎng)站或服務器的攻擊需求的人。常見的“發(fā)單人”通常是非法網(wǎng)站如色情、賭博、彩票、游戲私服等網(wǎng)站的經營者，為了打壓競爭對手而雇傭黑客對其他同類網(wǎng)站進行攻擊。

攻擊實施人

接到“發(fā)單人”指令并執(zhí)行攻擊的人，稱為“攻擊實施人”。實施攻擊的方式有兩種：一種是利用軟件、工具操縱肉雞(被入侵利用做攻擊工具的個人計算機)模擬訪問，占用目標的服務器CPU資源，導致正常用戶無法訪問；另一種是發(fā)送大量流量攻擊目標服務器，導致服務器無法訪問網(wǎng)絡。軟件或工具多數(shù)購買自“黑客軟件作者”。而有的“攻擊實施人”由于不懂DDoS攻擊服務器搭建，于是從“肉雞商”和“出量人”手中購買已經搭建好的“肉雞集群”和“流量平臺網(wǎng)頁端的服務”。

肉雞商

“肉雞商”是侵入計算機信息系統(tǒng)的實施人，或者買賣被侵入計算機系統(tǒng)權限的中間商。他們利用后門程序(繞過安全性控制而獲取對程序或系統(tǒng)訪問權的程序方法)配合各種各樣的安全漏洞，獲得個人計算機和服務器的控制權限，植入木馬，使得這些計算機變成能實施DDoS攻擊的“肉雞”。

出量人

“出量人”是擁有服務器控制權限和網(wǎng)絡流量的人。他們有一定技術能力，能夠租用專屬服務器并自行配置攻擊軟件從而獲取流量。擔保人

在發(fā)單、購買肉雞、購買流量等各個交易環(huán)節(jié)中，因為交易的雙方往往并不認識，于是他們會找到業(yè)內“信譽”較高的黑客作為“擔保人”，負責買賣雙方的資金中轉，擔保人可從中抽取一定的好處費。

黑客攻擊軟件作者

負責編寫 DDoS 軟件，用其實現(xiàn)多種攻擊方式，降低黑客攻擊門檻，并售賣軟件盈利。

DDoS 黑產集團運作模式圖解

網(wǎng)絡空間安全與純凈

隨著 DDoS 攻擊的產業(yè)化和僵尸網(wǎng)絡構建工具包和所謂的“stresser”、“booter”以及其他 DDoS 出租服務的廣泛運用，不僅增加了 DDoS 攻擊的打擊難度，還降低了 DDoS 攻擊的實施門檻。如今，不再僅僅是國家支持的黑客和APT組織能夠使用 DDoS 基礎架構，就連普通的網(wǎng)絡犯罪分子和腳本小子也能夠輕松發(fā)起一場 DDoS 攻擊。因此，積極打擊 DDoS 攻擊，鏟除 DDoS 攻擊黑色產業(yè)鏈，是保障網(wǎng)絡空間的安全和純凈的重要行動。

今年以來，騰訊“守護者計劃”安全團隊陸續(xù)協(xié)助多地警方，破獲多起 DDoS 攻擊案件。除上述的4月江蘇某網(wǎng)絡公司 DDoS 流量攻擊案件以外，還有2月重慶某區(qū)局部網(wǎng)絡 DDoS 攻擊等。