圖說(shuō)：阿里協(xié)助景寧警方打掉國(guó)內(nèi)首個(gè)從事新型DDoS攻擊的網(wǎng)絡(luò)黑灰團(tuán)伙

利用少量帶寬即可發(fā)起巨量DDoS攻擊，讓政府問(wèn)政通道無(wú)法正常訪問(wèn)，讓學(xué)校網(wǎng)頁(yè)無(wú)法下發(fā)通知，還可讓購(gòu)物網(wǎng)頁(yè)“離奇”丟失和棋牌網(wǎng)游無(wú)法登錄，支付貸款突然中斷……

近日，阿里巴巴安全部專(zhuān)案團(tuán)隊(duì)協(xié)助浙江景寧警方打掉國(guó)內(nèi)首個(gè)從事memcached DDoS攻擊的大型網(wǎng)絡(luò)黑灰團(tuán)伙。該團(tuán)伙利用高性能緩存系統(tǒng)（memcached）、時(shí)鐘網(wǎng)絡(luò)同步服務(wù)器（NTP）等新型DDoS攻擊手段搭建網(wǎng)絡(luò)攻擊平臺(tái)，并以此牟利。

該平臺(tái)攻擊包含境外網(wǎng)站服務(wù)器、政府企業(yè)網(wǎng)站服務(wù)器、學(xué)校網(wǎng)站服務(wù)器以及各大云服務(wù)器等。“這些平臺(tái)專(zhuān)門(mén)為大量的黑灰產(chǎn)份子提供最新型的DDoS攻擊模式，以攻擊境內(nèi)外服務(wù)器。” 景寧辦案民警表示，“其造成的后果非常嚴(yán)重，損失難以估量。”

阿里技術(shù)協(xié)助警方端掉新型DDOS攻擊團(tuán)伙

經(jīng)過(guò)兩個(gè)多月縝密偵查，浙江警方在阿里巴巴專(zhuān)案團(tuán)隊(duì)協(xié)助下，摸清了這一幕后組織背后的“秘密”。

“他們有自己的技術(shù)團(tuán)隊(duì)，還研發(fā)出全網(wǎng)最新的memcached DDoS攻擊模式，主要以按天收費(fèi)方式為他人提供DDoS攻擊工具和接口，其中一個(gè)DDoS攻擊平臺(tái)界面顯示，注冊(cè)會(huì)員高達(dá)近萬(wàn)人。”阿里巴巴專(zhuān)案團(tuán)隊(duì)技術(shù)專(zhuān)家介紹說(shuō)。

該團(tuán)伙主要通過(guò)購(gòu)買(mǎi)境外的發(fā)包機(jī)器，搭建各自的DDoS攻擊平臺(tái)，通過(guò)刷搜索引擎的排名推廣DDoS服務(wù)，吸引“攻擊手”，并尋找同行網(wǎng)站，攻擊其服務(wù)器打擊競(jìng)爭(zhēng)對(duì)手。“黑灰產(chǎn)份子通過(guò)該團(tuán)伙提供的網(wǎng)頁(yè)端進(jìn)行注冊(cè)，購(gòu)買(mǎi)相應(yīng)的攻擊套餐服務(wù)，然后通過(guò)平臺(tái)客戶(hù)端發(fā)送攻擊指令實(shí)施DDoS攻擊行為。”辦案民警介紹。

2018年5月5日晚，隨著該案最后一名主要嫌疑人在湘西落網(wǎng)，公安部督辦"129破壞計(jì)算機(jī)信息系統(tǒng)案"也得以告一段落。目前，該案一共摧毀黑客攻擊平臺(tái)3個(gè)，抓獲平臺(tái)主要?jiǎng)?chuàng)辦者3人，查獲境外發(fā)包機(jī)15臺(tái)，攻擊日志10萬(wàn)余條。

新型DDoS攻擊可制造5萬(wàn)倍垃圾流量堵癱網(wǎng)絡(luò)

圖說(shuō)：memcached反射源來(lái)源分布情況

DDoS攻擊的歷史可追溯到上世紀(jì)90年代，如今，黑灰產(chǎn)的DDoS攻擊能力也在日益提升。

專(zhuān)門(mén)從事網(wǎng)絡(luò)黑灰產(chǎn)技術(shù)研究的阿里安全歸零實(shí)驗(yàn)室專(zhuān)家表示，反射型DDoS攻擊是相對(duì)高階的種類(lèi)。攻擊者并不直接攻擊目標(biāo)服務(wù)IP，而是通過(guò)偽造被攻擊者的IP向全球特殊的服務(wù)器發(fā)請(qǐng)求報(bào)文，這些特殊的服務(wù)器會(huì)將數(shù)倍于請(qǐng)求報(bào)文的數(shù)據(jù)包發(fā)送到那個(gè)被攻擊的IP（目標(biāo)服務(wù)IP）。

據(jù)介紹，以往的DDoS反射攻擊，例如NTP和SSDP攻擊的放大倍數(shù)一般都是30~500之間，而memcached DDoS的放大倍數(shù)都以萬(wàn)為單位，通常情況下，其放大倍數(shù)約為5萬(wàn)倍，而且不排除這個(gè)倍數(shù)被繼續(xù)放大的可能性。

“利用這個(gè)特點(diǎn)，黑灰產(chǎn)團(tuán)伙可以用非常少的帶寬即可發(fā)起巨量的DDoS攻擊。”阿里安全歸零實(shí)驗(yàn)室技術(shù)專(zhuān)家稱(chēng)，“這種攻擊手段對(duì)目標(biāo)對(duì)象非常有效，不僅使得監(jiān)控、溯源更加困難，而且可瞬間制造巨大垃圾流量，造成網(wǎng)絡(luò)堵塞和服務(wù)中斷，因此危害極為巨大。”

據(jù)悉，阿里巴巴集團(tuán)成立了專(zhuān)案團(tuán)隊(duì)和歸零實(shí)驗(yàn)室，通過(guò)線索和技術(shù)的支持，協(xié)助警方推進(jìn)案件偵辦，以解決當(dāng)前日益嚴(yán)重的網(wǎng)絡(luò)違規(guī)和網(wǎng)絡(luò)犯罪問(wèn)題。