1.你的业务太灰色太暴利技术含量太低!(此处必须@黄色,赌博,游戏,私服与外挂产业)
就拿16年崛起的棋牌手游大军来说吧~
做一个棋牌游戏出来多容易?投资20-50万不等就能做的出来。
只要能保证每天几万玩家流量,月入百万真的毫不夸张。如果采用半黑色的棋牌运营模式(公司→银商→玩家→银商→公司),靠着一批戒赌吧的老哥们,月千万都不是梦想- - 这里我想举一个典型的棋牌游戏带聚众赌博性质的例子。。。
丰厚的利润导致16-17年棋牌公司百花齐放,由此也带来了激烈的市场竞争。
棋牌游戏本身就很难开发什么新玩法,加上那么多的对手,那么高的利润,会带来什么?
那必然是三国演义般的打打杀杀!反正弄死了你你也不一定敢去报案~反正弄死了你,你报案了,我有的是钱来和你斗法~
可以毫不夸张的说,在中国市场,95%的商业攻击都是针对着灰色产业的
2. 新兴一代为了证明自己的实(Zhuang)力(Bi)~
这种情况一般由20岁以下的DDoSer触发,攻击目标不定。
总之就是想装个逼呗,人总是要有点成就感的,年纪青青除了埋头苦读很难还有什么地方找成就感了。
3.敲诈
这种情况在中国较少,不过也有。一般下手目标也是高利润的灰色产业公司(抱着你不敢报案的心态)
比如说某网名为GL的前著名DDoSer(他的大流量端远销海外来着- -)
某天突然觉得没事干了,就突然想去敲诈一把。
在敲诈了某棋牌游戏50w之后的一个月后,便从网络上彻底消失了(被caught)。
4. 误伤
传统的服务器商有些时候不给机柜做网络隔离的哦~
在这种情况下如果你的同一机柜里有人遭到较大攻击,超过了该机柜的防御阈值,你的机器很可能遭受网络延迟或者直接跟着一起断网~
Chapter three:中国DDoS市场的运转模式?
这里引用到腾讯云的追击实录(二) Plus 我个人的见解
图片来自:腾讯云
“发单人 ([上帝]老板-往往缺乏计算机信息知识的人,大多拥有不错的经营天赋以及讨价还价技巧,因为知识短板,常常被骗子骗钱~)
在 DDoS 攻击黑色产业链中,链条顶端的角色为“发单人”,也就是出资并发出对具体网站或服务器的攻击需求的人。常见的“发单人”通常是非法网站如色情、赌博、彩票、游戏私服等网站的经营者,为了打压竞争对手而雇佣黑客对其他同类网站进行攻击。
攻击实施人([工农阶级]DDoSer-往往掌握着最基础的计算机知识【如mstsc,ping,HFS等工具/指令的使用方法】,文化水平和个人素质普遍较低)
接到“发单人”指令并执行攻击的人,称为“攻击实施人”。实施攻击的方式有两种:
一种是利用软件、工具操纵肉鸡(被入侵利用做攻击工具的个人计算机)模拟访问,占用目标的服务器CPU资源,导致正常用户无法访问;
另一种是发送大量流量攻击目标服务器,导致服务器无法访问网络。软件或工具多数购买自“黑客软件作者”。而有的“攻击实施人”由于不懂DDoS攻击服务器搭建,于是从“肉鸡商”和“出量人”手中购买已经搭建好的“肉鸡集群”和“流量平台网页端的服务”。
肉鸡商([中层阶级]由初中生+高中生+大学生以及社会闲散人员组成的一群脚本小子/掌握渠道的中间商)
“肉鸡商”是侵入计算机信息系统的实施人,或者买卖被侵入计算机系统权限的中间商。他们利用后门程序(绕过安全性控制而获取对程序或系统访问权的程序方法)配合各种各样的安全漏洞,获得个人计算机和服务器的控制权限,植入木马,使得这些计算机变成能实施DDoS攻击的“肉鸡”。
出量人([上层阶级]国内外机房的好朋友/大客户~往往身后是一群大老板)
“出量人”是拥有服务器控制权限和网络流量的人。他们有一定技术能力,能够租用专属服务器并自行配置攻击软件从而获取流量。
担保人([上中下层阶级]个人素质较高的一群人,只要有积攒下来的,足够的信誉,就可以由DDoS产业里任何一部分人充当)
在发单、购买肉鸡、购买流量等各个交易环节中,因为交易的双方往往并不认识,于是他们会找到业内“信誉”较高的黑客作为“担保人”,负责买卖双方的资金中转,担保人可从中抽取一定的好处费。
黑客攻击软件作者(大多数是苦逼程序员一枚- -有极少数投入一些大型DDoS团队的怀抱,享受高官厚禄@阿布小组)
负责编写 DDoS 软件,用其实现多种攻击方式,降低黑客攻击门槛,并售卖软件盈利。”
被曝光以及被安全人士掌握的信息永远只是一少部分!
事实上在中国的DDoS产业链上,还存在另外的几类人:
“二手贩子”:靠着手里掌握的靠谱打手的联系方式,与老板联络沟通并高价接单,来赚取差价。
“骗子”:不错,在DDoS市场中也存在大量骗局,20-40%的广告都是骗子发的。通常通过告诉老板先付定金再开打的诈骗运营模式来作案。
“御用打手”:被老板包养,协助老板垄断市场、巩固江山,长期呆在东南亚,并接受老板庇护的一类人@阿布小组 @骑士小组@8uc团队@暗夜小组
“跑量人”:手下有大量的嗷嗷待捕肉鸡来源(一般10万只起步),大多数情况下是通过网站挂马与下载站植后门获取到这么多肉鸡量的,通过包天出租控制端或着代跑量(比如:保证10000-15000上线,4000元一天)赚钱,市场上针对博彩产业的CC攻击源,很多都出自跑量人。
“自产自销售+自用者”:新兴出现的一种人士,本身有相当好的计算机基础,产品破坏力非常巨大,可却因为刚入行没多久,或者不知道哪里有市场,没有老板包养,只好自产自销售+自用,典型的例子就是Mirai的作者~
“网页端站长”:网页端(Booter/Stesser)的搭建者和销售者,通过论坛上烂大街的源码,和租用来的发包机构建出租凭式网络攻击平台。典型的例子就是Vdos。他们为大量小学生+中学生+高中生+大学生+无业游民+小老板提供了基础的攻击服务。我15年最先接触到的就是国外网页端。
Chapter four:中国市场的主流攻击方式与攻击流量大小?
你们极有可能不相信我待会给出的流量数据,但是你们要记住,安全人士掌握的信息永远只是一少部分!一台高防的防御能力只有300G的情况下,攻击者发动600G的攻击,你也只能监测到300G,因为网络通信已经被堵塞了~防火墙上看不到更多~
什么?你“竟然”遭受到了超过500G的攻击?不好意思,对于市场来说,那实在是个塞牙缝的量。
1.本年度最佳最畅销-SYN (市场总掌握量约1.5-2.5Tbps)
随着越来越多的国内服务器商开始为只需TCP协议的网络应用,提供阻断UDP协议的安全规则(比如Minecraft),SYN攻击开始变的更加主流,并开始撼动前几年打造好的UDP的王位。
中国市场上的SYN分大包与小包
小包为128字节以下的syn包体
大包则是128字节以上的syn包体
“我不知道有没有学术上的用词不当,请勿介意”
我见过的,行内最大的syn攻击为峰值600Gbps为时3小时的攻击,目标是武汉116.211.144.21的棋牌游戏(此ip段从省运营商阻断海外和UDP,单机防御560G,难打的一匹- -我现在都还记得)。
2. 风靡全球的能量大霸王-UDP(市场上总掌握量约5-8Tbps)
听老一批人说,08年之前,UDP在国内是没人要的东西。直到骑士小组公开了他们的,拥有DNS查询攻击模式的集群控制端后,才渐渐有人开始收购纯UDP(肉鸡UDP量),用来攻击DNS解析。
但随着前几年反射/放大攻击(reflection/amplification attack)的出现,UDP在市场上变的十分火热。
只需要1G的伪造流量,即可给目标带来几十G甚至上百G的伤害,这么爽的属性,谁不喜欢呢?
目前,大部分的反射攻击脚本因为泛滥与安全工作者的努力,已经无法提供超过50倍的放大倍数。但是有一部分脚本以及特殊的过滤反射源方法,依然能够提供65-150倍的放大能力~
我见过的最大的攻击是预估值2Tbps的混合放大攻击(NTP+SSDP),目标是阿里云盾电信116.211与联通218.11的多个棋牌客户。
3. 博彩/色站克星-CC(市场上总掌握量约500-800万同时并发数)
CC攻击的成本往往很低,攻击没接入CDN和没有ssl的站点只需要用http代理就行了~
这一两年lot设备剧增,也给CC攻击源补充了大量新能量~
层出不穷,防不胜防,成本低廉的CC攻击往往才是许多抗D厂家的痛点
我见过的最大的CC集群有一百多万的控制量。分配在10台C&C服务器上。
据那个人说是和某黄色播放器的作者比较熟,然后......他的马还上了腾讯云安全的头条来着- -好像马子被命名为暗云腾讯估计做梦都想抓他,可人家在东南亚呆的好好的呢,抓个JJ哦
4. 穿盾小王子-TCP (市场上总掌握量约500-800万同时并发数)
TCP攻击如同CC一样,成本很低,也可以通过proxy来发动。
很多防御贼高的服务器都最后倒在了tcp的石榴裙下~因为防火墙很难判断哪个是合法的用户请求~
Chapter five:怎么抵挡T级的DDoS攻击?
答:花钱-很多钱~
如果是灰/黑色网站,Cloudflare与Incapsula的绝对是最佳选择
如果是棋牌游戏,那TCP转发技术是你的最好选择,10个节点的防御效果绝对要比单机强悍。(通过api分析玩家的ip地址,再按地区分配高防节点)
如果是色情,那就选择亚太与欧洲的不封机机器(此处必须推荐一下OVH法国和加拿大)
如果是游戏/私服,同样的,TCP转发技术会是你最好的选择。
Chapter six:DDoSer的行业人均收入?
在中国的DDoS的市场,收入取决于你的能力与智商。一个缺乏技术含量的DDoSer收入大概在每月0.5-5万人民币这个样子。一个优秀的流量producer可以收入10-30万/月,而如果背后有非常大的集团包养(御用打手),那可以月入百万。这行业就和现实里的小混混一样,靠着一帮灰黑色产业苟活。高风险,高回报。
Chapter seven: 点评如今市场上阿里,腾讯,网易推出的DDoS高防?
阿里云云盾:
优点:账户里冲满钱的情况下,单机防御600-700G,按攻击流量大小计费。
缺点:遇到攻击瞬间变成吞金兽,一台机器可以一天吞几万块钱。被超过阈值的流量攻击1分钟就会封机!没错,云盾也是会封机的~电信116.211.167-172段封20-50分钟,联通218.11.1-3段封40-60分钟。
2018.3.16更新:阿里最近学聪明了,挡不住上T的UDP流量,那就阻断海外流量缓解一下吧~
阿里云游戏盾:
15万一个月起步,提供50个50G防御的ip(给更多钱的话也许会有更多节点)。
优点:节点多,可以有效的缓解攻击造成的破坏。
缺点:太贵,单节点防御实在不堪入目(小学生拿网页端都能干了- - ),节点大部分都在同段,游戏端口一致的情况下可以直接扫描出全部节点ip,逐一剿灭。封机时间在60分钟左右。
对于有点技术的量牛来说,就是废物
腾讯云DDoS高防ip:
优点:账户里冲满钱的情况下,单机防御300-500G左右,按攻击流量大小计费。
缺点:遇到攻击瞬间变成吞金兽,被超过阈值的流量攻击会立马封机。封机时间30-50分钟。
PS:交钱少的客户,被打一发超过500G的,会封机一整天!
网易易盾:
优点:账户里充满钱的情况下,单机防御500-700G左右,遇到超过阈值的攻击不封机(不知道时间太久了封不封)
缺点:遇到攻击瞬间变成吞金兽
转自:知乎,IHackFor-Money