黑産馬仔藏深山，我和警方坐火車、汽車加馬車一路追擊

這個世界上住得最偏遠的除了大山的子孫，還有搞黑産的馬仔。

“十一”假期前幾天，阿裡雲安全的 JX 剛接到同僚郁悶的資訊：“糟糕，假期回不去了。”JX 一驚，難道這次他作為技術支援，與警方一起深入虎穴打擊黑産團夥出了什麼意外？

“不是不是，這個搞 DDoS 的團夥藏得也挺深的，這麼偏遠的地方，我先坐了馬車，再坐了汽車，等我到了火車站，沒票了！”同僚說。

JX 隻能安慰同僚，建議他假期到處逛逛，接力回家。

JX 所在的團隊，是被雲安全全面武裝的網絡安全技術團隊，應用阿裡雲全網安全态勢感覺系統等雲安全分析工具，與警方對接、合作，隻為一件事：打擊灰黑産業鍊。

注：配合警方打擊黑産，風險很大，JX、MQ為兩位受訪者化名

20年前：不聯合打擊黑産，就要完蛋了

9 月 27 日，阿裡雲栖峰會召開前期，阿裡雲在北京召開了一場釋出會，釋出首個企業雲安全架構，以及《2017阿裡雲安全白皮書》。在釋出會上，阿裡雲稱其每天成功抵禦了 16 億次攻擊，遭遇最多的是 DDoS 攻擊。

與其他線上上與黑客鬥智鬥勇的安全研究員同僚不同的是，他們不僅要線上上構築防衛城牆，還要在警方破案時，利用雲安全能力追尋黑産的蛛絲馬迹，必要時配合警方抓捕黑産團夥。

親手促成打掉黑産團夥，是他們最痛快的事。

JX坐在宅客頻道編輯面前，依然記得 20 年前進入 IDC 行業時，不少客戶遭遇 DDoS 攻擊時無助的場景。

“那時候，無論是客戶遇到攻擊，還是IDC遇到攻擊，都特别無助，唯一的辦法就是勸客戶換機器，甚至換服務商，因為IDC扛不住，還會影響其他客戶。”JX回憶起 20 年前的場景。那時，JX所在公司的老闆還焦急地給總理寫了一封信：“不聯合打擊黑産，我們網際網路就要完蛋了。”

但是，當時即使帶着所有的網絡日志和資料找警方報案，依然很難解決問題，因為警方也覺得為難——沒有辦法抓到這個黑産團夥。“明明知道問題，大家卻無能為力，隐藏在網上的黑客攻擊，你隻能默默承受。”JX說。

老虎身上拔毛

從 IDC 到雲計算，來自于黑産團夥的攻擊仍然是困擾 JX 和整個社會的問題。但與 20 年前不一樣的是，雲上的資料分析能力更加強大，通過對大量黑産樣本模型進行學習提升，可以對黑産案件進行智能關聯，圈出嫌疑犯，并給出關鍵線索。

這麼一來，隐密在網際網路中的黑客終将被其繩之以法。

目前，阿裡雲在集中火力解決的主要是這三類黑産攻擊：

第一，大量 DDoS 攻擊。

2017年 8 月，阿裡雲共攔截 300 Gbps以上的攻擊數百次，不僅漲幅巨大，而且達到了曆史新高。約 70 %的被 DDoS 攻擊客戶來自網站和遊戲。其中，小流量的 DDoS 攻擊在減少，大流量的 DDoS 攻擊卻持續增長，尤其是 400 G以上的 DDoS 攻擊。

大流量的 DDoS 攻擊通常并非散戶或小型黑客組織所為，而是來自财大氣粗的大型黑客組織。

第二，釣魚、欺詐、挂馬連結緊緊盯上使用者，一個漏洞不處理，就可能被黑客盯上、利用上，成為黑客工具隐密所在，成為攻擊工具、成為被欺詐對象，成為被釣魚對象。

第三，防止黑産鑽空子。

阿裡雲進軍海外市場時，采取的營銷方式之一是“先使用後付費”。如果不幸被不良黑産盯上，購買了大量服務，一個月後要付款時，人去樓空，則會帶來巨大的損失。與銀行不斷完善的風控體系一樣，這些挑戰讓阿裡雲開始思考新的業務風控模式。

追蹤黑産路徑，反擊

今年 4 月以來，阿裡雲配合警方打掉了 10 多起 DDoS 案件。

當一次大規模 DDoS 攻擊發生後，如果警方接到報案聯系了這些安全研究員，他們會在警方提供的樣本中找到木馬，分析攻擊手段，并将樣本與态勢感覺平台進行比對，如果是新木馬，安全研究員将樣本納入态勢感覺系統進行系統自學習，并由系統給出木馬網上軌迹。

在這些案件中，線下技術團隊要做的就是進行網上黑客行為追蹤溯源，面對層層代理抽絲剝繭，找到中控，中控有可能是 IP、域名，如果是域名，找到域名所有者，如果是 IP，找到 IP 所有者。

随後，警方再從這個 IP 繼續找出線下的始作俑者。

當然，這個“始作俑者”依然可能有假，警方和技術人員必須從零零散散的資料中，拼湊出終極真相。

今年上半年，阿裡雲安全團隊遇到的大型 DDoS 攻擊和 8 月顯示的資料類似，大部分受害者是新興遊戲公司，剛剛要做起來，馬上要推廣時就遭遇了滅頂之災。

“大多數攻擊與競争相關的，友商選擇黑客攻擊原因在于成本低，不易發現。但是被攻擊流量很大，最高峰值達到 694 G，對于被攻擊者，面對這麼大流量攻擊基本上業務中斷，才積聚的使用者、人氣一下就沒了，其損失慘重，經曆幾次這樣的攻擊，一個公司很可能就會一蹶不振，甚至倒閉，每年因為攻擊倒閉的新公司不在少數。”MQ說。

針對釣魚挂馬類黑産，安全研究人員會如同對待搜尋引擎一樣，進行關鍵詞、圖像、音視訊及頁面結構檢測，運用安全大資料分析手段抓住這些釣魚網站及木馬連結，協同使用者進行删除。

敢在老虎身上拔毛的則是這樣的黑産：挖礦者。

今年，比特币眼瞅着從 1 萬元的币值漲到 2 萬元，黑産從業者瞄上了網際網路上應用的各種漏洞，試圖利用業務漏洞去進行挖礦、加密勒索。還有人會鑽平台營銷政策漏洞，如先購買、使用，後結算類，就會有人搞虛假身份，使了就跑，給平台帶來損失，更有甚者，利用這些資源作為黑客攻擊跳闆機，打一槍換一炮，讓黑客在網上的行為軌迹更加撲簌迷離。

一旦發現這個使用者存在此類風險，系統會進行嚴格的信用考評乃至問題回訪，以進行多次使用者身份确認與核實。比如，信用卡可能會進行先扣一塊錢或幾毛錢，驗證信用卡有效性以及使用者真實性。

雲安全帶來的改變在于，讓網際網路安全從嚴防死守到主動出擊，JX 認為，這對嚣張的黑産而言，是一種威懾，但黑産的攻勢之猛，安全團隊的責任之大，時常還是讓他們感到憂慮。

第一，配合警方抓捕黑産從業者時，有很多年輕人參與其中，根本不知道幹這個事是犯法的，他們以為自己隻不過在網上動了動手而已。

“當你抓到他，稱這樣是侵犯了别人的計算機系統，是違反刑法的，他根本不敢相信，我怎麼可能違反刑法？”JX痛心疾首，每年7、8月 DDoS 攻擊尤其多，是以她和同僚要聯合警方，走到高校，聯合編撰安全教材，進行宣傳，讓更多的年輕人知法懂法，還要懂得基礎網絡安全知識，不要被黑客組織以小利引誘，釀成大禍。

第二，資料資産類敲詐已經成為新熱點，因為變現容易，洗錢來無影去無蹤，電信欺詐、攻擊連續性類型依然泛濫。資料對于企業而言是重要的資源，如果這樣的資源被人占有了，企業很可能轟然倒下，無法重新開始。

MQ 感慨，誠如此前所說，發動一場 DDoS 攻擊很簡單。在這個萬物互聯的時代，當一個普通的攝像頭都可能被利用成為攻擊工具時，是很恐怖的事情。

第三，追蹤黑産鍊條，最後發現金主不在國内，這類案件隻能抓到攻擊手，如果往下抓，就會遇到法律問題。怎麼用中國法律定海外人員的罪？有些事情超出了今天的技術高度，技術專家無法解決，隻能依靠政府推動全球打擊網絡黑客合作。

與宅客頻道聊完後，從杭州來到北京的 JX 和 MQ 繼續奔往下一個地點，這個國慶假期隻是更忙碌緊張的一個備戰期。對這些抗擊黑産的守衛者而言，網絡安全永遠“在路上”。

編者手記

我接觸過一些抗擊黑産的技術專家，阿裡雲的安全研究人員是其中之一。

讓我印象深刻的是，受訪者們總會提到一句話：“道高一尺，魔高一丈”。黑産對抗，如影随形。其實，我覺得，他們想強調的是後者，而拼命地促成前者。

打擊黑産實在是太難了。

我總得到這麼幾個訊息：第一，黑産分工明确，形成了産業鍊條的分工明晰，行動迅速，沒有“鍊條”一說的黑産領域簡單、高效、直接。對抗人員的情報、技術共享不易，要跨越商業的藩籬，黑産之間的共享簡直容易到可怕；第二，面對的敵人是誰，安全對抗人員其實心知肚明，但沒有找到充分證據時，黑産大佬甚至可以嚣張地打電話過來挑釁，有時好不容易追查到最後，幕後黑手卻躲到了國外，這種壓在心中的沉悶感常常讓人沮喪不已；第三，僅 DDoS 而言，黑産攻擊成本真是低到可怕，再加上遍布周身的物聯網裝置，安全專家真的很擔心，美國大斷網的事情會多次重演。

但他們不得不做，無論是出于網絡安全守衛者的初心，商業上的考慮，技術上的不斷突破還是社會責任與公衆利益。

願意正面詳聊抗擊黑産故事的人并不多。事實上，他們多有顧慮：大多數情況下不能暴露他們的真實姓名、照片，他們“端掉的”可能是黑産幾十億的生意，冒着極大的人身危險；他們配合警方辦案時不能透露案情，就算已經抓捕了嫌疑人，也要等到定罪之後才能開口。但他們能說的也有限，他們不想深聊其中的對抗技術，因為擔心對抗更新，黑産從業者變得更狡詐。

謝謝這些“匿名者”，讓我們知道網際網路背後的險惡江湖與看不見的艱難對抗。

來源：阿裡雲安全

<a href="https://mp.weixin.qq.com/s/tctFOAaoSXK5b91X1owrYA">原文連結</a>