如何看待墙国的网络DDoS攻击产业链 发展的愈演愈烈？

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

品葱用户 鸥鹭茫茫 提问于 10/20/2020

先从贴近大众生活的游戏说起。

从2017年开始，游戏里的“炸服狗”炸服的现象一直没有停止过，反而越演越烈**。**

甚至V社在国内的Steam官方节点，都曾一度遭受DDoS攻击而崩溃。

事实上，这种破事在CS1.6同样并不少见。

例子如在求生之路这块，没人知道这些整天炸服的人到底是谁，其中的利益勾结究竟有多深。

更不用说，还有一种可能性就是“炸服狗”心理扭曲，就喜欢没事炸着玩，恶心别人取悦自己。

普通玩家对此毫无办法，只能感叹一句“炸服狗没有妈妈”。

**更有的，服主与服主间互相猜忌，大家看谁都像是“炸服狗”，硬生生演变成末世题材攻防演练。
**
就在最近，求生之路吧有个老哥因为开服遭攻击，认定了某对方服主就是炸服狗，于是组织反击力量攻坚。结果遭遇了网警的降维打击，被请去喝茶。

**这一个本就没剩下多少玩家的老游戏，就因为有利可图，结果被一群“网络黑社会”盯上了。
**
游戏生态遭遇毁灭性打击，直到榨干最后一丝价值。

然而没有人能救他，这是最令人心疼的。

而据新京报调查披露，目前黑市上仍有大量通过此类网络DDoS攻击牟取利益的黑客团伙。

DDoS产业链示意图来自于云鼎实验室与FREEBUF发布的《深渊背后的真相之[DDoS威胁与黑灰产业调查报告]》

腾讯曾发布报告称，在这条黑色产业链中，相关从业人员或已达到38万余人，涉及6000多个大大小小的黑产团伙，年产值可能超过100亿人民币，DDoS攻击已经进入“产业化”时代。

在黑灰产交易平台中，网络攻击成为了明码标价的“商品”，不少雇主直接发布想要攻击的网站地址或APP名称，雇佣黑客攻击，导致目标无法访问，服务瘫痪。根据目标网站的安全防御力不同，攻击的价格也有所不同。进行攻击的黑客、为黑客供应“弹药”的流量提供方、用来测试攻击力的“墙”、同业竞争的雇主等。

接非法网站、私服、博彩、棋牌App，DDoS攻击服务，帮你打击竞争对手”、“网址XXX，能打的私聊”……

DDoS攻击的原理是攻击者控制多台机器在同一时间集中访问一个IP地址，造成访问流量飙升，最终导致该地址网页无法打开，服务崩溃，其原理类似于一家餐厅突然涌入了极多“霸王客”导致正常顾客无法进入。

记者联系到一名提供DDoS攻击服务的黑客，对方表示要先看目标网站的IP地址，才能给出攻击报价。记者给出某小型非法网站地址，对方表示该网站“之前打过，有6个CDN（内容分发网络，可以降低网络堵塞，一定程度上抵抗攻击），一个IP打10分钟，大概30分钟就能打死（瘫痪），价格1000元，从现在到晚上十点。”照此计算，只要支付1000元，就可以让目标网站瘫痪9个小时。

针对攻击目标网络防护能力的不同，攻击的成本也不一样，“最低档的话基本上是200元打一次，一般有一点防御的小网站是1000到2000元打一次，价格波动很大。”

而对于把服务放在云服务器中或者防护更好的网站，则需要流量更大、攻击力更高的DDoS攻击。

在2017年基本上一名黑客若能做到每秒450G峰值攻击力的DDoS攻击，一个小时的成本大概为1000元左右，攻击的目的可能是只把网站打瘫痪一次，之后进行勒索，也可能是受雇于人持续攻击扰乱网站的正常服务。”

勒索那就是交保护费，乖乖买他们所谓的“高防”服务器。就和举报资源导致下架再恶意贩卖一样。

根据公开报道，去年台州某智能科技公司，陆续接到不少游戏玩家投诉，反映在玩游戏时出现频频掉线等状况，后证实遭到了黑客DDoS攻击，这些攻击让用户无法登录，造成大量用户流失，仅一台服务器上受影响的注册用户人数就有近2万人。为了应对攻击，公司专门花费5万多元购买DDoS防护包，但效果并不显著。最终案破披露，发现其以300元的价格从雇主处接单，并租用了一台中控服务器，抓“肉鸡”（即被非法控制的计算机信息系统，可以为攻击提供流量），使用DDoS攻击技术攻击了该公司的服务器。

**黑产分工明确
**有人提供“弹药”黑客负责攻击

目前黑市中DDoS攻击已经形成了分工明确的上下游产业链：处在产业链上游的是各类DDoS攻击软件卖家，他们为“傻瓜式”网络攻击提供了工具，降低了黑客的入门门槛；

处在产业链中游的是流量提供方，这些流量提供者或是拥有自己的专业机房，可以提供稳定的带宽，或是拥有大量“肉鸡”，可以为DDoS攻击提供充足的“弹药”；产业链下游的则是执行攻击的黑客本人。

此外，还有一些具有抗DDoS攻击的公司主动参与了DDoS攻击，他们的作用是提供测试DDoS攻击力的“墙”，以方便雇主验证黑客的攻击实力，也成为了网络攻击黑产的一环。

其中，黑客最重要的上游当属流量提供方，从2016年温榆河公布的案例显示，曾有被告人通过木马程序控制了68台计算机，并将被控制计算机的流量出租给黑客进行DDoS攻击并从中牟利，1G流量一天获利100元，5个月间获利3万余元，被告人供述自己只负责抓“肉鸡”，并不负责攻击任何服务器和网站。但显然该被告人也属于DDoS攻击黑产产业链的链条之一。

《威胁报告》显示，中木马的个人电脑是黑客最大的肉鸡来源，占比46%。

有不少黑客在平台中高调“收流量”，当有流量方表示以50元1G的价格出售流量时，立刻有黑客表示“全都收”，此外也有黑客表示真正有实力的人都是“自己买机房”。

除买卖流量外，黑灰产平台中还活跃着不少提供DDoS攻击脚本、软件的卖家，熟悉黑产的人士“战神”对记者表示，许多老的攻击脚本到现在仍然可以卖出不少钱，但真正前沿的DDoS攻击技术目前还主要从国外传入，如果一名黑客可以做到300到500G的持续攻击，一个月至少需要几万元成本。

谁易被攻击？

游戏、电商位居前两名 主要是恶性竞争

而在攻击目标上，大部分黑客表示乐意攻击非法网站。这主要是因为这类“黑吃黑”的攻击发生后，被攻击者一般不会报案，只能吃哑巴亏，而腾讯、百度、阿里等大型互联网公司则是这些黑客们普遍不乐意攻击的对象，因为“难度过高，风险较大”。

根据《威胁报告》，在DDoS攻击的行业分布中，游戏行业占42%，是最易受DDoS攻击的对象，电子商务和网络服务行业分别占15%和14%，位居二三位。而游戏行业中，近半数遭到攻击的对象为手游APP。

不过，记者访谈时发现，由于手游APP无法像页游一样直观的显示出所在IP，所以往往需要使用一些技术手段先检测出IP所在地再进行攻击，因此不少黑客在收到攻击APP的需求时往往要求雇主先给出IP地址，“自己检测IP太麻烦了，你直接给我地址我才能给你报价。”

《威胁报告》称，在DDoS攻击的目的方面，打击竞争对手、向互联网企业收取“保护费”勒索以及向玩家出售“炸房挂”、“掉线挂”是最主要的三类收益来源，其中，超过80%的黑客发动DDoS攻击的动机源于恶意竞争。

DDoS攻击的打击难题：

取证难

有负责日常管理的，有专门收购攻击流量和‘测墙’的，有分析IP和操控‘肉鸡’攻击的，有负责软件调试和电脑维护的，有负责转账洗钱的，还有负责后勤服务的。所有这些人在DDoS攻击中起到的作用各不相同，有一些人甚至相互都不认识。”

需国际合作

《威胁报告》显示，2019年DDoS攻击次数相较于2018年出现小幅回落趋势，但大流量攻击依然突出；海外DDoS威胁大幅增长，2019年，海外攻击占比达到15%，相较于2018年几乎翻倍。打击DDoS攻击很难，因为“国内运营商要配合中国公安，可溯源放大攻击必须要国外运营商配合，国外运营商不太可能完全配合中国公安。”

有游戏行业从业者认为

相对于黑客行为造成的破坏，判一至二年的结果“非常轻”，“服务器崩溃会直接影响用户体验，一些黑客专门挑在线人数最多的时候攻击，造成用户无法登录，最后导致用户流失，这给我们造成的损失无法估量。”

对比美国**，**的确不一样。被勒索那个如果给钱，都可能被处罚。

来源：（墙内网站慎点↓）

知乎——网络黑社会是怎么榨干《求生之路》最后一丝价值的？
https://zhuanlan.zhihu.com/p/89589806

网易——游戏为什么老掉线？网络攻击黑产：一千元瘫痪网站9小时
https://gov.163.com/20/0423/18/FATTIT6P002399RB.html

品葱用户 恶俗克星张祥如 评论于

我爆破了恶俗，，，可以想象接下来桂枝将进入全民恶俗的时代，人人刚出生就拥有一座网络灵堂

品葱用户 Chauchat 评论于

我最想问各位技术大佬的问题：如何知道自己的设备有没有成为肉鸡？

品葱用户 习包子总皇帝 评论于 2020-10-20

支忽那个“游戏为什么老掉线？”

真想回答：
因为你国GFW一直干扰国际通信。
至于国内的那些杂鱼怎么能配得上“游戏”两个字？

DDOS攻击，有不少就是共匪干的。
以下内容来源于维基百科中文网，链接放心点击。
源地址： 大炮 (网络攻击工具)

针对Github
2015年3月26日至31日借由旁观者攻击（英语：Man-on-the-side attack）技术对GitHub发起的网络攻击，被认为是大炮的第一次重要应用。

第三方研究者指出，此次攻击采用了HTTP劫持，百度的JS脚本文件被中间人植入了攻击GitHub的代码，其功能是每隔2秒加载一次GreatFire或纽约时报中文网的账号主页。[9]百度已否认自身产品存在安全问题。[10]。这次攻击导致GitHub在全球范围内的访问速度下降。[11]外界普遍相信这是中国政府所为，但中国政府予以否认。[12] [13] 3月28日（UTC+8）起，GitHub在中国大陆十分不稳定，多数情况下无法访问。[14]截止29日，攻击者共使用了四种DDoS攻击技术：

1. 第一轮，利用中国大陆以外的网民与翻墙的网民浏览被劫持的百度JavaScript文件，该文件每2秒向GitHub上的两个页面发出请求，被GitHub的弹窗警告拦住；
2. 第二轮，跨网域攻击，被GitHub检查Referer拦住；
3. 第三轮，DDoS攻击GitHub Pages；
4. 第四轮，SYN flood，利用TCP缺陷发送大批伪造的TCP连线请求，耗尽GitHub的资源。[15]

根据系统状态消息页面的显示，已于3月31日停止了网络攻击，该日凌晨0:09（UTC）已经稳定。GitHub在其Twitter与微博予以了证实。至此，此网络攻击共持续了五天。

其他
2015年4月26日，大炮对开放源代码网站wpkg.org与旅游网站ptraveler.com发动了攻击，凡是用中国IP浏览嵌入了Facebook Connect按钮脚本的网站，皆会被重定向至这两个网站。[16][需要更好来源][17]

2017年8月16日，大炮被发现攻击曾经邀请中国海外流亡富豪郭文贵做访谈的异议新闻站点明镜网，大炮通过对百度站长统计的脚本代码注入攻击明镜网的代码。 [18][19][20][需要非第一手来源][21][需要非第一手来源]

2019年11月25日，新品葱遭到来自中国大陆的DDoS攻击，导致约十小时左右无法访问，随后恢复正常。

2019年12月初，美国网络服务提供商AT&T公司下属的网络安全实验室发表研究报告指出，自11月25日起，“大炮”被重新部署以攻击被认为与香港反对逃犯条例修订草案运动有关的网络论坛LIHKG论坛及多个其它意义不明的网络目标。该报道亦提及，早在8月31日，“大炮”就曾对LIHKG讨论区发起攻击。而有关程序代码与2017年明镜新闻网所受攻击中的代码极为相似。[22]

品葱用户 阿斯妙特灵 评论于 2020-10-19

我还以为是因为小鬼由于得到了迫真一键ddos工具而觉得自己拿到了大杀器开始疯狂输出谁知只攻击了五分钟就因为对方启动了cloudflare 防护机制导致迅速车软对方毫无笋丝的案例层出不穷呢。。。。

点击品葱原文参与讨论

最简单好用的 VPS,没有之一，注册立得 100 美金