2
百度搜索競價排名,滋養的最大產業可能并不是莆田醫院,而是很多三不管地帶,例如某些小眾行業。誰的關鍵詞排在第一,他的競爭對手很可能會雇傭 DDoS 把它打下來。這種生意組成了巨大的流量。
道哥把腳搭在茶幾上,為雷鋒網科普江湖的險惡。
【道哥 吳翰清】
這個資深黑客擁有諸多身份:寫“道哥的黑板報”的“文藝網紅”;阿里云云盾的負責人。在他心里,第一個身份輕如鴻毛,第二個身份重若泰山。
保衛阿里云這個中國 35% 的網站都坐落其上的云計算平臺和上面的居民,道哥覺得自己守土有責,不容有失。探底黑產,描繪自己的作戰地圖,是他對自己職責要求的一部分。
他告訴雷鋒網一個秘訣:“想要知道中國的黑產有哪些行業,只要看淘寶的禁限售板塊就夠了。”DDoS攻擊,敲詐勒索,暗網黑市,這些黑色產業,往往最終都會涉及到對阿里云上服務器的攻擊。
站在他的角度看,這個世界充滿血雨腥風。
我們定義一個大的流量攻擊,一般是300G以上。實際上根據我們掌握的信息,國內已經有組織可以打出一個T的 DDoS 攻擊。而且,其中80%都是由同一個組織打出來的。這些組織的實際控制人大多都潛逃在國外。
驅動這些攻擊的原因非常簡單:錢。有人買就有人賣。道哥告訴雷鋒網,如今打出 10G 流量攻擊,只需要幾百塊錢。
DDoS 攻擊這個行業,最為經典的玩法是攻擊游戲私服。由于私服本身具有違法性質,所以并不敢求助于警察,黑吃黑是行業的通則。2013年中國國家頂級域名“.cn”的根域名曾經被打攤,這件轟動一時的事件就是因為黑產攻擊誤傷了底層服務器。
掌握巨大帶寬資源的黑客組織兩邊賺錢,一邊收人錢財替人攻擊,一邊敲詐被攻擊者謀取更高利益。他們甚至勾結 IDC 機房,花錢買下機房所有的閑置帶寬,生意規模超出一般人的想象。
很不幸,所有拿熱錢的行業,都會被黑客盯上。P2P和互聯網金融就是本輪中槍的行業。
因為金融行業信譽非常重要,如果服務宕機,就很有可能喪失用戶的信任,從而遭受擠兌,這可能會導致破產。恰恰這個行業沒有很強的監管,有些涉及到私募或非法集資。這些都是黑客勒索的絕佳條件。
道哥講了黑產的兩種玩法
1、入侵 P2P 公司的服務器,盜取用戶的信息。把這些高價值的客戶信息出售,由下家進行廣告和黑色推廣。
2、威脅 DDoS 攻擊,敲詐勒索。如果妥協掏錢,過一段時間對方往往還會回來繼續勒索。
搞清黑客的目的,對于防御至關重要。“根據判斷,下一個被黑產盯上的行業很有可能是直播行業。從現在的情況來看,這件事情已經發生了。”他說。
【某英文 DDoS 敲詐信】
作為云計算的信徒,道哥相信這種正在迅速攻城略地的計算變革,從某種程度上來說是安全的解藥。他舉了一個例子:
我曾經到網絡金融處參觀,他們的職能是監管各個銀行。在巨大的屏幕上,他們能夠實時監控各個系統有沒有出現漏洞。但是,他們只能看到,卻無法迅速修補。因為它對應的1000多個業務主體,各自的系統模式都是不一樣的。
但是如果使用云計算作為基礎,就可以統一 Iaas 層,在很短的時間里修復漏洞。
今年上半年,云盾為云上的幾萬個客戶共修復了46萬個漏洞。這個成績讓道哥頗為驕傲,他說在以前這不可想象。
縱然背靠阿里云,在和黑產的對抗中,防守一方也并不占優勢。他說:
很遺憾,攻擊者仍然走在前面。因為我我們還不能預測黑客下一步的動向。
這直接導致了安全產品必須被動地等待攻擊發生,才可以采取“救火”行動。對于云盾來說,從黑客暴露攻擊意圖,到攻擊被封堵,仍然有12個小時的周期。
黑產控制的互聯網攻擊如同疫情一樣,大多數情況下,被感染的主機都會繼續向周圍傳播惡意代碼。而面對以“光速”傳播的病毒,每一秒都至關重要。
2015年12月,有數千個客戶的云服務器對外瘋狂發包。云盾緊急處置,發現黑客正在使用了一個弱口令漏洞傳播惡意代碼。“幸虧這個漏洞在12個小時之內被修復,如果響應時間是24或48小時,就會造成更大的損失。”他說。
如果把互聯網的攻防簡化到一張地圖上,你可以看到無數漂浮于云上的節點,黑產和安全人員拼盡全力爭奪這些節點。
在如瘟疫一般擴散的惡意代碼眼里,沒有大企業和小企業,只有能夠攻下的服務器和不能攻下的服務器。
現在幾乎所有的安全公司都在服務頂端 3% 的大客戶,因為他們有充足的資源雇傭各種特種兵。但是很多并沒有很多安全預算的中小企業的死活卻沒人關心。
道哥覺得,云盾應該為中小企業提供安全感。實際上物美價廉的解決方案只有一種,那就是不需要耗費過多人工成本的軟件服務平臺(SaaS),所謂優質的標準品。
接下來的問題就變成了:怎樣才能做出這樣的一個平臺。
一個優秀的安全人員,可以通過分析網絡日志,找出服務器被進攻的蛛絲馬跡,在黑產攻防版圖上拔掉敵人的一個據點。
但是對于道哥的云盾來說,它面對著數以十萬計的云服務器,人工排查根本不是他的選項之一。如何把機器訓練成為安全專家才是解題方法。
一支火箭想要上天,其核心要素有兩個:發動機和燃料。機器學習很像一枚火箭,它的燃料是巨大的數據量,它的發動機是強大的計算能力。
對于阿里云云盾來說,每天的增量數據是 300T,來自于阿里云客戶授權的全量數據。而計算資源,本身就是阿里云的巨大優勢。
結果是,云盾通過純系統計算的方式,可以感知到80%的入侵。道哥說,這個指標是同類系統的三倍。(其中的技術細節,可以參考雷鋒網的另一篇文章《阿里云云盾葉敏:打造“機械戰警”》)
這個檢出率在某種程度上和人工檢查不相上下,道哥給出了一個場景:
如果一個客戶上傳了一個 Webshell,如果安全專家分析全量的數據,可能要一周時間,現實情況中,往往不會這樣做。他們往往根據經驗,而不是完整的證據鏈條來判斷入侵。這種情況下就會出現失誤。而對于機器來說,它會分析全量數據,呈現出完整的證據鏈條。這樣的結果更加精準。
在成本和量級上,云盾和人工沒有可比性。客觀來講,道哥在做的事情,離開阿里云很難復現。
由于云計算服務商被政策強制要求保留六個月以上的歷史紀錄,所以在云盾的大數據中,可以查詢任何一個IP在過去半年的行為。基于此,可以做出更多的關聯分析,例如:兩次攻擊事件之間的關系,一個黑產組織在盯著哪些服務器等等。
如果說由各路黑客大神領軍的安全實驗室是特種兵的話,云盾更像是一支常備部隊,保衛阿里云安全的基本態勢。
道哥自信地對雷鋒網說,云盾面前并沒有明顯的技術困難。但是,鑒于阿里云只掌握了三分之一的云計算基礎資源,所以仍然有很多攻擊脫離阿里云的控制。在這種情況下,可用數據可能僅僅是一個 IP 的行為,在有限的數據下,如何利用計算能力,就成為了一個重點。
說來,很多人認識道哥,是因為喜歡他寫的“黑板報”。
道哥的黑板報”最早確實給我帶來了一些聲望。但我不是個作家。我希望的是做出一個好產品,讓產品代表我。
道哥如此解釋荒廢了自己在黑客界“估值頗高”的公眾號的原因。但是,這位黑客并不是生來就如此“任性”。
他為雷鋒網講了一段阿里云掌門人王堅的往事。
當時所有人都謠傳王堅博士要離開。
“糟糕”,是對阿里云最初兩年業績最廣泛的評價。作為阿里云的掌門人,王堅目睹兄弟部門已經磨刀霍霍,單等阿里云解散之后,瓜分兵馬糧草。
【原阿里云掌門人,現阿里巴巴集團技術委員會主席王堅】
縱然相信云計算未來一定會崛起,但是在遙遙無期的漫長等待面前,道哥終于扛不住,辭職了。出乎意料,王堅卻沒走。
他說他數次被逼到死角,退無可退,但是他真的沒走。他不僅一直堅信云計算大有前途,還在一直不斷地投入自己的一切。馬云不懂云計算,但是最終他選擇相信博士這個人。
王堅的路上終于出現了第一個路標。阿里云用五千臺計算機連接成一個巨大的服務器,這就是5K項目。這個技術創舉一舉奠定了阿里云后來的江湖地位。
“王堅博士顛覆了我的世界觀”,道哥說,“當他邀請我回到阿里云的時候,我真正感覺到,這件事能成。”這種宗教般的使命感,讓道哥根本不在意他的“黑板報”,一腔熱血死磕云盾,才有了如上的全部對話。
回到這種使命感本身,該堅持堅持,該放棄放棄。做出選擇很簡單。
雷鋒網問道哥:“這個能代表你的產品就是阿里云云盾嗎?”
道哥答:“我希望是。”
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
專題
