這個世界上住得最偏遠的除了大山的子孫，還有搞黑產(chǎn)的馬仔。

“十一”假期前幾天，阿里云安全的 JX 剛接到同事郁悶的信息：“糟糕，假期回不去了?！盝X 一驚，難道這次他作為技術(shù)支持，與警方一起深入虎穴打擊黑產(chǎn)團伙出了什么意外？

“不是不是，這個搞 DDoS 的團伙藏得也挺深的，這么偏遠的地方，我先坐了馬車，再坐了汽車，等我到了火車站，沒票了！”同事說。

JX 只能安慰同事，建議他假期到處逛逛，接力回家。

JX 所在的團隊，是被云安全全面武裝的網(wǎng)絡(luò)安全技術(shù)團隊，應(yīng)用阿里云全網(wǎng)安全態(tài)勢感知系統(tǒng)等云安全分析工具，與警方對接、合作，只為一件事：打擊灰黑產(chǎn)業(yè)鏈。

注：配合警方打擊黑產(chǎn)，風(fēng)險很大，JX、MQ為兩位受訪者化名，應(yīng)受訪者要求，雷鋒網(wǎng)編輯沒有拍攝兩人照片。

20年前：不聯(lián)合打擊黑產(chǎn)，就要完蛋了

9 月 27 日，阿里云棲峰會召開前期，阿里云在北京召開了一場發(fā)布會，發(fā)布首個企業(yè)云安全架構(gòu)，以及《2017阿里云安全白皮書》。在發(fā)布會上，阿里云稱其每天成功抵御了 16 億次攻擊，遭遇最多的是 DDoS 攻擊。

與其他在線上與黑客斗智斗勇的安全研究員同事不同的是，他們不僅要在線上構(gòu)筑防衛(wèi)城墻，還要在警方破案時，利用云安全能力追尋黑產(chǎn)的蛛絲馬跡，必要時配合警方抓捕黑產(chǎn)團伙。

親手促成打掉黑產(chǎn)團伙，是他們最痛快的事。

JX坐在雷鋒網(wǎng)編輯面前，依然記得 20 年前進入 IDC 行業(yè)時，不少客戶遭遇 DDoS 攻擊時無助的場景。

“那時候，無論是客戶遇到攻擊，還是IDC遇到攻擊，都特別無助，唯一的辦法就是勸客戶換機器，甚至換服務(wù)商，因為IDC扛不住，還會影響其他客戶?！盝X回憶起 20 年前的場景。那時，JX所在公司的老板還焦急地給總理寫了一封信：“不聯(lián)合打擊黑產(chǎn)，我們互聯(lián)網(wǎng)就要完蛋了?！?/p>

但是，當時即使帶著所有的網(wǎng)絡(luò)日志和數(shù)據(jù)找警方報案，依然很難解決問題，因為警方也覺得為難——沒有辦法抓到這個黑產(chǎn)團伙?！懊髅髦绬栴}，大家卻無能為力，隱藏在網(wǎng)上的黑客攻擊，你只能默默承受?！盝X說。

老虎身上拔毛

從 IDC 到云計算，來自于黑產(chǎn)團伙的攻擊仍然是困擾 JX 和整個社會的問題。但與 20 年前不一樣的是，云上的數(shù)據(jù)分析能力更加強大，通過對大量黑產(chǎn)樣本模型進行學(xué)習(xí)提升，可以對黑產(chǎn)案件進行智能關(guān)聯(lián)，圈出嫌疑犯，并給出關(guān)鍵線索。

這么一來，隱密在互聯(lián)網(wǎng)中的黑客終將被其繩之以法。

目前，阿里云在集中火力解決的主要是這三類黑產(chǎn)攻擊：

第一，大量 DDoS 攻擊。

2017年 8 月，阿里云共攔截 300 Gbps以上的攻擊數(shù)百次，不僅漲幅巨大，而且達到了歷史新高。約  70 %的被 DDoS 攻擊客戶來自網(wǎng)站和游戲。其中，小流量的 DDoS 攻擊在減少，大流量的 DDoS 攻擊卻持續(xù)增長，尤其是 400 G以上的 DDoS 攻擊。

大流量的 DDoS 攻擊通常并非散戶或小型黑客組織所為，而是來自財大氣粗的大型黑客組織。

第二，釣魚、欺詐、掛馬鏈接緊緊盯上用戶，一個漏洞不處理，就可能被黑客盯上、利用上，成為黑客工具隱密所在，成為攻擊工具、成為被欺詐對象，成為被釣魚對象。

第三，防止黑產(chǎn)鉆空子。

阿里云進軍海外市場時，采取的營銷方式之一是“先使用后付費”。如果不幸被不良黑產(chǎn)盯上，購買了大量服務(wù)，一個月后要付款時，人去樓空，則會帶來巨大的損失。與銀行不斷完善的風(fēng)控體系一樣，這些挑戰(zhàn)讓阿里云開始思考新的業(yè)務(wù)風(fēng)控模式。

追蹤黑產(chǎn)路徑，反擊

今年 4 月以來，阿里云配合警方打掉了 10 多起 DDoS 案件。   

當一次大規(guī)模 DDoS 攻擊發(fā)生后，如果警方接到報案聯(lián)系了這些安全研究員，他們會在警方提供的樣本中找到木馬，分析攻擊手段，并將樣本與態(tài)勢感知平臺進行比對，如果是新木馬，安全研究員將樣本納入態(tài)勢感知系統(tǒng)進行系統(tǒng)自學(xué)習(xí)，并由系統(tǒng)給出木馬網(wǎng)上軌跡。 

在這些案件中，線下技術(shù)團隊要做的就是進行網(wǎng)上黑客行為追蹤溯源，面對層層代理抽絲剝繭，找到中控，中控有可能是 IP、域名，如果是域名，找到域名所有者，如果是 IP，找到 IP 所有者。

隨后，警方再從這個 IP 繼續(xù)找出線下的始作俑者。

當然，這個“始作俑者”依然可能有假，警方和技術(shù)人員必須從零零散散的數(shù)據(jù)中，拼湊出終極真相。

今年上半年，阿里云安全團隊遇到的大型 DDoS  攻擊和 8 月顯示的數(shù)據(jù)類似，大部分受害者是新興游戲公司，剛剛要做起來，馬上要推廣時就遭遇了滅頂之災(zāi)。

“大多數(shù)攻擊與競爭相關(guān)的，友商選擇黑客攻擊原因在于成本低，不易發(fā)現(xiàn)。但是被攻擊流量很大，最高峰值達到 694 G，對于被攻擊者，面對這么大流量攻擊基本上業(yè)務(wù)中斷，才積聚的用戶、人氣一下就沒了，其損失慘重，經(jīng)歷幾次這樣的攻擊，一個公司很可能就會一蹶不振，甚至倒閉，每年因為攻擊倒閉的新公司不在少數(shù)?！盡Q說。

針對釣魚掛馬類黑產(chǎn)，安全研究人員會如同對待搜索引擎一樣，進行關(guān)鍵詞、圖像、音視頻及頁面結(jié)構(gòu)檢測，運用安全大數(shù)據(jù)分析手段抓住這些釣魚網(wǎng)站及木馬鏈接，協(xié)同用戶進行刪除。

敢在老虎身上拔毛的則是這樣的黑產(chǎn)：挖礦者。

今年，比特幣眼瞅著從 1 萬元的幣值漲到 2 萬元，黑產(chǎn)從業(yè)者瞄上了互聯(lián)網(wǎng)上應(yīng)用的各種漏洞，試圖利用業(yè)務(wù)漏洞去進行挖礦、加密勒索。還有人會鉆平臺營銷策略漏洞，如先購買、使用，后結(jié)算類，就會有人搞虛假身份，使了就跑，給平臺帶來損失，更有甚者，利用這些資源作為黑客攻擊跳板機，打一槍換一炮，讓黑客在網(wǎng)上的行為軌跡更加撲簌迷離。

一旦發(fā)現(xiàn)這個用戶存在此類風(fēng)險，系統(tǒng)會進行嚴格的信用考評乃至問題回訪，以進行多次用戶身份確認與核實。比如，信用卡可能會進行先扣一塊錢或幾毛錢，驗證信用卡有效性以及用戶真實性。

云安全帶來的改變在于，讓互聯(lián)網(wǎng)安全從嚴防死守到主動出擊，JX 認為，這對囂張的黑產(chǎn)而言，是一種威懾，但黑產(chǎn)的攻勢之猛，安全團隊的責任之大，時常還是讓他們感到憂慮。

第一，配合警方抓捕黑產(chǎn)從業(yè)者時，有很多年輕人參與其中，根本不知道干這個事是犯法的，他們以為自己只不過在網(wǎng)上動了動手而已。

“當你抓到他，稱這樣是侵犯了別人的計算機系統(tǒng)，是違反刑法的，他根本不敢相信，我怎么可能違反刑法？”JX痛心疾首，每年7、8月 DDoS 攻擊尤其多，因此她和同事要聯(lián)合警方，走到高校，聯(lián)合編撰安全教材，進行宣傳，讓更多的年輕人知法懂法，還要懂得基礎(chǔ)網(wǎng)絡(luò)安全知識，不要被黑客組織以小利引誘，釀成大禍。

第二，數(shù)據(jù)資產(chǎn)類敲詐已經(jīng)成為新熱點，因為變現(xiàn)容易，洗錢來無影去無蹤，電信欺詐、攻擊連續(xù)性類型依然泛濫。數(shù)據(jù)對于企業(yè)而言是重要的資源，如果這樣的資源被人占有了，企業(yè)很可能轟然倒下，無法重新開始。

MQ 感慨，誠如此前所說，發(fā)動一場 DDoS 攻擊很簡單。在這個萬物互聯(lián)的時代，當一個普通的攝像頭都可能被利用成為攻擊工具時，是很恐怖的事情。

第三，追蹤黑產(chǎn)鏈條，最后發(fā)現(xiàn)金主不在國內(nèi)，這類案件只能抓到攻擊手，如果往下抓，就會遇到法律問題。怎么用中國法律定海外人員的罪？有些事情超出了今天的技術(shù)高度，技術(shù)專家無法解決，只能依靠政府推動全球打擊網(wǎng)絡(luò)黑客合作。

與雷鋒網(wǎng)聊完后，從杭州來到北京的 JX  和 MQ 繼續(xù)奔往下一個地點，這個國慶假期只是更忙碌緊張的一個備戰(zhàn)期。對這些抗擊黑產(chǎn)的守衛(wèi)者而言，網(wǎng)絡(luò)安全永遠“在路上”。

編者手記

我接觸過一些抗擊黑產(chǎn)的技術(shù)專家，阿里云的安全研究人員是其中之一。

讓我印象深刻的是，受訪者們總會提到一句話：“道高一尺，魔高一丈”。黑產(chǎn)對抗，如影隨形。其實，我覺得，他們想強調(diào)的是后者，而拼命地促成前者。

打擊黑產(chǎn)實在是太難了。

我總得到這么幾個訊息：第一，黑產(chǎn)分工明確，形成了產(chǎn)業(yè)鏈條的分工明晰，行動迅速，沒有“鏈條”一說的黑產(chǎn)領(lǐng)域簡單、高效、直接。對抗人員的情報、技術(shù)共享不易，要跨越商業(yè)的藩籬，黑產(chǎn)之間的共享簡直容易到可怕；第二，面對的敵人是誰，安全對抗人員其實心知肚明，但沒有找到充分證據(jù)時，黑產(chǎn)大佬甚至可以囂張地打電話過來挑釁，有時好不容易追查到最后，幕后黑手卻躲到了國外，這種壓在心中的沉悶感常常讓人沮喪不已；第三，僅 DDoS 而言，黑產(chǎn)攻擊成本真是低到可怕，再加上遍布周身的物聯(lián)網(wǎng)設(shè)備，安全專家真的很擔心，美國大斷網(wǎng)的事情會多次重演。

但他們不得不做，無論是出于網(wǎng)絡(luò)安全守衛(wèi)者的初心，商業(yè)上的考慮，技術(shù)上的不斷突破還是社會責任與公眾利益。

愿意正面詳聊抗擊黑產(chǎn)故事的人并不多。事實上，他們多有顧慮：大多數(shù)情況下不能暴露他們的真實姓名、照片，他們“端掉的”可能是黑產(chǎn)幾十億的生意，冒著極大的人身危險；他們配合警方辦案時不能透露案情，就算已經(jīng)抓捕了嫌疑人，也要等到定罪之后才能開口。但他們能說的也有限，他們不想深聊其中的對抗技術(shù)，因為擔心對抗升級，黑產(chǎn)從業(yè)者變得更狡詐。

謝謝這些“匿名者”，讓我們知道互聯(lián)網(wǎng)背后的險惡江湖與看不見的艱難對抗。

雷鋒網(wǎng)宅客頻道（微信ID：letshome）將持續(xù)記錄與黑產(chǎn)對抗有關(guān)的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。