第四届CSS峰会Day 2，一起听腾讯大佬聊DDoS黑产

人工智能、云计算、大数据等新技术，深刻地影响着互联网世界。在此背景下，网络安全面临的威胁也在不断变化升级。腾讯云副总裁黎巍也在第四届CSS互联网安全领袖峰会上提到，安全早已超越了技术的范畴，与整个产业的变化息息相关。
有这么一种攻击技术，最早可追溯到1996年，基本可以算是互联网黑产界的活化石了。这种古老的攻击方式经过近二十年的演变沿用至今，成本低、效果好，甚至在2018上半年刷新了攻击流量记录……

CSS第二天的云安全分论坛上，腾讯安全云鼎实验室威胁情报研究员宋兵为我们带来了他的分享——2018 DDoS新趋势。宋兵认为，DDoS已经由分工明确的长链条黑产方式向自动化、平台化、高度的集成化转变，攻击平台的下单自动化和攻击自动化让企业防不胜防。

DDoS攻击流量峰值每年都不断地被超越，今年上半年的一起Memcached DDoS攻击，其峰值1.7 Tbps达到了一个新的高度。
攻击流量峰值1.7 Tbps；
5万的反射放大倍数；
少量反射源，达到大流量攻击；
反射源主要分布中国、美国、欧洲 ；
已普遍被DDoS黑产平台集成。
宋兵在演讲中表示，随着各行各业的互联网化，DDoS的攻击面也越来越多。游戏行业因其日流水量最大、变现快，一直站在利益的风口浪尖上，当仁不让地成为 DDoS 首选的攻击目标，也是2018上半年各行业中遭受攻击最多的行业。值得关注的是在医疗、物联网、教育等传统行业互联网化后，也遭受到了不同程度的攻击，且呈上升的趋势。

据统计，2018年最流行的DDoS攻击方式包括反射放大攻击、SYN Flood和HTTP Flood。按攻击次数统计的话，主要的攻击流量区间在5G以内，其占比超过一半以上。但在流量区间占比分布基础上进行攻击类型的对应分类，则比较难以区分，存在很多交叉现象。
流量情况
主要的攻击流量区间在5G以内；
超过百G的攻击累计占总攻击次数不到5%；
超过百G的100-200 Gbps占比最大。
匹配情况
百G流量主要以反射放大为主；
单一类型攻击向组合攻击转变。
讲到关键的DDoS黑产部分，宋兵提到传统攻击有7个环节，而当前最新的页端攻击则方便的多。攻击环节多就容易出问题，比如说金主或者买家首先需要找到一些DDoS的群或者网上的论坛发，通过中间人再去寻找攻击手，这样相当于三个环节。那么真正发起攻击是接下来几个小时，甚至一天后，周期明显较长。
而页端攻击平台就方便多了，并且站长也不需要参与DDoS攻击的行列。金主或者攻击手到相关网站进行注册，购买DDoS服务直接搞定，剩下的都会通过自动化的API去实现，200-500块钱就能打出一个很大的流量攻击。
美其名曰“压力测试”，搜一搜有惊喜……

最关键的是，页端DDoS攻击网站通过发卡平台把信任环节真正的建立了起来。据宋兵的介绍，发卡平台不光DDoS在用，很多其他黑灰色的产业也在用。在他们的研究过程中发现，色情、诈骗、博彩都依赖发卡平台完成交易，可见当前环境下，黑产链条的分工之细、耦合之深。
此外，宋兵还在会上介绍了DDoS溯源归类分析的案例。将攻击打法类似、攻击源相似、攻击频率时长相似的流量进行聚合，往往会得到意想不到的效果和收获。笔者了解到，今年早些时候腾讯安全团队就曾通过溯源归类分析成功协助深圳网警调查取证，最终锁定幕后黑手“暗夜攻击小组”。