雷锋网报道，今年世界杯期间，黑客“烈剑”的 DDoS攻击业务接单简直接到手软，而且“金主爸爸”们出手都很阔绰，这应该是他从事“中介服务”的四年中，生意更好的时候。

不差钱的金主爸爸来自几家不同的博彩网站，他们找到“烈剑”的目的很简单：用最快、最狠的DDoS攻击搞垮竞争对手的网站，把用户吸引到自己的平台上来。

云端 DDoS 黑产链

在圈内，这类金主爸爸被称为“发单人”，他们有些来自赌博、彩票和游戏私服等网站，用黑客技术手段对同行的服务器进行攻击致使其宕掉，在圈内早已是惯用伎俩。

而烈剑在圈内更像是一个中介，由于懂技术，接到金主的单后，烈剑会迅速找到技术不错的“攻击手”，这些人可以用手头现有的软件和工具来操纵肉鸡，让它们对目标网站进行模拟访问，占据其服务器的 CPU 资源，以此来把正常用户抵挡在门外。或者，直接发送大量流量攻击目标服务器，导致服务器无法访问 *** 。

在这个黑产链条中，“肉鸡商”和“出量人”也是攻击武器的重要提供者，他们手中掌握着已经搭建好的“肉鸡集群”和“流量平台网页端的服务”，在实施攻击前，这些“肉鸡商”已经利用后门程序和漏洞，获得电脑和服务器的控制权限，并植入木马，使得这些计算机变成能实施 DDoS 攻击的“肉鸡”。

而“出量人”作为拥有服务器控制权限和 *** 流量的人，能够租用专属服务器并自行配置攻击软件从而获取流量。

在利益面前，各路黑产配合默契，攻击“武器”这两年越来越先进，这也让烈剑的生意越做越大。

其实，除了处于灰色地带的一些比较边缘的网站，一些跟国计民生相关的关键基础设施也会遭到 DDoS 攻击，目前，互联网、金融、能源制造、 *** 机构等多个行业中，都面临着相似的风险。

上云后的超级DDos攻击

要说近几年越来越猖獗的 DDos 攻击，其实还要拜“上云”所赐。

正如一枚硬币的两面， *** 带宽增加后，更高速、更广泛的 *** 连接让我们的生活更加的便利，但这也为DDoS 攻击创造了极为有利的条件，以前黑客获取一个IP 后，可能对应的只是一个普通的用户，但现在获取了一个IP，他可以在拿到后门后去查属于哪个服务商，是不是整片云是不是有同样的问题。

中国电信 *** 安全产品运营中心的高级产品经理张晓华，就带来了近几年电信网内的攻击趋势图↓↓↓

张晓华回忆，在2013年的时候，大部分客户的主机还是在自己的机房里面，最多也就是在 IDC 机房，然后扯上一根 2M 的线，直接接到服务器上面，所以那时虽然也有 DDos ，但攻击量并不大。

随着近几年客户逐渐上云，接入带宽变大，配备的都是上百G的云资源池，这就出现了两点变化，一是一旦成为肉鸡，能够往外攻击的流量也会变大；二是随着能够涌入的流量增多，需要投资和配备的防护设备也需要相应升级。

这就如同你们家原来的门只是一个小门，一次最多只能同时进来两个人，要挡住坏人，简单的小防盗门就可以，由于人数少，哪些进来的是好人，哪些是坏人，也好分辨。但现在你们家的的门变成了一扇巨大的门，可以同时拥进上百个人，这时原有的防盗门就会不堪一击。

更加糟糕的情况是，随着黑产使用的各类攻击“武器”在不断升级，针对 DDos攻击的防护成本远远大于攻击成本，而且由于肉鸡的数量众多，对于攻击源的追查难度很大。

目前，出于商业竞争、打击报复和 *** 敲诈等多种因素，很多IDC托管机房、商业站点、游戏服务器、聊天 *** 等 *** 服务商长期以来一直成为DDoS攻击的目标，而随之而来出现的同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。

要想解决上百个人堵在门口，而正常用户却被挡在门外这个问题，有一个办法就是从攻击源头就开始治理，这就如同你要阻止100个人从全国各地来到你这里闹事，更好的办法不是在等他们集结好之后，在闹事地点等他们，而是在他们出发的时候，就能够识别出他们，在源头进行治理，张晓华把这称为—近源清洗，而这个平台，被称为“云堤”。

换句话说，清洗就是把正常的用户放进来，把肉鸡挡在门外，让业务可以正常进行。

于用户而言，他们可以对攻击流量无感知；于运营商而言，可以通过在攻击流量发起侧 *** 内处置掉攻击流量，提高运营商 *** 的资源利用。

为什么要搞近源清洗

抗击DDoS的方式有很多，为什么电信要选择云上做近源清理这种方式？

这还得从电信作为一家运营商所拥有的监测系统讲起。

与其他安全厂商不同，作为一家运营商，其本身就有DPI（基于应用层的流量检测和控制技术）、Netflow 监测系统、Botnet 监测系统、僵木蠕监测系统以及DNS等提供的实时信息来进行监测。

黑客无论是要干什么事情，最终还是得用运营商的 *** 的，而如果凭借早就在 *** 中布下的各类监测设备，就可以为最终的“抓捕”提供线索。

凭借电信自身的能力就可以达到监测的目的？你们不买外部的威胁情报吗？

对于雷锋网的这个问题，张晓华透露，威胁情报在整个处理过程中，其实更多的是处于一个补充的作用。

除了有识别能力，还得有处理能力，你能看出哪个是坏人，还要有把坏人撂倒的本事，重要的是还不能伤及无辜。

张晓华透露，运营商所具有的 *** 部署与路由调度能力也是他们的杀手锏之一，通过调度能力，就可以直接实现超大规模的 *** 层/应用层攻击防护，通过云化分布式清洗中心可同时协同处置区域攻击流量，这时单节点处理能力就能得到协同节点的有效补充。

据雷锋网了解，目前这个清洗中心在国内有26个，未来会逐渐云话，张坦言，虽然网撒的很大，但在应用层的防护方面，未来依然需要加强对防护策略的制定，希望最终能做到客户完全不需要自己的处理的程度。

雷锋网还注意到，即将公布的《 *** 安全等级保护条例》中，对于云上的安全也提出了更高的要求，以防DDos为例，现在的标准会要求“肉鸡”也要承担主体责任。

简单来说，你不仅要时刻注意自己有没有被 DDos攻击，还要确保自己不成为肉鸡，去攻击别人。

这些肉鸡某种程度上，如同电影《釜山行》中的丧尸，虽然你很无辜，你被别人咬了，但被咬的后果就是你马上也会成为一个攻击者，去伤害更多无辜的人。

稿源：雷锋网，作者：郭佳，封面源自 *** ；