黑產馬仔藏深山，我和警方坐火車、汽車加馬車一路追擊 | 專訪阿里雲安全專家

這個世界上住得最偏遠的除了大山的子孫，還有搞黑產的馬仔。

「十一」假期前幾天，阿里雲安全的 JX 剛接到同事鬱悶的信息：「糟糕，假期回不去了。」JX 一驚，難道這次他作為技術支持，與警方一起深入虎穴打擊黑產團伙出了什麼意外？

「不是不是，這個搞 DDoS 的團伙藏得也挺深的，這麼偏遠的地方，我先坐了馬車，再坐了汽車，等我到了火車站，沒票了！」同事說。

JX 只能安慰同事，建議他假期到處逛逛，接力回家。

JX 所在的團隊，是被雲安全全面武裝的網路安全技術團隊，應用阿里雲全網安全態勢感知系統等雲安全分析工具，與警方對接、合作，只為一件事：打擊灰黑產業鏈。

註：配合警方打擊黑產，風險很大，JX、MQ為兩位受訪者化名，應受訪者要求，雷鋒網編輯沒有拍攝兩人照片。

9 月 27 日，阿里雲棲峰會召開前期，阿里雲在北京召開了一場發布會，發布首個企業雲安全架構，以及《2017阿里雲安全白皮書》。在發布會上，阿里雲稱其每天成功抵禦了 16 億次攻擊，遭遇最多的是 DDoS 攻擊。

與其他在線上與黑客鬥智斗勇的安全研究員同事不同的是，他們不僅要在線上構築防衛城牆，還要在警方破案時，利用雲安全能力追尋黑產的蛛絲馬跡，必要時配合警方抓捕黑產團伙。

親手促成打掉黑產團伙，是他們最痛快的事。

JX坐在雷鋒網編輯面前，依然記得 20 年前進入 IDC 行業時，不少客戶遭遇 DDoS 攻擊時無助的場景。

「那時候，無論是客戶遇到攻擊，還是IDC遇到攻擊，都特別無助，唯一的辦法就是勸客戶換機器，甚至換服務商，因為IDC扛不住，還會影響其他客戶。」JX回憶起 20 年前的場景。那時，JX所在公司的老闆還焦急地給總理寫了一封信：「不聯合打擊黑產，我們互聯網就要完蛋了。」

但是，當時即使帶著所有的網路日誌和數據找警方報案，依然很難解決問題，因為警方也覺得為難——沒有辦法抓到這個黑產團伙。「明明知道問題，大家卻無能為力，隱藏在網上的黑客攻擊，你只能默默承受。」JX說。

從 IDC 到雲計算，來自於黑產團伙的攻擊仍然是困擾 JX 和整個社會的問題。但與 20 年前不一樣的是，雲上的數據分析能力更加強大，通過對大量黑產樣本模型進行學習提升，可以對黑產案件進行智能關聯，圈出嫌疑犯，並給出關鍵線索。

這麼一來，隱密在互聯網中的黑客終將被其繩之以法。

目前，阿里雲在集中火力解決的主要是這三類黑產攻擊：

第一，大量 DDoS 攻擊。

2017年 8 月，阿里雲共攔截 300 Gbps以上的攻擊數百次，不僅漲幅巨大，而且達到了歷史新高。約 70 %的被 DDoS 攻擊客戶來自網站和遊戲。其中，小流量的 DDoS 攻擊在減少，大流量的 DDoS 攻擊卻持續增長，尤其是 400 G以上的 DDoS 攻擊。

大流量的 DDoS 攻擊通常並非散戶或小型黑客組織所為，而是來自財大氣粗的大型黑客組織。

第二，釣魚、欺詐、掛馬鏈接緊緊盯上用戶，一個漏洞不處理，就可能被黑客盯上、利用上，成為黑客工具隱密所在，成為攻擊工具、成為被欺詐對象，成為被釣魚對象。

第三，防止黑產鑽空子。

阿里雲進軍海外市場時，採取的營銷方式之一是「先使用後付費」。如果不幸被不良黑產盯上，購買了大量服務，一個月後要付款時，人去樓空，則會帶來巨大的損失。與銀行不斷完善的風控體系一樣，這些挑戰讓阿里雲開始思考新的業務風控模式。

追蹤黑產路徑，反擊

今年 4 月以來，阿里雲配合警方打掉了 10 多起 DDoS 案件。

當一次大規模 DDoS 攻擊發生後，如果警方接到報案聯繫了這些安全研究員，他們會在警方提供的樣本中找到木馬，分析攻擊手段，並將樣本與態勢感知平台進行比對，如果是新木馬，安全研究員將樣本納入態勢感知系統進行系統自學習，並由系統給出木馬網上軌跡。

在這些案件中，線下技術團隊要做的就是進行網上黑客行為追蹤溯源，面對層層代理抽絲剝繭，找到中控，中控有可能是 IP、域名，如果是域名，找到域名所有者，如果是 IP，找到 IP 所有者。

隨後，警方再從這個 IP 繼續找出線下的始作俑者。

當然，這個「始作俑者」依然可能有假，警方和技術人員必須從零零散散的數據中，拼湊出終極真相。

今年上半年，阿里雲安全團隊遇到的大型 DDoS 攻擊和 8 月顯示的數據類似，大部分受害者是新興遊戲公司，剛剛要做起來，馬上要推廣時就遭遇了滅頂之災。

「大多數攻擊與競爭相關的，友商選擇黑客攻擊原因在於成本低，不易發現。但是被攻擊流量很大，最高峰值達到 694 G，對於被攻擊者，面對這麼大流量攻擊基本上業務中斷，才積聚的用戶、人氣一下就沒了，其損失慘重，經歷幾次這樣的攻擊，一個公司很可能就會一蹶不振，甚至倒閉，每年因為攻擊倒閉的新公司不在少數。」MQ說。

針對釣魚掛馬類黑產，安全研究人員會如同對待搜索引擎一樣，進行關鍵詞、圖像、音視頻及頁面結構檢測，運用安全大數據分析手段抓住這些釣魚網站及木馬鏈接，協同用戶進行刪除。

敢在老虎身上拔毛的則是這樣的黑產：挖礦者。

今年，比特幣眼瞅著從 1 萬元的幣值漲到 2 萬元，黑產從業者瞄上了互聯網上應用的各種漏洞，試圖利用業務漏洞去進行挖礦、加密勒索。還有人會鑽平台營銷策略漏洞，如先購買、使用，後結算類，就會有人搞虛假身份，使了就跑，給平台帶來損失，更有甚者，利用這些資源作為黑客攻擊跳板機，打一槍換一炮，讓黑客在網上的行為軌跡更加撲簌迷離。

一旦發現這個用戶存在此類風險，系統會進行嚴格的信用考評乃至問題回訪，以進行多次用戶身份確認與核實。比如，信用卡可能會進行先扣一塊錢或幾毛錢，驗證信用卡有效性以及用戶真實性。

雲安全帶來的改變在於，讓互聯網安全從嚴防死守到主動出擊，JX 認為，這對囂張的黑產而言，是一種威懾，但黑產的攻勢之猛，安全團隊的責任之大，時常還是讓他們感到憂慮。

第一，配合警方抓捕黑產從業者時，有很多年輕人參與其中，根本不知道干這個事是犯法的，他們以為自己只不過在網上動了動手而已。

「當你抓到他，稱這樣是侵犯了別人的計算機系統，是違反刑法的，他根本不敢相信，我怎麼可能違反刑法？」JX痛心疾首，每年7、8月 DDoS 攻擊尤其多，因此她和同事要聯合警方，走到高校，聯合編撰安全教材，進行宣傳，讓更多的年輕人知法懂法，還要懂得基礎網路安全知識，不要被黑客組織以小利引誘，釀成大禍。

第二，數據資產類敲詐已經成為新熱點，因為變現容易，洗錢來無影去無蹤，電信欺詐、攻擊連續性類型依然泛濫。數據對於企業而言是重要的資源，如果這樣的資源被人佔有了，企業很可能轟然倒下，無法重新開始。

MQ 感慨，誠如此前所說，發動一場 DDoS 攻擊很簡單。在這個萬物互聯的時代，當一個普通的攝像頭都可能被利用成為攻擊工具時，是很恐怖的事情。

第三，追蹤黑產鏈條，最後發現金主不在國內，這類案件只能抓到攻擊手，如果往下抓，就會遇到法律問題。怎麼用中國法律定海外人員的罪？有些事情超出了今天的技術高度，技術專家無法解決，只能依靠政府推動全球打擊網路黑客合作。

與雷鋒網聊完後，從杭州來到北京的 JX 和 MQ 繼續奔往下一個地點，這個國慶假期只是更忙碌緊張的一個備戰期。對這些抗擊黑產的守衛者而言，網路安全永遠「在路上」。

我接觸過一些抗擊黑產的技術專家，阿里雲的安全研究人員是其中之一。

讓我印象深刻的是，受訪者們總會提到一句話：「道高一尺，魔高一丈」。黑產對抗，如影隨形。其實，我覺得，他們想強調的是後者，而拚命地促成前者。

打擊黑產實在是太難了。

我總得到這麼幾個訊息：第一，黑產分工明確，形成了產業鏈條的分工明晰，行動迅速，沒有「鏈條」一說的黑產領域簡單、高效、直接。對抗人員的情報、技術共享不易，要跨越商業的藩籬，黑產之間的共享簡直容易到可怕；第二，面對的敵人是誰，安全對抗人員其實心知肚明，但沒有找到充分證據時，黑產大佬甚至可以囂張地打電話過來挑釁，有時好不容易追查到最後，幕後黑手卻躲到了國外，這種壓在心中的沉悶感常常讓人沮喪不已；第三，僅 DDoS 而言，黑產攻擊成本真是低到可怕，再加上遍布周身的物聯網設備，安全專家真的很擔心，美國大斷網的事情會多次重演。

但他們不得不做，無論是出於網路安全守衛者的初心，商業上的考慮，技術上的不斷突破還是社會責任與公眾利益。

願意正面詳聊抗擊黑產故事的人並不多。事實上，他們多有顧慮：大多數情況下不能暴露他們的真實姓名、照片，他們「端掉的」可能是黑產幾十億的生意，冒著極大的人身危險；他們配合警方辦案時不能透露案情，就算已經抓捕了嫌疑人，也要等到定罪之後才能開口。但他們能說的也有限，他們不想深聊其中的對抗技術，因為擔心對抗升級，黑產從業者變得更狡詐。

謝謝這些「匿名者」，讓我們知道互聯網背後的險惡江湖與看不見的艱難對抗。

雷鋒網宅客頻道（微信ID：letshome）將持續記錄與黑產對抗有關的故事。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！