如何对抗千亿级别网络黑产攻击？

近年来，随着云计算、物联网等的技术快速发展，资源的获取更加便捷简单，也让网络黑产的攻击门槛愈发降低，据测算，网络黑产从业人员已超过150万，市场规模达到千亿级别，如何有效应对愈演愈烈的黑产攻击，成为各大企业必须应对的共同难题。在6月28日举办的全球云计算和域名大会上，金山云安珀实验室负责人李泷从实践出发，讲述了金山云在云时代与网络黑产的对抗攻防，并分享了通过溯源追踪成功破获一起控制75万台“肉鸡”的黑产团伙的案例。

黑客渗透、DDoS攻击、刷流量、薅羊毛这些近年来的热门关键词，都指向一个共同的对象——网络黑产。当一台主机或一个应用暴露在外网后，会遭受数不清的攻击尝试，稍有不慎，即可能成为黑产控制的肉鸡。金山云基于对SSH爆破攻击的监控数据显示，在短短24小时之内，总共有高达243万次攻击尝试，黑产攻击之猖獗，可见一斑。

“云计算时代的黑产对抗与传统模式是完全不同的，对此，金山云从漏洞对抗、业务安全对抗、虚拟化安全对抗和DDoS对抗四个维度来进行布局，提供了完善的产品和解决方案，来帮助用户快速建立自己的安全体系，提升自身安全水平，”李泷讲到。

在漏洞对抗方面，金山云通过第一时间提供系统补丁、更新yum源等服务，并通过帮助用户建立自定义安全组拒绝非信任来源的访问请求，提醒用户主动开启安全扫描监测自身业务漏洞等手段，有效杜绝因为系统漏洞带来的黑产入侵。

在业务安全对抗方面，主要包括恶意刷单对抗和帐号安全防护。恶意刷单也就是俗称的薅羊毛，企业用来回馈用户的奖品、优惠券、奖金等，一旦被黑产盯上，将造成巨大损失，金山云通过帮助用户接入API并及时进行防御策略，提供包括威胁情报预警、手机黑卡识别等服务，来进行防御。帐号安全防护上，通过提供IAM、异地登陆提醒、多因素认证等，并结合后台的风控API进行实时的识别和拦截，保证帐号不被劫持。

在虚拟化安全对抗方面，金山云通过主机层隔离、租户内网络隔离、租户间网络隔、主机监控和网络监控等方式，来有效应对虚拟化安全问题。以网络监控为例，通过智能化监控系统，可以实时查看网络占用情况，帮助用户判断机器是否存在异常，比如被入侵后植入木马，可能造成主机或网络的异常，从而及时应对。

近年来，DDoS攻击势头愈演愈烈,除了攻击类型更加多样化，攻击流量更是成指数型增长，不同于过往几个G或者几十G的常规攻击规模，最新的数据显示，DDoS攻击最高已经达到T级别，在与黑产对抗过程中，金山云高防节点曾遭遇最高1.2Tbps的超大规模流量攻击。面向日益严重的DDoS攻击，金山云通过被动防御和主动防御两种手段，帮助用户化解因为DDoS攻击给业务带来的不良影响。

在被动防御方面，通过流量清洗和高防IP来进行应对。流量清洗主要通过防御算法将识别为攻击流量的请求过滤掉，将过滤后的流量转发给后端服务器；高防IP则是利用高防节点足够大的带宽，保证入口不被占满，同时借助流量清洗，将真实流量回源。

在主动防御方面，金山云通过主动出击，综合运用溯源追踪、DDoS预警等手段，来提前作出应对策略。金山云安珀实验室数月前破获一起利用大规模僵尸网络进行大流量DDoS攻击的有组织活动，该组织掌握的肉鸡最多高达75万台,通过综合运用多种技术手段，成功发现了黑客使用的控制服务器，及时进行了追踪防护，有效避免了损失的发生。

此外，金山云也在积极进行新型DDoS防御的探索实践。利用多种渠道取得大量的僵尸网络木马样本，然后对样本进行逆向分析，通过培养伪木马的方式加入僵尸网络中，当C&C控制端下发控制指令时，伪木马端可以实时报警。同样，也可以在报警时联动其他被动防御系统，进行相应的清洗或拦截等操作。“目前我们已掌握了十个左右流行的僵尸网络家族，并建立起了攻击预警体系，希望可以为打击网络黑产做一些有意义的探索和实践，”李泷讲到。