专访:听道哥聊互联网江湖——探底黑产,描绘作战地图

someonelikeyou1 · · 6751 次点击 · 开始浏览    置顶
这是一个创建于 的主题,其中的信息可能已经有所发展或是发生改变。

我是搬运工,原贴地址:http://click.aliyun.com/m/5826/ 摘要: 保卫阿里云这个中国 35% 的网站都坐落其上的云计算平台和上面的居民,道哥觉得自己守土有责,不容有失。 吴翰清,这个资深黑客拥有诸多身份:写“道哥的黑板报”的“文艺网红”& 阿里云云盾的负责人。 在他心里,第一个身份轻如鸿毛,第二个身份重若泰山。 保卫阿里云这个中国 35% 的网站都坐落其上的云计算平台和上面的居民,道哥觉得自己守土有责,不容有失。 探底黑产,描绘自己的作战地图,是他对自己职责要求的一部分。 他告诉我们一个秘诀:“想要知道中国的黑产有哪些行业,只要看淘宝的禁限售板块就够了。”DDoS攻击,敲诈勒索,暗网黑市,这些黑色产业,往往最终都会涉及到对阿里云上服务器的攻击。 站在他的角度看,这个世界充满血雨腥风。 险恶的世界 DDoS 我们定义一个大的流量攻击,一般是300G以上。实际上根据我们掌握的信息,国内已经有组织可以打出一个T 的 DDoS 攻击。而且,其中80%都是由同一个组织打出来的。这些组织的实际控制人大多都潜逃在国外。 驱动这些攻击的原因非常简单:钱。有人买就有人卖。道哥告诉雷锋网,如今打出 10G 流量攻击,只需要几百块钱。 DDoS 攻击这个行业,最为经典的玩法是攻击游戏私服。由于私服本身具有违法性质,所以并不敢求助于警察,黑吃黑是行业的通则。2013年中国国家顶级域名“.cn”的根域名曾经被打摊,这件轰动一时的事件就是因为黑产攻击误伤了底层服务器。 掌握巨大带宽资源的黑客组织两边赚钱,一边收人钱财替人攻击,一边敲诈被攻击者谋取更高利益。他们甚至勾结 IDC 机房,花钱买下机房所有的闲置带宽,生意规模超出一般人的想象。 DDoS高防IP,300G无限防>> http://click.aliyun.com/m/5823/ 敲诈 很不幸,所有拿热钱的行业,都会被黑客盯上。P2P和互联网金融就是本轮中枪的行业。 因为金融行业信誉非常重要,如果服务宕机,就很有可能丧失用户的信任,从而遭受挤兑,这可能会导致破产。这些都是黑客勒索的绝佳条件。 道哥讲了黑产的两种玩法: • 1、入侵 P2P 公司的服务器,盗取用户的信息。把这些高价值的客户信息出售,由下家进行广告和黑色推广。 • 2、威胁 DDoS 攻击,敲诈勒索。如果妥协掏钱,过一段时间对方往往还会回来继续勒索。 搞清黑客的目的,对于防御至关重要。“根据判断,下一个被黑产盯上的行业很有可能是直播行业。从现在的情况来看,这件事情已经发生了。”他说。 云上的攻防 云是解药 作为云计算的信徒,道哥相信这种正在迅速攻城略地的计算变革,从某种程度上来说是安全的解药。他举了一个例子:“我曾经到某监管单位参观 。在巨大的屏幕上,他们能够实时监控各个系统有没有出现漏洞。但是,他们看到了却无法非常迅速的修复。因为它对应的1000多个业务主体,各自的系统模式都是不一样的 。” 但是如果使用云计算作为基础,就可以统一 Iaas 层,在很短的时间里修复漏洞 。 今年上半年,云盾为云上的几万个客户共修复了46万个漏洞。这个成绩让道哥颇为骄傲,他说在以前这不可想象。 现实残酷 纵然背靠阿里云,在和黑产的对抗中,防守一方也并不占优势。他说: “很遗憾,攻击者仍然走在前面。因为我我们还不能预测黑客下一步的动向。” 这直接导致了安全产品必须被动地等待攻击发生,才可以采取“救火”行动。对于云盾来说,从黑客暴露攻击意图,到攻击被封堵,仍然有12个小时的周期。 黑产控制的互联网攻击如同疫情一样,大多数情况下,被感染的主机都会继续向周围传播恶意代码。而面对以“光速”传播的病毒,每一秒都至关重要。 2015年12月,有数千个客户的云服务器对外疯狂发包。云盾紧急通知客户并协助处置,发现黑客正在使用了一个弱口令漏洞传播恶意代码。“幸亏这个漏洞在12个小时之内被修复,如果响应时间是24或48小时,就会造成更大的损失。”他说。 优质的标准品 如果把互联网的攻防简化到一张地图上,你可以看到无数漂浮于云上的节点,黑产和安全人员拼尽全力争夺这些节点。 在如瘟疫一般扩散的恶意代码眼里,没有大企业和小企业,只有能够攻下的服务器和不能攻下的服务器。 “现在几乎所有的安全公司都在服务顶端 3% 的大客户,因为他们有充足的资源雇佣各种特种兵。但是很多并没有很多安全预算的中小企业的死活却没人关心。” 道哥觉得,云盾应该为中小企业提供安全感。实际上物美价廉的解决方案只有一种,那就是不需要耗费过多人工成本的软件服务平台(SaaS),所谓优质的标准品。 接下来的问题就变成了:怎样才能做出这样的一个平台。 数据和计算 把机器训练成安全专家 一个优秀的安全人员,可以通过分析网络日志,找出服务器被进攻的蛛丝马迹,在黑产攻防版图上拔掉敌人的一个据点。 但是对于道哥的云盾来说,它面对着数以十万计的云服务器,人工排查根本不是他的选项之一。如何把机器训练成为安全专家才是解题方法。 一支火箭想要上天,其核心要素有两个:发动机和燃料。机器学习很像一枚火箭,它的燃料是巨大的数据量,它的发动机是强大的计算能力。 对于阿里云云盾来说,每天的增量数据是 300T,来自于阿里云客户授权的全量数据。而计算资源,本身就是阿里云的巨大优势。 结果是,云盾通过纯系统计算的方式,可以感知到80%的入侵。道哥说,这个指标是同类系统的三倍。 防Web和CC攻击,防数据泄露>> http://click.aliyun.com/m/5824/ 孰优孰劣 这个检出率在某种程度上和人工检查不相上下,道哥给出了一个场景: 如果一个客户上传了一个 Webshell,如果安全专家分析全量的数据,可能要一周时间,现实情况中,往往不会这样做。他们往往根据经验,而不是完整的证据链条来判断入侵。这种情况下就会出现失误。而对于机器来说,它会分析全量数据,呈现出完整的证据链条。这样的结果更加精准。 在成本和量级上,云盾和人工没有可比性。客观来讲,道哥在做的事情,离开阿里云很难复现。 云盾的大数据中,可以做出很多的关联分析,例如:两次攻击事件之间的关系,一个黑产组织在盯着哪些服务器等等。 如果说由各路黑客大神领军的安全实验室是特种兵的话,云盾更像是一支常备部队,保卫阿里云安全的基本态势。 道哥自信地对我们说,云盾面前并没有明显的技术困难。但是,有很多攻击获取到的数据维度较为单一,在这种情况下,可用数据可能仅仅是一个 IP 的行为,在有限的数据下,如何利用计算能力更深层次的挖掘出攻击相关信息,就成为了一个重点。 购买道哥引以为豪的云盾>> http://click.aliyun.com/m/5825/ 代表我的伟大作品 说来,很多人认识道哥,是因为喜欢他写的“黑板报”。 “道哥的黑板报”最早确实给我带来了一些声望。但我不是个作家。我希望的是做出一个好产品,让产品代表我。 道哥如此解释荒废了自己在黑客界“估值颇高”的公众号的原因。但是,这位黑客并不是生来就如此“任性”。 他为我们讲了一段阿里云掌门人王坚的往事。 当时所有人都谣传王坚博士要离开。 “糟糕”,是对阿里云最初两年业绩最广泛的评价。作为阿里云的掌门人,王坚目睹兄弟部门已经磨刀霍霍,单等阿里云解散之后,瓜分兵马粮草。 纵然相信云计算未来一定会崛起,但是在遥遥无期的漫长等待面前,道哥终于扛不住,辞职了。出乎意料,王坚却没走。 他说他数次被逼到死角,退无可退,但是他真的没走。他不仅一直坚信云计算大有前途,还在一直不断地投入自己的一切。马云不懂云计算,但是最终他选择相信博士这个人。 王坚的路上终于出现了第一个路标。阿里云用五千台计算机连接成一个巨大的服务器,这就是5K项目。这个技术创举一举奠定了阿里云后来的江湖地位。 “王坚博士颠覆了我的世界观”,道哥说,“当他邀请我回到阿里云的时候,我真正感觉到,这件事能成。”这种宗教般的使命感,让道哥根本不在意他的“黑板报”,一腔热血死磕云盾,才有了如上的全部对话。 回到这种使命感本身,该坚持坚持,该放弃放弃。做出选择很简单。 我们问道哥:“这个能代表你的产品就是阿里云云盾吗?” 道哥答:“我希望是。” 了解更多安全产品>> http://click.aliyun.com/m/5825/

有疑问加站长微信联系(非本文作者)

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

6751 次点击  
加入收藏 微博
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传