本文作者：karmayu @雲鼎實驗室

導語：「天下熙熙，皆為利來；天下攘攘，皆為利往。」太史公一語道盡眾生之奔忙。在虛擬的世界，同樣有著海量的「眾生」，它們默默無聞，它們不知疲倦，它們無窮無盡，同樣為了「利」之一字一往無前。其事雖殊，其理一也。且隨騰訊安全雲鼎實驗室揭開這虛擬世界的「眾生之相」。

一、惡意流量概述

1. 惡意流量是什麼

要定義「惡意流量」，先來看「流量」是什麼。說到「流量」，僅在網路領域就存在許多不同的概念：

手機流量：每個月給運營商付費獲得若干 G 上網流量。
網站流量：網站訪問量，用來描述一個網站的使用者數和頁面訪問次數。
網路流量：通過特定網路節點的資料包和網路請求數量。

在安全領域，研究的主要是網路流量中屬於惡意的部分，其中包括網路攻擊、業務攻擊、惡意爬蟲等。惡意流量絕大部分都來自自動化程式，通常通過未經許可的方式侵入、干擾、抓取他方業務或資料。

2. 為什麼研究惡意流量

騰訊雲作為國內最大最專業的雲廠商之一，如何從海量的網路流量中對惡意流量進行識別，保護客戶利益的同時為業界輸出優質資料，一直是我們努力的目標。

3. 惡意流量的研究方法

為了捕獲真實的惡意流量，雲鼎實驗室在全球多個節點部署了蜜罐網路叢集，每天捕獲數億次的各類攻擊請求。

獲取海量真實惡意流量後，再通過對流量的研究和分析，反哺騰訊雲對惡意流量的識別和防護能力。

二、惡意流量現狀

1. 惡意流量佔比

根據國外公司 Distil Networks 釋出的報告[1]，2017年機器流量佔全網流量的42.20%，其中惡意機器流量佔21.80%。

這裡「機器」指的是網際網路上的爬蟲、自動程式或者是模擬器。部分機器流量來自於搜尋引擎爬蟲、RSS 訂閱服務等，屬於正常機器流量。另外一部分由自動化攻擊、殭屍網路、惡意爬蟲等產生，屬於惡意機器流量。本文所描述的惡意流量幾乎都是自動化的機器流量。

2. 惡意流量在做什麼

從雲鼎實驗室捕獲到的惡意流量資料來看，大致可以分為四個大類，每個大類又可以分為若干個小類，詳細劃分如下：

1）網路攻擊

☞ 埠掃描 

掃描伺服器常用的埠和指定的埠是否開放，並進一步進行伺服器軟體指紋探測。

☞ 登入破解 

主要指對伺服器 SSH 服務（Linxu）或遠端桌面服務（Windows）使用弱口令進行破解。
本系列報告有一篇專門講述，詳見《SSH 暴力破解趨勢：從雲平臺向物聯網裝置遷移》[2] 。

☞ 漏洞利用

利用已知或未知漏洞及利用工具（EXP）試圖獲得伺服器許可權。

☞ DDoS 攻擊 

主要指源自殭屍網路或反射攻擊的分散式拒絕服務攻擊。
本系列報告有一篇專門講述，詳見《2018上半年網際網路 DDoS 攻擊趨勢分析》[3] 。

☞ CC 攻擊 

目的和 DDoS 攻擊類似，通過大量訪問對方網站中對系統效能消耗較大的頁面（如需要進行較複雜的資料庫查詢），造成資料庫或系統卡死，導致對方無法對外提供服務。

2）帳號攻擊

☞ 惡意註冊

在網站（社交類網站居多）註冊大量小號，並持續養號，用於後續謀取利益，尤其是在下面描述的「流量欺詐」領域。

☞ 帳號掃描

探測某帳號（包括使用者名稱、郵箱、手機號等）是否在某網站註冊過，通常是作為「惡意註冊」和「撞庫攻擊」的前置步驟。

☞ 撞庫攻擊

使用 A 網站洩漏的帳號密碼資訊在 B 網站嘗試登入，如果成功登入，則撞庫攻擊成功。由於近年來許多網站發生帳號密碼洩漏事件，導致撞庫攻擊變得非常流行。

☞ 資產竊取

當撞庫攻擊成功後，盜取帳號內資產，例如虛擬幣、遊戲帳號、裝備等。

3）流量欺詐

☞ 刷榜

在 AppStore（iOS）和其他 Android 軟體市場通過技巧，進行刷下載量、刷評價、刷排行、刷點選、刷關鍵詞等操作。

☞ 刷粉

主要是在公眾號、社交類網站、貼吧等刷粉絲、刷關注等，俗稱殭屍粉。

☞ 刷熱度

在公眾號、短視訊、直播、視訊播放等領域刷觀看次數、閱讀量、訪問量、點贊量等等。

☞ 刷單

在電商類平臺刷成單量、商品評論等，達到影響商品排序等目的。

☞ 刷廣告

在廣告圈，總流傳著這樣一句話：“我知道我的廣告費有一半是被浪費的，但我不知道究竟是哪一半。”這個定律在網際網路廣告界亦是如此，乃至更甚。

4）惡意爬蟲

和遵循 Robots 協議的正規搜尋引擎或 RSS 訂閱爬蟲不同，惡意爬蟲通過分析並構造引數對公開或非公開介面進行大量資料爬取或提交，獲取對方本不願意被大量獲取的資料，並造成對方伺服器效能損耗。爬蟲工程師和反爬蟲工程師的交鋒，是網際網路上的一大戰場。

本系列報告有一篇專門講述，詳見《2018上半年網際網路惡意爬蟲分析：從全景視角看爬蟲與反爬蟲》[4]。

三、十個結論

通過對惡意流量資料進行詳細分析，雲鼎實驗室對監測到的惡意流量所反映出的一些網際網路安全趨勢進行了總結：

1. 「永恆之藍」依然肆虐嚴重

由於美國國家安全域性（NSA）掌握的網路武器「永恆之藍」漏洞在2017年4月被某黑客組織獲取並洩漏，導致利用該漏洞的惡意程式在網路上肆虐，其中最典型的正是令人聞之色變的勒索病毒。經統計，在2018上半年基於「永恆之藍」的攻擊嘗試超過漏洞攻擊總量的30%以上。

2. 挖礦成為自動化入侵的主要目的

早期，黑客拿到普通伺服器許可權後主要以 DDoS 為變現途徑，但近年來數字貨幣大熱後，用伺服器挖礦成為黑客入侵變現的主要途徑。這種無差別變現方式的興起，導致自動化入侵攻擊越發猖獗。

3. 反射放大類 DDoS 攻擊成為主流

自從各種反射放大類 DDoS 攻擊方法被研究出來，普通肉雞伺服器早已滿足不了黑客的「打擊欲」，各種將攻擊放大幾百倍乃至數萬倍的攻擊手法層出不窮，無論是從流量規模還是傷害大小來看，反射放大類攻擊已成為 DDoS 主流。

4. 黑灰產間互相攻擊依然激烈

有人的地方就有江湖，黑灰產則是網際網路江湖水最渾的領域，而黑灰產內部為了利益也是不斷亂鬥，其中不擇手段之處更甚於正規商業江湖。

5. 黑色產業鏈已實現資源平臺化

相對早期黑客的單打獨鬥，如今網際網路黑色產業更像一個航母戰鬥群，各種外部資源如手機號、郵箱號、IP 資源、過驗證碼服務，都已經形成規模化平臺，猶如航母戰鬥群裡的護衛艦、補給艦，使得黑客只要專注最核心的技術實現，就可以快速整合資源對各公司造成危害。

6. 各廠對新註冊帳號應保持謹慎

通過自動化運營大量小號，利用「長尾效應」獲取利益的模式（小額度大基數），已成為黑客獲利的主流。很多時候，各廠對大量新增使用者的欣喜，背面卻是大量對抗成本的付出。

7. 撞庫攻擊成為帳號類攻擊主流

由於網民安全意識的不足，習慣在多個網站使用相同帳號密碼，以及眾多網站使用者密碼的洩漏，導致撞庫攻擊異常氾濫。這早已替代傳統的盜號木馬成為主流的盜號攻擊模式。各廠商應加強登入介面的監管，尤其是邊緣業務使用登入介面的稽核。

8. 遊戲行業是黑客攻擊第一大目標

由於遊戲行業擁有可觀的資金，龐大的使用者量，以及便捷的虛擬物品變現渠道，故而一直是黑客最青睞的行業，該行業擁有滲透最廣泛的黑色產業鏈，沒有之一。

9. 熱門行業虛假繁榮狀況依然嚴峻

網際網路創投熱點的領域幾乎都是黑灰產關注的領域，從團購到共享單車，從自媒體到直播，無不存在大量虛擬小號炒作出來的熱度。君不見，從微博千萬大V到抖音全民網紅，從公眾號10w+閱讀量到電視劇數億播放量，其中有多少真實、多少虛幻，恐怕誰也說不清楚。

10. 惡意爬蟲滲透到生活方方面面

前不久，我們釋出了網際網路惡意爬蟲分析報告，報告顯示，每天至少數十億的爬蟲在網際網路上孜孜不倦地工作，影響著我們生活的各個方面，從火車搶票到醫院掛號，從熱點炒作到資訊洩漏……無不有洶湧的黑客在蠶食其中的利益。

四、部分詳細資料剖析

1. 埠掃描

1）TCP 掃描

此處，我們列舉了近期 TCP 埠被掃描情況，相關埠涉及的具體業務如下：

（TCP 被掃描埠涉及環境或協議1）

從 TCP 掃描情況來看，針對 Windows SMB 協議的攻擊依然最大量，遠超其他型別。從請求資料來看，大部分是基於 NSA 洩漏的「永恆之藍」漏洞在進行自動化攻擊。

其他埠都比較常規，但在後面的長尾資料中我們發現了大量對非常規埠的掃描行為，例如：

（TCP 被掃描埠涉及環境或協議2）

這個列表還能列很長，千萬不要以為自己的伺服器不會被人注意到，每天有大量黑客在通過自動化掃描器在尋找攻破你伺服器的機會。

2）UDP 掃描

相關埠涉及的具體業務如下：

（UDP 被掃描埠涉及環境或協議）

對 UDP 埠的掃描行為絕大多數都是為了搜尋 DDoS 攻擊資源，由於許多對外的 UDP 類服務都被發現可以用來做 DDoS 反射放大攻擊，因此尋找此類伺服器成為黑產一大行為。另外，53413埠的 Netcore 路由器後門漏洞依然利用十分猖獗。

根據我們的統計資料，在網路上，平均每臺機器每天要遭受數萬到數十萬次的掃描。想象一下，每天有一火車站那麼多的人偷偷瞄你家窗戶看裡面有什麼好東西，你還不重視伺服器安全麼。

2. CC 攻擊

源於黑灰產的暴利，黑灰產間互相攻擊一直是惡意攻擊的很大一部分，除了使用 DDoS 攻擊外，CC 攻擊由於簡單實用，也是黑灰產間互相攻擊的主要方式之一。上圖可見，超過一半的 CC 攻擊流量都是黑灰產之間互相攻擊，剩下的也部分由於網站直接打掛了或轉移了無法統計。

由於黑灰產伺服器、域名變換頻繁，多是垃圾域名，伺服器也多在海外，互相攻擊不影響大公司，此類攻擊也一直遊離於三不管的灰色地帶，僅在他們對主流網際網路公司造成影響的的時候才為人們所知。其中最受關注的一次是2009年由於遊戲私服火拼導致的「六省斷網」事件[5]。

3. 惡意註冊

各類帳號可以說是黑灰色產業的基石，下圖簡單繪製了這個產業鏈的流程，而實際上該鏈條上的每一個群體，都還有更小的產業鏈在支撐其業務。

產業鏈的模式極大地簡化了黑色產業的入行門檻，例如帳號註冊人需要註冊對應網站的帳號，可以直接購買更基礎的服務，例如已註冊好的郵箱帳號密碼或手機接收驗證碼服務，再配上自動化工具和相關 IP 資源，一個毫不懂技術的「黑客」就可以直接開始他的業務了。

如下圖為例，是某郵箱註冊商的自動銷售頁面，可以精準購買用於註冊不同網站帳號的郵箱（由於一個郵箱可以註冊多個網站，故可針對不同網站重複售賣）。

（某郵箱註冊商的銷售頁面）

4. 帳號掃描

帳號掃描指判斷某帳戶是否已在該網站註冊，掃描方法通常有以下幾種方式：

➢ 從帳戶註冊介面的返回資訊判斷

➢ 從帳戶登入介面的返回資訊判斷

➢ 從找回密碼介面的返回資訊判斷

而帳號掃描在攻擊鏈中的作用通常有以下幾種：

➢ 判斷該帳號是否可註冊，若可以，則進行惡意註冊。

➢ 判斷該帳號是否已存在，若存在，則進行撞庫攻擊。

➢ 判斷該帳號是否已存在，若存在，抓取相關資訊收錄到社工庫使用者畫像。

根據捕獲到的攻擊資料，帳號掃描類攻擊在各行業所佔比重如下：

可以看到，針對郵箱和遊戲兩大行業的帳號掃描行為佔據了絕大多數，超過總量的90%。究其原因，因為郵箱和手機號是黑灰產的最底層基礎設施，而且相對手機號，郵箱的獲取成本又低得多。因此，大量註冊郵箱號是極其剛需的，註冊之前先判斷一下隨機生成的使用者名稱是否可用，也是增加效率必要的操作。故而針對郵箱進行的帳號掃描佔據接近六成的攻擊量。

而第二大領域遊戲行業，這是撞庫攻擊的重災區，因為遊戲業龐大的現金流，以及遊戲道具或者金幣盜取後可以方便變現。因此，針對遊戲業的帳戶攻擊佔比，是非常可觀的。

5. 撞庫攻擊

繼續看帳號掃描的下級攻擊流程——撞庫攻擊。

雲鼎實驗室監測資料顯示，在2018上半年，遊戲行業佔據了撞庫攻擊超過七成的份額。排除掉郵箱註冊類，帳號掃描和撞庫攻擊在各個行業的佔比基本相符，間接說明帳號掃描和撞庫攻擊是同一個攻擊鏈上的行為。

6. 流量欺詐

雲鼎實驗室上半年惡意流量監測資料顯示，在流量欺詐方面，刷熱度佔據最大的比例，超過七成；基於 AppStore 和各個手機廠商 Android 軟體市場的刷榜佔據第二；其次是對網路廣告的假點選方面，由於國內 CPC（點選付費）類廣告相對較少，這塊主要集中在海外。

展開佔比最大的「刷熱度」部分資料，可以看到，由於近兩年直播、短視訊相關 APP 的高速發展，包括傳統的視訊播放類網站，視訊類刷熱度直接佔據了相關資料欺詐領域的 TOP 3。排在之後的是相對傳統的如公眾號、微博等領域。

可見，平時媒體熱衷的各種「十萬閱讀」、「百萬點贊」、「千萬網紅」、「億次播放」等等資料，其實到底有多少是真實的，怕是廠商也說不出個所以然。

7. 其他

其他詳細資料可參見本系列其他報告，本篇不進行羅列，詳見下方部分參考資料連結。

五、寫在最後

作為一個專注安全多年的少年，對種種技術的研究我都能保持著少年之心，好奇地看著這個世界的未知。但研究惡意流量的感覺卻全然不同，看著親手捕獲的種種攻擊行為，當無數的貪婪、痴念和焦慮毫無顧忌地展示在眼前，讓人莫名有了種「少年子弟江湖老」的情愫。我們努力揭示這一切，也並不覺得能改變多少局面，只是覺得，不能把心中的美好輕易讓出去。

參考資料

[1] https://resources.distilnetworks.com/whitepapers/2018-bad-bot-report
[2] https://mp.weixin.qq.com/s/uFaiXpYJigilckNSDPfpZw
[3] https://mp.weixin.qq.com/s/EqIuxDHnWnwDvMGqOOVJww
[4] https://mp.weixin.qq.com/s/-NRqdU-P6jkQvItfyXHjpg
[5] http://tech.qq.com/zt/2009/duanwang/

騰訊安全雲鼎實驗室關注雲主機與雲內流量的安全研究和安全運營。利用機器學習與大資料技術實時監控並分析各類風險資訊，幫助客戶抵禦高階可持續攻擊；聯合騰訊所有安全實驗室進行安全漏洞的研究，確保雲端計算平臺整體的安全性。相關能力通過騰訊雲開放出來，為使用者提供黑客入侵檢測和漏洞風險預警等服務，幫助企業解決伺服器安全問題。

[推薦]看雪企服平臺，提供安全分析、定製專案開發、APP等級保護、滲透測試等安全服務！