全國首例！阿里安全技術協助警方打掉最新型DDoS網路攻擊平臺

圖說：阿里協助景寧警方打掉國內首個從事新型DDoS攻擊的網路黑灰團伙

利用少量頻寬即可發起巨量DDoS攻擊，讓政府問政通道無法正常訪問，讓學校網頁無法下發通知，還可讓購物網頁“離奇”丟失和棋牌網遊無法登入，支付貸款突然中斷……

近日，阿里巴巴安全部專案團隊協助浙江景寧警方打掉國內首個從事memcached DDoS攻擊的大型網路黑灰團伙。該團伙利用高效能快取系統（memcached）、時鐘網路同步伺服器（NTP）等新型DDoS攻擊手段搭建網路攻擊平臺，並以此牟利。

該平臺攻擊包含境外網站伺服器、政府企業網站伺服器、學校網站伺服器以及各大雲伺服器等。“這些平臺專門為大量的黑灰產份子提供最新型的DDoS攻擊模式，以攻擊境內外伺服器。” 景寧辦案民警表示，“其造成的後果非常嚴重，損失難以估量。”

阿里技術協助警方端掉新型DDOS攻擊團伙

經過兩個多月縝密偵查，浙江警方在阿里巴巴專案團隊協助下，摸清了這一幕後組織背後的“祕密”。

“他們有自己的技術團隊，還研發出全網最新的memcached DDoS攻擊模式，主要以按天收費方式為他人提供DDoS攻擊工具和介面，其中一個DDoS攻擊平臺介面顯示，註冊會員高達近萬人。”阿里巴巴專案團隊技術專家介紹說。

該團伙主要通過購買境外的發包機器，搭建各自的DDoS攻擊平臺，通過刷搜尋引擎的排名推廣DDoS服務，吸引“攻擊手”，並尋找同行網站，攻擊其伺服器打擊競爭對手。“黑灰產份子通過該團伙提供的網頁端進行註冊，購買相應的攻擊套餐服務，然後通過平臺客戶端傳送攻擊指令實施DDoS攻擊行為。”辦案民警介紹。

2018年5月5日晚，隨著該案最後一名主要嫌疑人在湘西落網，公安部督辦“129破壞計算機資訊系統案“也得以告一段落。目前，該案一共摧毀黑客攻擊平臺3個，抓獲平臺主要創辦者3人，查獲境外發包機15臺，攻擊日誌10萬餘條。

新型DDoS攻擊可製造5萬倍垃圾流量堵癱網路

圖說：memcached反射源來源分佈情況

DDoS攻擊的歷史可追溯到上世紀90年代，如今，黑灰產的DDoS攻擊能力也在日益提升。

專門從事網路黑灰產技術研究的阿里安全歸零實驗室專家表示，反射型DDoS攻擊是相對高階的種類。攻擊者並不直接攻擊目標服務IP，而是通過偽造被攻擊者的IP向全球特殊的伺服器發請求報文，這些特殊的伺服器會將數倍於請求報文的資料包傳送到那個被攻擊的IP（目標服務IP）。

據介紹，以往的DDoS反射攻擊，例如NTP和SSDP攻擊的放大倍數一般都是30~500之間，而memcached DDoS的放大倍數都以萬為單位，通常情況下，其放大倍數約為5萬倍，而且不排除這個倍數被繼續放大的可能性。

“利用這個特點，黑灰產團伙可以用非常少的頻寬即可發起巨量的DDoS攻擊。”阿里安全歸零實驗室技術專家稱，“這種攻擊手段對目標物件非常有效，不僅使得監控、溯源更加困難，而且可瞬間製造巨大垃圾流量，造成網路堵塞和服務中斷，因此危害極為巨大。”

據悉，阿里巴巴集團成立了專案團隊和歸零實驗室，通過線索和技術的支援，協助警方推進案件偵辦，以解決當前日益嚴重的網路違規和網路犯罪問題。