網際網路飛速發展為人們的生活帶來了便利，但同時也給一群利慾薰心的不法分子創造了活動的空間。

在虛擬的網路世界中利用技術進行犯罪，明目張膽地進行CDN劫持、招搖過市的DDoS攻擊，帶來的卻是真金白銀的收益。與巨大利益相比，網路犯罪的風險則顯得極小，黑產團伙有如附骨之疽，寄生在廣袤的網路空間之中，吸食著企業和使用者的血液。

面對黑產，一味被動的防禦顯然不是最佳的手段，只有修煉內功，並外化配合司法打擊，才能震懾宵小之徒。

在騰訊，一支由雲鼎實驗室和騰訊守護者計劃共同組成的“雲安全及黑產對抗打擊聯合團隊”，豎起了這面與黑產對抗的大旗，在看不見的戰場與黑產團伙短兵相接，守護著騰訊雲和雲上使用者的安全與權益。

神祕彈窗，吸食流量的CDN劫持

相信大家在上網時都有這樣的經歷，點選一個正常的連結，但網頁卻跳轉到了不堪入目的色情網站或者花花綠綠的賭博頁面。

 

而這樣滿螢幕的花花綠綠的“性感荷官線上發牌”，正在成為網路詐騙的入口，大量不明真相的使用者一旦把持不住好奇，就會陷入黑產設下的層層圈套中無法自拔，淪為被肆意收割的“韭菜”和隨意宰殺的“肥豬”。

這些莫名其妙跳轉出來的連結，就是典型的CDN劫持。它不僅會對個人使用者帶來詐騙風險造成經濟損失；也對企業造成了巨大的聲譽損害和使用者流失，使用者可能會因為產品體驗受損而拒絕再次使用。

2018年，騰訊雲接到個別使用者投訴，有云上使用者發現自己部署在雲上的內容產品開啟後排版混亂，並且被插入了包含賭博、色情、假藥等惡意資訊的廣告。

雲安全及黑產對抗打擊聯合團隊根據豐富自己豐富的黑產對抗經驗，敏銳地察覺到這些投訴背後並不簡單，很有可能是黑產團伙在侵害騰訊雲和雲上使用者的權益。

面對黑產團伙的挑釁，聯合團隊迅速出擊，利用技術手段分析黑產團伙的作案手法，並蒐集不法分子的作案證據。在此過程中，聯合團隊與司法機關緊密配合，發現在這次案件中，黑產團伙的作案手法相比以往又有更新，並且受害者遠不止騰訊一家網際網路公司。

 

（此次CDN劫持的手法分析）

聯合團隊在認真的研究和分析後發現，黑產團伙在國家骨幹網等關鍵資訊基礎設施上進行流量劫持，這種作案手法極其隱蔽，規避了大多數網際網路企業的安全策略，而這種鏈路劫持能夠釋出任意惡性資訊，會對社會穩定造成極大危害。

2018年10月底，經過不懈努力，騰訊雲安全及黑產對抗打擊聯合團隊協助警方，將這個通過實施流量劫持獲利上千萬的犯罪團伙成功打掉。

而這已經不是這個聯合團隊第一次協助司法機關破獲重大網路犯罪案件。

千里追凶，“暗夜”覆滅

面對國內司法機關和各大網際網路公司越來越嚴厲的打擊和愈發完善的安全策略，網路黑產團伙不得不向海外轉移，把作案工具和主力人員遷移到東南亞諸國，來逃避法律的約束。

2017年針對騰訊雲上的客戶進行DDoS攻擊的行為每天都在發生，其中最大的DDoS攻擊流量峰值為557Gbps，平均每月最大峰值也達到了430Gbps，其猖獗程度不言而喻。

DDoS攻擊，也稱分散式拒絕服務攻擊，簡單來說就是黑客通過操縱“肉雞”同一時間大量訪問某伺服器，最終導致被攻擊的伺服器無法正常使用。

就好像一間只能容納10人的餐廳，門口突然被人僱傭了100個流氓地痞堵門，導致餐廳無法正常營業一樣。

而黑產團伙以此攻擊為要挾向被攻擊企業勒索高額費用，甚至有的黑產團伙專門開發定製化的DDoS攻擊服務，幫助無良企業打擊競爭對手來牟取暴利。

雖然騰訊安全具有針對各種DDoS攻擊的防禦能力，足以保障騰訊雲和雲上客戶的業務正常執行，但是雲安全及黑產對抗打擊聯合團隊還是毫不鬆懈，對當時騰訊雲上遭遇的DDoS攻擊展開了深入研究，挖掘攻擊資料包背後的特點。

經過對攻擊頻率、攻擊源分佈、攻擊spike的正態分佈等進行分析後發現，雖然這段時間攻擊的目標不斷切換，但是攻擊手法呈現出了相同的特點，種種跡象表明，一系列的DDoS行為出於同一個黑產團伙。

這個黑產團伙，就是業界“大名鼎鼎”的“一哥”——“暗夜”攻擊小組。“它的攻擊手法非常老道，黑客針對客戶的業務IP實時監測，當業務IP發生變化時，立即切換攻擊IP，且會攻擊此業務上的多個關聯IP，甚至包括同網段的多個臨近IP，以對抗DDoS安全產品的IP保護功能。

並且“暗夜”使用的域名whois資訊均為偽造，控制端的流量資料除了bot登入外，多為二次跳板伺服器，或境外主機；聯合對抗團隊經過深入分析，發現“暗夜”很有可能是在境外發起的攻擊。這讓溯源工作又增加了一層難度，甚至停滯。

但是，面對對手的瘋狂挑釁和愈發猖獗的進攻，聯合對抗團隊從未放棄，經過幾十次不同方式的深入研究、覆盤，最終在一臺控制端伺服器上發現了一點可疑的線索。通過對多個維度進行專業的分析與推導，聯合對抗團隊協助公安機關鎖定了“暗夜”的犯罪證據。

 

一個長期盤踞在境外東南亞國家，對網路遊戲、第三方支付、視訊直播平臺等多種網際網路服務進行DDoS攻擊，並且同時從事網路黃賭、打擊同行競品等各類違法犯罪活動的黑產組織，終於浮出水面。

在摸清了暗夜小組的組織架構和大致行蹤後，公安部、廣東省公安廳和深圳警方兵分數路開展偵查打擊，東南亞和國內多個城市都留下了警方的足跡。終於，這個擁有國內近半數的DDoS黑產份額，控制大量肉雞和殭屍網路，可發動的DDoS攻擊流量高達800G的“全國第一”黑產團伙全軍覆沒，至2017年9月，暗夜小組團夥核心成員14人被悉數抓獲，千里追凶終獲成功。

不僅如此，在聯合對抗團隊的協助下，警方對藏身在無錫、徐州、重慶、山東等多個省市的DDoS攻擊黑產團伙展開抓捕，針對購買攻擊的主顧、肉雞產業的上下游團伙進行了全鏈條打擊。

經過這波集中打擊治理，2017年，僅騰訊雲在9月受攻擊次數比5月驟降69%，100G以上攻擊次數下降63%以上。

雖然騰訊雲安全及黑產對抗打擊聯合團隊已經多次在與網路黑產的對抗中勝出，但是這場看不見硝煙的戰爭絕不會輕易結束。作為一隻主動出擊的快速反應部隊，只要有黑產團伙膽敢侵犯騰訊雲及雲上客戶的的權益，聯合對抗團隊必當協助司法機關給予不法分子應有的懲罰。