（原標(biāo)題：玩游戲為啥老掉線？網(wǎng)絡(luò)攻擊黑產(chǎn)：一千元癱瘓網(wǎng)站9小時）

　　玩游戲為啥老掉線？網(wǎng)頁為什么打不開？也許是受到了網(wǎng)絡(luò)攻擊。

　　近日，最高檢公布了國內(nèi)首例全鏈條打擊黑客跨境網(wǎng)絡(luò)攻擊案。最高人民檢察院公布的第十八批指導(dǎo)性案例中，包括姚曉杰等11人破壞計算機信息系統(tǒng)案，涉及黑客圈內(nèi)知名的“暗夜”攻擊小組。

　　目前黑市上仍有大量通過此類網(wǎng)絡(luò)DDoS攻擊牟取利益的黑客團伙。新京報記者4月13日至4月17日調(diào)查發(fā)現(xiàn)，在黑灰產(chǎn)交易平臺中，網(wǎng)絡(luò)攻擊成為了明碼標(biāo)價的“商品”，不少雇主直接發(fā)布想要攻擊的網(wǎng)站地址或APP名稱，雇傭黑客攻擊，導(dǎo)致目標(biāo)無法訪問，服務(wù)癱瘓。根據(jù)目標(biāo)網(wǎng)站的安全防御力不同，攻擊的價格也有所不同。進行攻擊的黑客、為黑客供應(yīng)“彈藥”的流量提供方、用來測試攻擊力的“墻”、同業(yè)競爭的雇主等，構(gòu)成了網(wǎng)絡(luò)攻擊黑產(chǎn)產(chǎn)業(yè)鏈。

　　“‘暗夜’一案是全國首例全鏈條打擊黑客跨境攻擊案，案件涉及的并非只有‘暗夜攻擊小組’一個團伙，全案11名被告人在攻擊鏈條中起到的作用不同，甚至有一些素未謀面。但這類案件往往需要將上下游行為串在一起，才能還原事實、查明真相，這也是打擊網(wǎng)絡(luò)犯罪的特點和難點。”騰訊網(wǎng)絡(luò)安全與犯罪研究基地高級研究員肖薇表示。

　　網(wǎng)絡(luò)攻擊明碼標(biāo)價

　　數(shù)百元發(fā)起一次攻擊，勒索數(shù)萬元

　　“接非法網(wǎng)站、私服、博彩、棋牌App，DDoS攻擊服務(wù)，幫你打擊競爭對手”、“網(wǎng)址XXX，能打的私聊”……4月13日，新京報記者調(diào)查發(fā)現(xiàn)，在某境外黑灰產(chǎn)交易平臺中，網(wǎng)絡(luò)攻擊成為了明碼標(biāo)價的“商品”，不少雇主直接發(fā)布想要攻擊的網(wǎng)站地址或APP名稱，雇傭黑客進行DDoS攻擊，導(dǎo)致目標(biāo)無法訪問，服務(wù)癱瘓。

　　新京報記者了解到，DDoS攻擊的原理是攻擊者控制多臺機器在同一時間集中訪問一個IP地址，造成訪問流量飆升，最終導(dǎo)致該地址網(wǎng)頁無法打開，服務(wù)崩潰，其原理類似于一家餐廳突然涌入了極多“霸王客”導(dǎo)致正常顧客無法進入。

　　4月16日下午1點，新京報記者聯(lián)系到一名提供DDoS攻擊服務(wù)的黑客，對方表示要先看目標(biāo)網(wǎng)站的IP地址，才能給出攻擊報價。記者給出某小型非法網(wǎng)站地址，對方表示該網(wǎng)站“之前打過，有6個CDN（內(nèi)容分發(fā)網(wǎng)絡(luò)，可以降低網(wǎng)絡(luò)堵塞，一定程度上抵抗攻擊），一個IP打10分鐘，大概30分鐘就能打死（癱瘓），價格1000元，從現(xiàn)在到晚上十點。”照此計算，只要支付1000元，就可以讓目標(biāo)網(wǎng)站癱瘓9個小時。

　　騰訊守護者計劃資深安全專家雪狼告訴新京報記者，針對攻擊目標(biāo)網(wǎng)絡(luò)防護能力的不同，攻擊的成本也不一樣，“最低檔的話基本上是200元打一次，一般有一點防御的小網(wǎng)站是1000到2000元打一次，價格波動很大。”

　　而對于把服務(wù)放在云服務(wù)器中或者防護更好的網(wǎng)站，則需要流量更大、攻擊力更高的DDoS攻擊。

　　“在2017年基本上一名黑客若能做到每秒450G峰值攻擊力的DDoS攻擊，一個小時的成本大概為1000元左右，攻擊的目的可能是只把網(wǎng)站打癱瘓一次，之后進行勒索，也可能是受雇于人持續(xù)攻擊擾亂網(wǎng)站的正常服務(wù)。”雪狼表示。

　　根據(jù)公開報道，較近的一則DDoS攻擊案例是4月10日《檢察日報》發(fā)布的臺州某智能科技公司遭攻擊一案。2019年1月，該公司陸續(xù)接到不少游戲玩家投訴，反映在玩游戲時出現(xiàn)頻頻掉線等狀況，后證實遭到了黑客DDoS攻擊，這些攻擊讓用戶無法登錄，造成大量用戶流失，僅一臺服務(wù)器上受影響的注冊用戶人數(shù)就有近2萬人。為了應(yīng)對攻擊，公司專門花費5萬多元購買DDoS防護包，但效果并不顯著。最終公安機關(guān)抓獲了涉事黑客駱某，發(fā)現(xiàn)其以300元的價格從雇主處接單，并租用了一臺中控服務(wù)器，抓“肉雞”（即被非法控制的計算機信息系統(tǒng)，可以為攻擊提供流量），使用DDoS攻擊技術(shù)攻擊了該公司的服務(wù)器。

　　騰訊云發(fā)布的《2019年DDoS威脅報告》（下稱《威脅報告》）顯示，黑客購買攻擊服務(wù)的成本在數(shù)百元，而發(fā)起勒索每次的贖金可以達到數(shù)萬元；黑客搭建攻擊站點的成本在數(shù)千元，而出租DDoS攻擊服務(wù)的收入可以達到數(shù)十萬元。

　　黑產(chǎn)分工明確

　　有人提供“彈藥”黑客負責(zé)攻擊

　　新京報記者發(fā)現(xiàn)，目前黑市中DDoS攻擊已經(jīng)形成了分工明確的上下游產(chǎn)業(yè)鏈：處在產(chǎn)業(yè)鏈上游的是各類DDoS攻擊軟件賣家，他們?yōu)椤吧倒鲜健本W(wǎng)絡(luò)攻擊提供了工具，降低了黑客的入門門檻；處在產(chǎn)業(yè)鏈中游的是流量提供方，這些流量提供者或是擁有自己的專業(yè)機房，可以提供穩(wěn)定的帶寬，或是擁有大量“肉雞”，可以為DDoS攻擊提供充足的“彈藥”；產(chǎn)業(yè)鏈下游的則是執(zhí)行攻擊的黑客本人。此外，還有一些具有抗DDoS攻擊的公司主動參與了DDoS攻擊，他們的作用是提供測試DDoS攻擊力的“墻”，以方便雇主驗證黑客的攻擊實力，也成為了網(wǎng)絡(luò)攻擊黑產(chǎn)的一環(huán)。

　　其中，黑客最重要的上游當(dāng)屬流量提供方，2016年北京朝陽法院溫榆河法庭公布的案例顯示，曾有被告人通過木馬程序控制了68臺計算機，并將被控制計算機的流量出租給黑客進行DDoS攻擊并從中牟利，1G流量一天獲利100元，5個月間獲利3萬余元，被告人供述自己只負責(zé)抓“肉雞”，并不負責(zé)攻擊任何服務(wù)器和網(wǎng)站。但顯然該被告人也屬于DDoS攻擊黑產(chǎn)產(chǎn)業(yè)鏈的鏈條之一。

　　《威脅報告》顯示，中木馬的個人電腦是黑客最大的肉雞來源，占比46%。

　　4月16日，新京報記者在境外黑灰產(chǎn)平臺中發(fā)現(xiàn)，有不少黑客在平臺中高調(diào)“收流量”，當(dāng)有流量方表示以50元1G的價格出售流量時，立刻有黑客表示“全都收”，此外也有黑客表示真正有實力的人都是“自己買機房”。

　　除買賣流量外，黑灰產(chǎn)平臺中還活躍著不少提供DDoS攻擊腳本、軟件的賣家，熟悉黑產(chǎn)的人士“戰(zhàn)神”對記者表示，許多老的攻擊腳本到現(xiàn)在仍然可以賣出不少錢，但真正前沿的DDoS攻擊技術(shù)目前還主要從國外傳入，如果一名黑客可以做到300到500G的持續(xù)攻擊，一個月至少需要幾萬元成本。

　　誰易被攻擊？

　　游戲、電商位居前兩名 主要是惡性競爭

　　而在攻擊目標(biāo)上，大部分黑客表示樂意攻擊非法網(wǎng)站。“戰(zhàn)神”表示，這主要是因為這類“黑吃黑”的攻擊發(fā)生后，被攻擊者一般只能吃啞巴虧，而BAT等大型互聯(lián)網(wǎng)公司則是這些黑客們普遍不樂意攻擊的對象，因為“難度過高，風(fēng)險較大”。

　　根據(jù)《威脅報告》，在DDoS攻擊的行業(yè)分布中，游戲行業(yè)占42%，是最易受DDoS攻擊的對象，電子商務(wù)和網(wǎng)絡(luò)服務(wù)行業(yè)分別占15%和14%，位居二三位。而游戲行業(yè)中，近半數(shù)遭到攻擊的對象為手游APP。

　　不過，新京報記者在黑灰產(chǎn)平臺中同一些黑客交談時發(fā)現(xiàn)，由于手游APP無法像頁游一樣直觀的顯示出所在IP，所以往往需要使用一些技術(shù)手段先檢測出IP所在地再進行攻擊，因此不少黑客在收到攻擊APP的需求時往往要求雇主先給出IP地址，“自己檢測IP太麻煩了，你直接給我地址我才能給你報價。”

　　《威脅報告》稱，在DDoS攻擊的目的方面，打擊競爭對手、向互聯(lián)網(wǎng)企業(yè)收取“保護費”勒索以及向玩家出售“炸房掛”、“掉線掛”是最主要的三類收益來源，其中，超過80%的黑客發(fā)動DDoS攻擊的動機源于惡意競爭。

　　DDoS攻擊的打擊難題：

　　取證難、需國際合作

　　雪狼表示，近年來隨著網(wǎng)絡(luò)的發(fā)展，云服務(wù)器的帶寬和性能都大幅度提升，防御力和對抗技術(shù)也在不斷進步，因此DDoS攻擊需要的流量也逐年攀升。跟前幾年相比，黑客團伙的兩極分化比較嚴重，小黑客對大型企業(yè)沒有什么威脅，大型黑客組織則一般都牽涉境外，這是最麻煩的問題。此外，隨著物聯(lián)網(wǎng)的發(fā)展，越來越多物聯(lián)網(wǎng)設(shè)備成為了“肉雞”，利用物聯(lián)網(wǎng)設(shè)備進行UDP反射攻擊的攻擊方式越來越多，這給取證帶來了更大的難題。

　　《威脅報告》顯示，2019年DDoS攻擊次數(shù)相較于2018年出現(xiàn)小幅回落趨勢，但大流量攻擊依然突出；海外DDoS威脅大幅增長，2019年，海外攻擊占比達到15%，相較于2018年幾乎翻倍。

　　目前，已經(jīng)落網(wǎng)的較為知名的黑客包括騎士攻擊小組以及暗夜攻擊小組。其中，騎士攻擊小組于2010年落網(wǎng)，據(jù)公開報道顯示其在落網(wǎng)時收益已經(jīng)達到1億元。而暗夜攻擊小組則是騎士之后國內(nèi)最知名的黑客團隊之一，案發(fā)當(dāng)時擁有國內(nèi)近半的DDoS攻擊份額。

　　“暗夜小組能在非常短的時間內(nèi)組織起極高流量的DDoS攻擊，隨時對不特定目標(biāo)發(fā)起進攻，這是非常可怕的。”肖薇告訴記者，“這樣規(guī)模的攻擊需要上下游各環(huán)節(jié)結(jié)合起來才能實現(xiàn)。例如‘暗夜’背后有雇主提供資金和指定目標(biāo)，外部有‘肉雞’控制者為其提供流量，‘暗夜’自身也有組織分工：有負責(zé)日常管理的，有專門收購攻擊流量和‘測墻’的，有分析IP和操控‘肉雞’攻擊的，有負責(zé)軟件調(diào)試和電腦維護的，有負責(zé)轉(zhuǎn)賬洗錢的，還有負責(zé)后勤服務(wù)的。所有這些人在DDoS攻擊中起到的作用各不相同，有一些人甚至相互都不認識。”

　　“戰(zhàn)神”告訴記者，目前打擊DDoS攻擊很難，因為“國內(nèi)運營商要配合中國公安，可溯源放大攻擊必須要國外運營商配合，國外運營商不太可能完全配合中國公安。”

　　在肖薇看來，對DDoS攻擊的打擊難點在于，一是在客觀無法完整溯源的情況下，每一次攻擊與損害結(jié)果間難以確立一一對應(yīng)的因果關(guān)系；二是僅從法律規(guī)定的“直接經(jīng)濟損失”和“修復(fù)的必要費用”評價，無法客觀反映出網(wǎng)絡(luò)攻擊給云服務(wù)商和網(wǎng)絡(luò)秩序造成的實際損害；三是當(dāng)前主流的云服務(wù)普遍采用前置防護的方式維護網(wǎng)絡(luò)安全，這一部分成本投入無法映射至經(jīng)濟損失中，令案件難以達到入罪標(biāo)準(zhǔn)。此外，高隱蔽性和跨境化是當(dāng)前DDoS攻擊的普遍特征，這也為開展案件打擊、取證固證都帶來了極大的挑戰(zhàn)。

　　此外，相對于造成的破壞，目前國內(nèi)對網(wǎng)絡(luò)攻擊案例的判罰大多只在一至二年。如最高檢公布的關(guān)于暗夜小組的指導(dǎo)性案例中，11名被告人最終因破壞計算機信息系統(tǒng)案被分別判處有期徒刑一年至二年不等。

　　有游戲行業(yè)從業(yè)者認為，相對于黑客行為造成的破壞，判一至二年的結(jié)果“非常輕”，“服務(wù)器崩潰會直接影響用戶體驗，一些黑客專門挑在線人數(shù)最多的時候攻擊，造成用戶無法登錄，最后導(dǎo)致用戶流失，這給我們造成的損失無法估量。”

　　對此，有法律界人士對新京報記者表示，破壞計算機信息系統(tǒng)罪處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。根據(jù)國家規(guī)定，造成十臺以上計算機不能正常運行的屬于“后果嚴重”，但目前在云服務(wù)的背景下，已經(jīng)不能按照十臺、百臺來計算，因此，適時更新與黑客攻擊有關(guān)的法律法規(guī)勢在必行。