图说:阿里协助景宁警方打掉国内首个从事新型DDoS攻击的网络黑灰团伙
利用少量带宽即可发起巨量DDoS攻击,让政府问政通道无法正常访问,让学校网页无法下发通知,还可让购物网页“离奇”丢失和棋牌网游无法登录,支付贷款突然中断……
近日,阿里巴巴安全部专案团队协助浙江景宁警方打掉国内首个从事memcached DDoS攻击的大型网络黑灰团伙。该团伙利用高性能缓存系统(memcached)、时钟网络同步服务器(NTP)等新型DDoS攻击手段搭建网络攻击平台,并以此牟利。
该平台攻击包含境外网站服务器、政府企业网站服务器、学校网站服务器以及各大云服务器等。“这些平台专门为大量的黑灰产份子提供最新型的DDoS攻击模式,以攻击境内外服务器。” 景宁办案民警表示,“其造成的后果非常严重,损失难以估量。”
阿里技术协助警方端掉新型DDOS攻击团伙
经过两个多月缜密侦查,浙江警方在阿里巴巴专案团队协助下,摸清了这一幕后组织背后的“秘密”。
“他们有自己的技术团队,还研发出全网最新的memcached DDoS攻击模式,主要以按天收费方式为他人提供DDoS攻击工具和接口,其中一个DDoS攻击平台界面显示,注册会员高达近万人。”阿里巴巴专案团队技术专家介绍说。
该团伙主要通过购买境外的发包机器,搭建各自的DDoS攻击平台,通过刷搜索引擎的排名推广DDoS服务,吸引“攻击手”,并寻找同行网站,攻击其服务器打击竞争对手。“黑灰产份子通过该团伙提供的网页端进行注册,购买相应的攻击套餐服务,然后通过平台客户端发送攻击指令实施DDoS攻击行为。”办案民警介绍。
2018年5月5日晚,随着该案最后一名主要嫌疑人在湘西落网,公安部督办"129破坏计算机信息系统案"也得以告一段落。目前,该案一共摧毁黑客攻击平台3个,抓获平台主要创办者3人,查获境外发包机15台,攻击日志10万余条。
新型DDoS攻击可制造5万倍垃圾流量堵瘫网络
图说:memcached反射源来源分布情况
DDoS攻击的历史可追溯到上世纪90年代,如今,黑灰产的DDoS攻击能力也在日益提升。
专门从事网络黑灰产技术研究的阿里安全归零实验室专家表示,反射型DDoS攻击是相对高阶的种类。攻击者并不直接攻击目标服务IP,而是通过伪造被攻击者的IP向全球特殊的服务器发请求报文,这些特殊的服务器会将数倍于请求报文的数据包发送到那个被攻击的IP(目标服务IP)。
据介绍,以往的DDoS反射攻击,例如NTP和SSDP攻击的放大倍数一般都是30~500之间,而memcached DDoS的放大倍数都以万为单位,通常情况下,其放大倍数约为5万倍,而且不排除这个倍数被继续放大的可能性。
“利用这个特点,黑灰产团伙可以用非常少的带宽即可发起巨量的DDoS攻击。”阿里安全归零实验室技术专家称,“这种攻击手段对目标对象非常有效,不仅使得监控、溯源更加困难,而且可瞬间制造巨大垃圾流量,造成网络堵塞和服务中断,因此危害极为巨大。”
据悉,阿里巴巴集团成立了专案团队和归零实验室,通过线索和技术的支持,协助警方推进案件侦办,以解决当前日益严重的网络违规和网络犯罪问题。
