在江湖之中神秘组织DDoS市场是怎样运行的呢？

DDoS市场风气云涌，暗藏杀机，今天我们来揭下这个罪恶的市场的神秘面纱…

首先了解DDoS攻击是什么？

DDos又叫分布式拒绝服务，全称Distributed Denial of Service，利用DDos造成的攻击称为拒绝服务攻击，其原理就是利用大量的请求造成资源过载，导致服务不可用。
DDos攻击从层次上可分为网络层攻击与应用层攻击，从攻击手法上可分为快型流量攻击与慢型流量攻击，但其原理都是造成资源过载，导致服务不可用。

欲知详情动动小手自行百度。

你的网络业务为何会被攻击？

在浩瀚的互联网界，你兢兢业业的摆地摊儿，为何总会被传闻中的各种流派中伤？

1. 你的行业门槛和技术含量太低，而利润又足够诱人！

典型例子：棋牌手游、私服外挂等灰色产业。

棋牌手游大军投资20-50万不等就能做的出来，只要能保证每天几万玩家流量，月入百万毫不费力。

由于入行门槛低，玩法单一，操作简单，利润诱人，所以导致市场上棋牌手游大军“百家争鸣”。

而有限的市场份额注定这是一场同行间你死我活的激烈厮杀！

手段？你猜。心里没点那啥数，弄死了你你也不一定敢去报官~报了官，我也有银子摆平你~

1. 敲诈

你小小的地摊儿门庭若市，络绎不绝的客户带来了丰厚的回报。

某日，一位武艺高超的蒙面大侠拿着四十米的大刀闪现在了你面前。

“要钱还是要命？”

面对大侠的质问，你望了一眼衙门的方向，再看看地摊儿上的“盗版光碟”和“带颜色的书”，心里迅速盘算了一下，乖乖掏出了银子。

1. 误伤

你挨着旁边二狗子的摊儿位，在地上铺了块布就开始了愉快的地摊儿之旅。

正在此时二狗子的摊儿的被突如其来的恶势力烧杀抢掠，而你近水楼台。哦豁，遭受了无妄之灾。

4. 纨绔子弟上路总想装个逼

某天不知哪家年纪轻轻的纨绔子弟，刷波存在感，想做这条gai最靓的仔，总之就是想装个逼呗。

然后你的小摊儿就被挑衅了…

在江湖之中神秘组织DDoS市场是怎样运行的呢？

“发单人 （[上帝]老板-往往缺乏计算机信息知识的人，大多拥有不错的经营天赋以及讨价还价技巧，因为知识短板，常常被骗子骗钱~）

在 DDoS 攻击黑色产业链中，链条顶端的角色为“发单人”，也就是出资并发出对具体网站或服务器的攻击需求的人。常见的“发单人”通常是非法网站如色情、赌博、彩票、游戏私服等网站的经营者，为了打压竞争对手而雇佣黑客对其他同类网站进行攻击。

攻击实施人（[工农阶级]DDoSer-往往掌握着最基础的计算机知识【如mstsc，ping，HFS等工具/指令的使用方法】，文化水平和个人素质普遍较低）

接到“发单人”指令并执行攻击的人，称为“攻击实施人”。实施攻击的方式有两种：

一种是利用软件、工具操纵肉鸡(被入侵利用做攻击工具的个人计算机)模拟访问，占用目标的服务器CPU资源，导致正常用户无法访问；

另一种是发送大量流量攻击目标服务器，导致服务器无法访问网络。软件或工具多数购买自“黑客软件作者”。而有的“攻击实施人”由于不懂DDoS攻击服务器搭建，于是从“肉鸡商”和“出量人”手中购买已经搭建好的“肉鸡集群”和“流量平台网页端的服务”。

肉鸡商（[中层阶级]由初中生+高中生+大学生以及社会闲散人员组成的一群脚本小子/掌握渠道的中间商）

“肉鸡商”是侵入计算机信息系统的实施人，或者买卖被侵入计算机系统权限的中间商。他们利用后门程序(绕过安全性控制而获取对程序或系统访问权的程序方法)配合各种各样的安全漏洞，获得个人计算机和服务器的控制权限，植入木马，使得这些计算机变成能实施DDoS攻击的“肉鸡”。

出量人（[上层阶级]国内外机房的好朋友/大客户~往往身后是一群大老板）

“出量人”是拥有服务器控制权限和网络流量的人。他们有一定技术能力，能够租用专属服务器并自行配置攻击软件从而获取流量。

担保人（[上中下层阶级]个人素质较高的一群人，只要有积攒下来的，足够的信誉，就可以由DDoS产业里任何一部分人充当）

在发单、购买肉鸡、购买流量等各个交易环节中，因为交易的双方往往并不认识，于是他们会找到业内“信誉”较高的黑客作为“担保人”，负责买卖双方的资金中转，担保人可从中抽取一定的好处费。

黑客攻击软件作者（大多数是苦逼程序员一枚- -有极少数投入一些大型DDoS团队的怀抱，享受高官厚禄@阿布小组）

负责编写 DDoS 软件，用其实现多种攻击方式，降低黑客攻击门槛，并售卖软件盈利。”

被曝光以及被安全人士掌握的信息永远只是一少部分！

事实上在中国的DDoS产业链上，还存在另外的几类人：

“二手贩子”：靠着手里掌握的靠谱打手的联系方式，与老板联络沟通并高价接单，来赚取差价。

“骗子”：不错，在DDoS市场中也存在大量骗局，20-40%的广告都是骗子发的。通常通过告诉老板先付定金再开打的诈骗运营模式来作案。

“御用打手”：被老板包养，协助老板垄断市场、巩固江山，长期呆在东南亚，并接受老板庇护的一类人@阿布小组 @骑士小组@8uc团队@暗夜小组

“跑量人”：手下有大量的嗷嗷待捕肉鸡来源（一般10万只起步），大多数情况下是通过网站挂马与下载站植后门获取到这么多肉鸡量的，通过包天出租控制端或着代跑量（比如：保证10000-15000上线，4000元一天）赚钱，市场上针对博彩产业的CC攻击源，很多都出自跑量人。

“自产自销售+自用者”：新兴出现的一种人士，本身有相当好的计算机基础，产品破坏力非常巨大，可却因为刚入行没多久，或者不知道哪里有市场，没有老板包养，只好自产自销售+自用，典型的例子就是Mirai的作者~

“网页端站长”：网页端（Booter/Stesser）的搭建者和销售者，通过论坛上烂大街的源码，和租用来的发包机构建出租凭式网络攻击平台。典型的例子就是Vdos。他们为大量小学生+中学生+高中生+大学生+无业游民+小老板提供了基础的攻击服务。

中国市场的主流攻击方式与攻击流量大小？

你们极有可能不相信我待会给出的流量数据，但是你们要记住，安全人士掌握的信息永远只是一少部分！一台高防的防御能力只有300G的情况下，攻击者发动600G的攻击，你也只能监测到300G，因为网络通信已经被堵塞了~防火墙上看不到更多~

什么？你“竟然”遭受到了超过500G的攻击？不好意思，对于市场来说，那实在是个塞牙缝的量。

1.本年度最佳最畅销-SYN （市场总掌握量约1.5-2.5Tbps）

随着越来越多的国内服务器商开始为只需TCP协议的网络应用，提供阻断UDP协议的安全规则（比如Minecraft），SYN攻击开始变的更加主流，并开始撼动前几年打造好的UDP的王位。

中国市场上的SYN分大包与小包

小包为128字节以下的syn包体

大包则是128字节以上的syn包体

“我不知道有没有学术上的用词不当，请勿介意”

我见过的，行内最大的syn攻击为峰值600Gbps为时3小时的攻击，目标是武汉116.211.144.21的棋牌游戏（此ip段从省运营商阻断海外和UDP，单机防御560G，难打的一匹- -我现在都还记得）。

2. 风靡全球的能量大霸王-UDP（市场上总掌握量约5-8Tbps）

听老一批人说，08年之前，UDP在国内是没人要的东西。直到骑士小组公开了他们的，拥有DNS查询攻击模式的集群控制端后，才渐渐有人开始收购纯UDP（肉鸡UDP量），用来攻击DNS解析。

但随着前几年反射/放大攻击（reflection/amplification attack）的出现，UDP在市场上变的十分火热。

只需要1G的伪造流量，即可给目标带来几十G甚至上百G的伤害，这么爽的属性，谁不喜欢呢？

目前，大部分的反射攻击脚本因为泛滥与安全工作者的努力，已经无法提供超过50倍的放大倍数。但是有一部分脚本以及特殊的过滤反射源方法，依然能够提供65-150倍的放大能力~

我见过的最大的攻击是预估值2Tbps的混合放大攻击（NTP+SSDP），目标是阿里云盾电信116.211与联通218.11的多个棋牌客户。

3. 博彩/色站克星-CC（市场上总掌握量约500-800万同时并发数）

CC攻击的成本往往很低，攻击没接入CDN和没有ssl的站点只需要用http代理就行了~

这一两年lot设备剧增，也给CC攻击源补充了大量新能量~

层出不穷，防不胜防，成本低廉的CC攻击往往才是许多抗D厂家的痛点

我见过的最大的CC集群有一百多万的控制量。分配在10台C&C服务器上。

据那个人说是和某黄色播放器的作者比较熟，然后……他的马还上了腾讯云安全的头条来着- -好像马子被命名为暗云腾讯估计做梦都想抓他，可人家在东南亚呆的好好的呢，抓个JJ哦

4. 穿盾小王子-TCP （市场上总掌握量约500-800万同时并发数）

TCP攻击如同CC一样，成本很低，也可以通过proxy来发动。

很多防御贼高的服务器都最后倒在了tcp的石榴裙下~因为防火墙很难判断哪个是合法的用户请求~

怎么抵挡T级的DDoS攻击？

答：花钱-很多钱~

如果是灰/黑色网站，Cloudflare与Incapsula的绝对是最佳选择

如果是棋牌游戏，那TCP转发技术是你的最好选择，10个节点的防御效果绝对要比单机强悍。（通过api分析玩家的ip地址，再按地区分配高防节点）

如果是色情，那就选择亚太与欧洲的不封机机器（此处必须推荐一下OVH法国和加拿大）

如果是游戏/私服，同样的，TCP转发技术会是你最好的选择。

DDoSer的行业人均收入？

在中国的DDoS的市场，收入取决于你的能力与智商。一个缺乏技术含量的DDoSer收入大概在每月0.5-5万人民币这个样子。一个优秀的流量producer可以收入10-30万/月，而如果背后有非常大的集团包养（御用打手），那可以月入百万。这行业就和现实里的小混混一样，靠着一帮灰黑色产业苟活。高风险，高回报。

点评如今市场上阿里，腾讯，网易推出的DDoS高防？

阿里云云盾：

优点：账户里冲满钱的情况下，单机防御600-700G，按攻击流量大小计费。

缺点：遇到攻击瞬间变成吞金兽，一台机器可以一天吞几万块钱。被超过阈值的流量攻击1分钟就会封机！没错，云盾也是会封机的~电信116.211.167-172段封20-50分钟，联通218.11.1-3段封40-60分钟。
阿里最近学聪明了，挡不住上T的UDP流量，那就阻断海外流量缓解一下吧。

阿里云游戏盾：

15万一个月起步，提供50个50G防御的ip（给更多钱的话也许会有更多节点）。

优点：节点多，可以有效的缓解攻击造成的破坏。

缺点：太贵，单节点防御实在不堪入目（小学生拿网页端都能干了- – ），节点大部分都在同段，游戏端口一致的情况下可以直接扫描出全部节点ip，逐一剿灭。封机时间在60分钟左右。

对于有点技术的量牛来说，就是废物。

腾讯云DDoS高防ip：
优点：账户里冲满钱的情况下，单机防御300-500G左右，按攻击流量大小计费。
缺点：遇到攻击瞬间变成吞金兽，被超过阈值的流量攻击会立马封机。封机时间30-50分钟。

PS：交钱少的客户，被打一发超过500G的，会封机一整天！

网易易盾：

优点：账户里充满钱的情况下，单机防御500-700G左右，遇到超过阈值的攻击不封机（不知道时间太久了封不封）

缺点：遇到攻击瞬间变成吞金兽

网盾科技：

优点：不用充钱，弹性后结算，上T的攻击直接跟电信运营商的云盾对接调动，小攻击无视，大流量也不贵，确实物美价廉，服务热情。

缺点：大的攻击会响应调度相对慢点，一般在30分钟内。。