互連網江湖有多險惡 聽道哥娓娓道來

吳翰清，這個資深駭客擁有諸多身份：寫“道哥的黑板報”的“文藝網紅”& 阿里雲Apsara Stack Security的負責人。

在他心裡，第一個身份輕如鴻毛，第二個身份重若泰山。

保衛阿里雲這個中國 35% 的網站都坐落其上的雲端運算平台和上面的居民，道哥覺得自己守土有責，不容有失。

探底黑產，描繪自己的作戰地圖，是他對自己職責要求的一部分。

他告訴我們一個秘訣：“想要知道中國的黑產有哪些行業，只要看淘寶的禁限售板塊就夠了。”DDoS攻擊，敲詐勒索，暗網黑市，這些黑色產業，往往最終都會涉及到對阿里雲上伺服器的攻擊。

站在他的角度看，這個世界充滿血雨腥風。

險惡的世界

DDoS

我們定義一個大的流量攻擊，一般是300G以上。實際上根據我們掌握的資訊，國內已經有組織可以打出一個T 的 DDoS 攻擊。而且，其中80%都是由同一個組織打出來的。這些組織的實際控制人大多都潛逃在國外。

驅動這些攻擊的原因非常簡單：錢。有人買就有人賣。道哥告訴雷鋒網，如今打出 10G 流量攻擊，只需要幾百塊錢。

DDoS 攻擊這個行業，最為經典的玩法是攻擊遊戲私服。由於私服本身具有違法性質，所以並不敢求助於警察，黑吃黑是行業的通則。2013年中國國家頂級網域名稱“.cn”的根網域名稱曾經被打攤，這件轟動一時的事件就是因為黑產攻擊誤傷了底層伺服器。

掌握巨大頻寬資源的駭客組織兩邊賺錢，一邊收人錢財替人攻擊，一邊敲詐被攻擊者謀取更高利益。他們甚至勾結 IDC 機房，花錢買下機房所有的閑置頻寬，生意規模超出一般人的想象。

Anti-DDoS Pro，300G無限防>>

 

敲詐

很不幸，所有拿熱錢的行業，都會被駭客盯上。P2P和互連網金融就是本輪中槍的行業。

因為金融行業信譽非常重要，如果服務宕機，就很有可能喪失使用者的信任，從而遭受擠兌，這可能會導致破產。這些都是駭客勒索的絕佳條件。

道哥講了黑產的兩種玩法：

·1、入侵 P2P 公司的伺服器，盜取使用者的資訊。把這些高價值的客戶資訊出售，由下家進行廣告和黑色推廣。

·2、威脅 DDoS 攻擊，敲詐勒索。如果妥協掏錢，過一段時間對方往往還會回來繼續勒索。

搞清駭客的目的，對於防禦至關重要。“根據判斷，下一個被黑產盯上的行業很有可能是直播行業。從現在的情況來看，這件事情已經發生了。”他說。

雲上的攻防

雲是解藥

作為雲端運算的信徒，道哥相信這種正在迅速攻城略地的計算變革，從某種程度上來說是安全的解藥。他舉了一個例子：“我曾經到某監管單位參觀 。在巨大的螢幕上，他們能夠即時監控各個系統有沒有出現漏洞。但是，他們看到了卻無法非常迅速的修複。因為它對應的1000多個業務主體，各自的系統模式都是不一樣的 。”

但是如果使用雲端運算作為基礎，就可以統一 Iaas 層，在很短的時間裡修複漏洞 。

今年上半年，Apsara Stack Security為雲上的幾萬個客戶共修複了46萬個漏洞。這個成績讓道哥頗為驕傲，他說在以前這不可想象。

現實殘酷

縱然背靠阿里雲，在和黑產的對抗中，防守一方也並不佔優勢。他說：

“很遺憾，攻擊者仍然走在前面。因為我我們還不能預測駭客下一步的動向。”

這直接導致了安全產品必須被動地等待攻擊發生，才可以採取“救火”行動。對於Apsara Stack Security來說，從駭客暴露攻擊意圖，到攻擊被封堵，仍然有12個小時的周期。

黑產控制的互連網攻擊如同疫情一樣，大多數情況下，被感染的主機都會繼續向周圍傳播惡意代碼。而面對以“光速”傳播的病毒，每一秒都至關重要。

2015年12月，有數千個客戶的雲端服務器對外瘋狂發包。Apsara Stack Security緊急通知客戶並協助處置，發現駭客正在使用了一個弱口令漏洞傳播惡意代碼。“幸虧這個漏洞在12個小時之內被修複，如果回應時間是24或48小時，就會造成更大的損失。”他說。

 

優質的標準品

如果把互連網的攻防簡化到一張地圖上，你可以看到無數漂浮於雲上的節點，黑產和安全人員拼盡全力爭奪這些節點。

在如瘟疫一般擴散的惡意代碼眼裡，沒有大企業和小企業，只有能夠攻下的伺服器和不能攻下的伺服器。

“現在幾乎所有的安全公司都在服務頂端 3% 的大客戶，因為他們有充足的資源僱傭各種特種兵。但是很多並沒有很多安全預算的中小企業的死活卻沒人關心。”

道哥覺得，Apsara Stack Security應該為中小企業提供安全感。實際上物美價廉的解決方案只有一種，那就是不需要耗費過多人工成本的軟體服務平台（SaaS），所謂優質的標準品。

接下來的問題就變成了：怎樣才能做出這樣的一個平台。

資料和計算

把機器訓練成安全專家

一個優秀的安全人員，可以通過分析部落格，找出伺服器被進攻的蛛絲馬跡，在黑產攻防版圖上拔掉敵人的一個據點。

但是對於道哥的Apsara Stack Security來說，它面對著數以十萬計的雲端服務器，人工排查根本不是他的選項之一。如何把機器訓練成為安全專家才是解題方法。

一支火箭想要上天，其核心要素有兩個：發動機和燃料。機器學習很像一枚火箭，它的燃料是巨大的資料量，它的發動機是強大的計算能力。

對於阿里雲Apsara Stack Security來說，每天的增量資料是 300T，來自於阿里雲客戶授權的全量資料。而計算資源，本身就是阿里雲的巨大優勢。

結果是，Apsara Stack Security通過純系統計算的方式，可以感知到80%的入侵。道哥說，這個指標是同類系統的三倍。

防Web和CC攻擊，防資料泄露>>

孰優孰劣

這個檢出率在某種程度上和人工檢查不相上下，道哥給出了一個情境：

如果一個客戶上傳了一個 Webshell，如果安全專家分析全量的資料，可能要一周時間，現實情況中，往往不會這樣做。他們往往根據經驗，而不是完整的證據鏈條來判斷入侵。這種情況下就會出現失誤。而對於機器來說，它會分析全量資料，呈現出完整的證據鏈條。這樣的結果更加精準。

在成本和量級上，Apsara Stack Security和人工沒有可比性。客觀來講，道哥在做的事情，離開阿里雲很難複現。

Apsara Stack Security的大資料中，可以做出很多的關聯分析，例如：兩次攻擊事件之間的關係，一個黑產組織在盯著哪些伺服器等等。

如果說由各路駭客大神領軍的安全實驗室是特種兵的話，Apsara Stack Security更像是一支常備部隊，保衛阿里雲安全的基本態勢。

道哥自信地對我們說，Apsara Stack Security面前並沒有明顯的技術困難。但是，有很多攻擊擷取到的資料維度較為單一，在這種情況下，可用資料可能僅僅是一個 IP 的行為，在有限的資料下，如何利用計算能力更深層次的挖掘出攻擊相關資訊，就成為了一個重點。

購買道哥引以為豪的Apsara Stack Security>>

代表我的偉大作品

說來，很多人認識道哥，是因為喜歡他寫的“黑板報”。

“道哥的黑板報”最早確實給我帶來了一些聲望。但我不是個作家。我希望的是做出一個好產品，讓產品代表我。

道哥如此解釋荒廢了自己在駭客界“估值頗高”的公眾號的原因。但是，這位駭客並不是生來就如此“任性”。

他為我們講了一段阿里雲掌門人王堅的往事。

當時所有人都謠傳王堅博士要離開。

“糟糕”，是對阿里雲最初兩年業績最廣泛的評價。作為阿里雲的掌門人，王堅目睹兄弟部門已經磨刀霍霍，單等阿里雲解散之後，瓜分兵馬糧草。

 

縱然相信雲端運算未來一定會崛起，但是在遙遙無期的漫長等待面前，道哥終於扛不住，辭職了。出乎意料，王堅卻沒走。

他說他數次被逼到死角，退無可退，但是他真的沒走。他不僅一直堅信雲端運算大有前途，還在一直不斷地投入自己的一切。馬雲不懂雲端運算，但是最終他選擇相信博士這個人。

王堅的路上終於出現了第一個路標。阿里雲用五千台電腦串連成一個巨大的伺服器，這就是5K項目。這個技術創舉一舉奠定了阿里雲後來的江湖地位。

“王堅博士顛覆了我的世界觀”，道哥說，“當他邀請我回到阿里雲的時候，我真正感覺到，這件事能成。”這種宗教般的使命感，讓道哥根本不在意他的“黑板報”，一腔熱血死磕Apsara Stack Security，才有了如上的全部對話。

回到這種使命感本身，該堅持堅持，該放棄放棄。做出選擇很簡單。

我們問道哥：“這個能代表你的產品就是阿里雲Apsara Stack Security嗎？”

 

道哥答：“我希望是。”