在世界的隐秘角落,无数扫描和控制指令正在从一个 IP 涌出。站在云端俯视,偌大的版图上,一台台服务器甚至没来得及挣扎就放弃了抵抗。它们的“眼睛”变得通红。在暗色的夜里集结成军,准备听命于撒旦的指引,向安睡的世界发起攻击。
平行世界中,一个僵尸网络正在诞生。
黑客如巫师一般,挥一挥黑袍的衣袖,所有的机器同时喷射出巨大的数据,打向某个平台。瞬间可怜的服务器就被巨大的流量淹没。在我们的世界里,这被称为 DDoS 攻击。
然而,巫师手上的“俘虏”——可怜的服务器,并不是无脑的僵尸。他们同样可以用强大的计算资源,为黑客“挖”阅批;当然,他们也可以列队整齐,为某个服务刷单。
靠吸血敛财,是黑帽黑客的生活方式。
【僵尸网络】
控制,是一切黑客进攻的根本方法。
无论是控制僵尸网络,还是窃取企业信息,首要的一步就是入侵企业的服务器。而目前,中国绝大多数的网站服务器都在云端。
如果黑客想要入侵的服务器恰好位于阿里云(其实这个几率相当高),那么他首先要面临的,就是一位安驻云端的门神——叶敏。
叶敏的官方 Title 是阿里云云盾的安全技术负责人。从2010年加入阿里开始,他见证了云计算从踽踽独行到百万雄兵;他同样见证了云计算的城池之外,黑客们从散兵游勇到集结成军。
“企业的数据和服务都运作在阿里云上, 所以我们有义务给客户展示周围正在发生的事情。”他说。
【叶敏】
叶敏告诉雷锋网,根据他掌握的资料,就连他自己的某些低强度的(并不是那么重要的)密码也被泄露在了互联网上。黑产用这些数以亿计的数据库不断地“撞库”,从而获得同一个用户在不同网站上的信息。
为了保护阿里云的客户,一旦遇到客户被撞库的情况,需要对恶意 IP 做出“处罚决策”。例如,最简单的,封禁这个 IP。
粗略地一想,识别撞库很简单。那就是某个 IP 高频率地登陆不同的账户。但是我们在研发监测模型的时候发现,事情远不是这么简单。因为 IP 的类型很复杂。
有一些 IP 是出口 IP,比如一个学校所有的学生都共用一个IP 出口;
有一些是功能性的 CDN;
另外还有一些高频尝试并不是撞库,而是暴力破解,或者垃圾注册。