??近期，阿里云安全團(tuán)隊(duì)觀察到數(shù)十起大規(guī)模的應(yīng)用層資源耗盡式DDoS攻擊（應(yīng)用層CC攻擊）。這類攻擊存在一些共同的特征，阿里云安全團(tuán)隊(duì)對(duì)此做了跟蹤分析。

經(jīng)溯源發(fā)現(xiàn)，這些攻擊事件源于大量用戶在手機(jī)上安裝了某些偽裝成正常應(yīng)用的惡意APP，該APP在動(dòng)態(tài)接收到攻擊指令后便對(duì)目標(biāo)網(wǎng)站發(fā)起攻擊。根據(jù)阿里云安全團(tuán)隊(duì)監(jiān)測的數(shù)據(jù)顯示，近兩個(gè)月，已經(jīng)有五十余萬臺(tái)移動(dòng)設(shè)備被用來當(dāng)做黑客的攻擊工具，達(dá)到PC肉雞單次攻擊源規(guī)模。不難看出，偽裝成正常應(yīng)用的惡意APP已讓海量移動(dòng)設(shè)備成為新一代肉雞，黑灰產(chǎn)在攻擊手法上有進(jìn)一步升級(jí)趨勢。

海量移動(dòng)肉雞下的DDoS攻擊有哪些新特征？

通過監(jiān)測到的數(shù)據(jù)發(fā)現(xiàn)，這類攻擊有以下幾個(gè)特點(diǎn):

• 移動(dòng)端設(shè)備系統(tǒng)分布均勻：

iOS系統(tǒng)約占四成，Android系統(tǒng)六成；

• 攻擊規(guī)模和肉雞數(shù)量龐大且源IP不固定：
  

單次攻擊峰值達(dá)百萬QPS（每秒請(qǐng)求次數(shù)），來源于50多萬個(gè)肉雞源IP，且多次攻擊事件之間源IP重合度非常低；

• 攻擊源IP分布極散：

攻擊源IP分散于全球160余個(gè)國家，近40個(gè)運(yùn)營商，僅中國就有300余個(gè)城市存在攻擊源，且多數(shù)分布在東部及沿海網(wǎng)絡(luò)發(fā)達(dá)的省份；

攻擊源IP多為基站IP：

近一半的攻擊源IP為移動(dòng)網(wǎng)絡(luò)大型基站出口，意味著同一個(gè)源IP同時(shí)承載了攻擊流量和大量正常用戶流量；

• 攻擊調(diào)度無規(guī)律：

由于手機(jī)連接的網(wǎng)絡(luò)變化，以及APP的啟動(dòng)和退出，我們觀測到不斷有新的攻擊源IP加入，超過一半的攻擊源并非在攻擊開始時(shí)就發(fā)起攻擊，且每個(gè)攻擊源IP攻擊持續(xù)時(shí)間長短不一，單個(gè)攻擊源IP請(qǐng)求頻率并不高。

限速和黑名單在PC肉雞時(shí)代曾是“一鍵止血”的防御方式。但以偽裝成正常應(yīng)用的惡意APP方式發(fā)起的攻擊，由于移動(dòng)設(shè)備遠(yuǎn)活躍于PC設(shè)備，哪怕是一個(gè)小眾的APP，數(shù)量都相當(dāng)龐大。即使單臺(tái)肉雞設(shè)備請(qǐng)求頻率很低，聚合起來的總請(qǐng)求量也足以壓垮目標(biāo)網(wǎng)站，因此，攻擊者可以輕易在不觸發(fā)限速防御策略的情況下實(shí)現(xiàn)攻擊。

更可怕的是，由于攻擊源多為大型出口IP，傳統(tǒng)的防御方法簡單粗暴的將攻擊IP拉黑，這些IP背后的大量正常用戶也將無法訪問。同時(shí)，新的肉雞會(huì)在攻擊過程中不斷加入，黑名單的方式在這種情況下也不見得能有效封住攻擊。曾經(jīng)強(qiáng)大的護(hù)城河，在新攻擊態(tài)勢下變得雞肋。

黑客是如何借助惡意APP進(jìn)行攻擊的？

• 在非攻擊時(shí)間段，獲得的JSON指令內(nèi)容為“{“message”: “無數(shù)據(jù)”, “code”: 404}”，由于不包含攻擊指令，JS加載后進(jìn)入不斷循環(huán)，定期重新讀取JSON指令；
• 黑灰產(chǎn)在APP內(nèi)嵌了一個(gè)WebView，啟動(dòng)后會(huì)請(qǐng)求中控鏈接，該鏈接指向的頁面內(nèi)嵌及加載了三個(gè)JS文件，JS以ajax異步請(qǐng)求的方式動(dòng)態(tài)獲得了JSON指令；

• 一旦攻擊者發(fā)布攻擊JSON指令，JS即退出循環(huán)，在處理解析后會(huì)將消息傳遞回WebView。JSON指令中指定了目標(biāo)URL、請(qǐng)求方式、header等攻擊需發(fā)送的包內(nèi)容，并指定了攻擊頻率、當(dāng)前設(shè)備開始攻擊的條件、攻擊結(jié)束時(shí)間等調(diào)度參數(shù)來增加攻擊復(fù)雜度和靈活性；
• WebView通過UserAgent得到設(shè)備信息，判斷是iOS還是Android系統(tǒng)，不同設(shè)備調(diào)用不同函數(shù)觸發(fā)加載惡意APP中的Java代碼，讓設(shè)備根據(jù)指令發(fā)動(dòng)攻擊。
  

通過上述手法，所有安裝了這個(gè)APP的用戶就已經(jīng)被黑灰產(chǎn)團(tuán)伙利用，作為攻擊肉雞，神不知鬼不覺地陸續(xù)對(duì)指定的目標(biāo)業(yè)務(wù)發(fā)起了無數(shù)次的DDoS攻擊！

同時(shí)這也揭露了一個(gè)灰色產(chǎn)業(yè)，此類應(yīng)用的所有者通過發(fā)布APP，在各個(gè)渠道發(fā)布誘導(dǎo)類的廣告吸引用戶安裝使用，之后在通過用戶使用APP賺取利潤的同時(shí)，又將所有安裝APP的用戶設(shè)備作為攻擊肉雞提供給黑灰產(chǎn)來進(jìn)行DDoS攻擊，進(jìn)行二次獲利。

更危險(xiǎn)的是，從攻擊流程看，攻擊者想讓這些移動(dòng)設(shè)備以怎樣的方式、對(duì)誰、做什么操作，全都可以通過JSON指令動(dòng)態(tài)下發(fā)，可以說黑灰產(chǎn)能利用用戶設(shè)備為所欲為。

除了能惡意操控移動(dòng)設(shè)備發(fā)起攻擊之外，黑灰產(chǎn)還可以通過在APP中植入惡意代碼，私自發(fā)送扣費(fèi)類短信，借助運(yùn)營商的短信支付通道偷取用戶資費(fèi)；獲取用戶的通訊錄、地理位置、身份證、銀行卡等敏感信息，使用戶受到廣告騷擾、電信詐騙等，甚至還有可能被黑灰產(chǎn)盜用身份造成更大的損失。

如何應(yīng)對(duì)這種新興DDoS攻擊威脅？

在PC肉雞時(shí)代，企業(yè)抵御肉雞DDoS攻擊的做法相對(duì)簡單粗暴：

1. 檢測單元：請(qǐng)求頻率
2. 執(zhí)行動(dòng)作：限速和黑名單
3. 防御邏輯：請(qǐng)求頻率過高后開始進(jìn)行源限速或拉黑源IP
   

在無法有效防御的情況下，還需要人工介入抓包分析，根據(jù)攻擊具體情況配置防護(hù)規(guī)則，但這種響應(yīng)方式相對(duì)較慢，業(yè)務(wù)普遍已經(jīng)嚴(yán)重受損。

當(dāng)海量移動(dòng)設(shè)備成為新的攻擊源，黑灰產(chǎn)可以輕松繞過上述防御邏輯。企業(yè)不應(yīng)該再對(duì)“限速+黑名單就能一招制敵”抱有幻想，而應(yīng)該采用更為縱深、智能的防護(hù)手段：

1. 豐富攻擊流量識(shí)別的維度，將每個(gè)請(qǐng)求實(shí)時(shí)的解析出多維度的檢測單元；
2. 防護(hù)策略的執(zhí)行需要與多維度的識(shí)別相匹配，需要有精細(xì)、靈活、豐富的訪問控制單元，讓各個(gè)維度有機(jī)組合，層層過濾攻擊流量；
3. 機(jī)器智能替代人工排查，提升響應(yīng)速度，降低業(yè)務(wù)中斷時(shí)間。

盡管黑灰產(chǎn)只是升級(jí)了攻擊源，但企業(yè)針對(duì)這一改變所要做的安全防御工作量巨大，需要盡早行動(dòng)起來做好準(zhǔn)備。企業(yè)用戶也可以選擇購買百度云WAF應(yīng)用防火墻進(jìn)行防護(hù)，對(duì)大流量型DDoS攻擊及應(yīng)用層資源耗盡式DDoS攻擊（CC）做專業(yè)、智能的防護(hù)。

對(duì)于個(gè)人用戶而言，為了保障設(shè)備安全和數(shù)據(jù)隱私安全，主機(jī)吧建議，切勿從非正規(guī)渠道安裝未經(jīng)審核的APP，讓自己手機(jī)淪為黑灰產(chǎn)的工具，造成不必要的麻煩；安裝APP時(shí)請(qǐng)仔細(xì)確認(rèn)請(qǐng)求授予的權(quán)限，若發(fā)現(xiàn)APP請(qǐng)求了與功能不符的高風(fēng)險(xiǎn)權(quán)限，如“訪問通訊錄”、“發(fā)送短信”等，很可能存在問題，請(qǐng)謹(jǐn)慎安裝。????