DDoS 攻击的成本和收益

微信公众号：计算机与网络安全

ID：Computer-network

提起DDoS攻击，人们首先会想到的会是Anonymous的面具、格鲁吉亚的战火和无法访问的雅虎主页。在媒体报道中，黑客都是一些“疯狂”的人。他们要么是躲在阴暗小屋里的程序员，要么是双眼通红的恐怖分子。

然而现实中，绝大多数攻击者并不是疯子和变态。隐藏在“疯狂”面具后面的往往只是一个“冷酷”的逐利者。攻击是手段，如何从中获利才是他们真正关心的。带入攻击者的视角，我们会发现，“黑客”们会精确计算每次攻击的成本和收益，选择最合适的时机和形式，从而将自己的利益最大化。

一、攻击成本

提到攻击者的成本，也许有人会问：“发起网络攻击，需要成本吗？‘黑客’不是无所不能吗？他们控制那么多僵尸网络，拿来发起攻击就行了，怎么会需要成本？”

上面的疑问很常见。从媒体报道中，“黑客”给人的印象就是如此：现实世界里的“宅男”，网络世界中的超人。然而这只是一个误区，实际上攻击者早已有了成熟的分工模式。

误区：只有“黑客”才能发起DDoS。

“只有‘黑客’才能发起DDoS”这个问题有些类似“只有士兵才能持枪射击”。技术的发展必然会促进分工，当前枪械的制造和使用早已完全分离，使用的难度也大幅降低。如果对准确度要求不高，射击就不再是一项专业技能，普通人经过少许练习就能够使用枪支。

网络攻击同样如此。当前大部分“黑客”都专注于特定领域，有的擅长发现漏洞，有的善于开发工具，有的负责入侵过程，有的专门处理账户信息。就DDoS攻击来说，一些“黑客”会建立和维护所谓的“攻击网络”。他们有的利用僵尸网络，有的控制高性能服务器，形成攻击能力后对外提供租用服务。而最终的租用者很可能只是不具备任何专业知识的普通人。这些服务使用方便，只要输入攻击目标的地址就可以完成整个攻击过程。发起DDoS攻击的可能是本地的网络黑帮，可能是对街的竞争对手，可能是上周被开除的员工，甚至可能是某个老朋友有些过火的玩笑。潜在的攻击者并不遥远，他们也许就在你的身边。

近年来，软件即服务（SaaS）的方式早已经深入人心，而“黑客”们作为技术的先行者，自然不吝于尝试这种方法。攻击即服务（Attack as a Service，AaaS）甚至分布式拒绝服务攻击即服务（DDoS as a Service，DaaS）正变得越来越流行。而且以攻击即服务这种方式提供的服务价格非常低廉。收费主要分按次计费和长期租用两种形式。大部分情况下，每小时攻击不到10美元，而长时间租用的价格则更低。

采用按次计费的形式，具体金额与时间及流量相关。时间越长或流量越大，费用就越高，但并不完全成正比关系。威胁研究员Dancho Danchev在他的博客中介绍了一个DDoS租用服务的细节。从图1中可以看出，1小时的攻击费用是5美元，而一星期则只要260美元。

图1　Danchev博客中提到的DDoS租用价格

一个名为Gwapo的网站在互联网上提供DaaS服务。他们在YouTube上公布了一段视频广告，一个男孩介绍了服务的功能和付款方式（见图2）。根据目标对象的不同，每小时的费用从10到100美元不等（见图3）。

图2　Gwapo在YouTube上的广告

图3　Gwapo的服务条款

对于此类收费方式的服务，Vicente Segura通过针对性的研究总结了其一般规律（见图4）。他根据调研的具体价格情况，模拟了一个价格公式。公式中的C表示价格，A表示要求的带宽（Mbit/s），t表示攻击时间，C=0.9640·A。

图4　Vicente收集的部分价目单

另一种方式是按照租用时间付费，例如支付月租甚至购买终身使用权。RageBooter就是这样的一个站点。该站点提供了种类繁多的选择方案，不同价位的区别主要在于单次攻击的持续时间（见图5）。有趣的是，网站的拥有者声称这种服务是完全合法的，并直言他为FBI提供服务。遗憾的是FBI对这种说法不太认同。

图5　RageBooter的租赁报价

从上述实例可以看出，无论是哪种付费方式，都称不上昂贵。对于希望打垮竞争对手的企业来说，实施攻击的成本远低于一次广告。而对于那些因为被解雇而怀恨在心的前员工，或单纯想搞恶作剧的年轻人，这样的价格也并不是很大的负担。

二、获取收益

相对于成本，另一个需要考虑的因素是收益。毫无疑问，只有收益大于成本，攻击行为才有意义。当收益足够大时，攻击者就敢于冒任何风险。除了探索时代的少数“黑客”外，大部分DDoS攻击都有明确的目的。

误区：DDoS攻击的目的就是单纯破坏。

在很多人眼中，“黑客”其实是天才和白痴的混合体。一方面，他们在网络中如超人般无所不能；另一方面，他们却像“哥斯拉”般四处喷火，为了破坏而破坏，完全是损人不利己。

毋庸置疑，DDoS攻击的直接后果是破坏服务的可用性，简直是这一看法的完美证据。可实际上，这些隐藏在面具后的是一双双能够计算比特币的眼睛。当今时代的攻击者，对计算收益的敏感性远超常人。他们会用破坏的威力换取对等的利润，会用破坏的威慑避免自身可能受到的损失，会用破坏的杠杆撬起胜负的天平。更有时候，只需提示一下破坏的可能性，他们就可以坐地收银。

破坏，只是DDoS攻击的手段；最终的目的，永远是利益。

如何评估DDoS攻击的收益是一个有争议的问题。笔者认为，获利方式可以分为三类：敲诈勒索、实施报复以及获取竞争优势。

1、敲诈勒索

敲诈勒索自古以来就存在，现在不过是从现实世界延伸到网络中。最典型的形式是攻击者选取目标网站进行DDoS攻击，对其业务造成影响，然后再发送勒索信，如果受害者不按照要求支付，就会继续遭受攻击。

有的攻击者并不直接从受害者处获利。例如，一些受到攻击的游戏运营者被要求在其游戏中植入广告。对于一些依靠用户购买来获利的运营者，广告收益并不显著，所以很容易屈服。但是对于攻击者来说，一旦掌握的广告投放渠道形成规模，就可以从中渔利。另一个例子是，一些网吧被攻击者胁迫，要求植入僵尸程序，借此建立可以进行更大规模攻击的僵尸网络。攻击者一般会和网吧经营者约定，僵尸网络只是有限制地使用流量，不会对网吧业务造成明显影响。在不损害根本利益的情况下，大部分受害者都会屈服。

2、实施报复

“实施报复”是否可以算是一种收益？这的确是一个有争议的问题。在缺乏秩序的环境下，“以眼还眼，以血还血”的习俗往往很容易被人接受。因为在这种环境下，弱势群体的利益很容易遭受侵犯，报复的根本目的是试图避免下一次的迫害。从这个角度来看，实施报复的确是有收益的。

2012年7月，一部关于伊斯兰教先知穆罕默德的影片的预告片被放到YouTube上，任何人都可以观看，也可以评价“赞许”或“反感”。同年9月18日，一个自称“伊兹丁·哈桑网络战士”的伊斯兰黑客组织要求移除相关视频，否则就对美国金融行业实施报复性攻击，这就是著名的“燕子行动”。那么问题是，什么程度的报复才能补偿他们受到的侮辱呢？这个黑客组织通过给出一套看起来很有逻辑的计算方法来回答这个问题。他们认为，侮辱视频每被观看或“赞许”一次，都是对伊斯兰教的侮辱；而每次“反感”则相反，两者的加权差再乘以代价因子（由哈桑陪审团裁定），就是美国金融行业应付的代价。而后他们估算了美国金融行业遭受DDoS攻击时每分钟的损失，以及进行攻击时每天的有效时长。最终，得出每个阶段行动应当持续的时间。下面给出了“燕子行动”第三阶段的计算公式，最终结论是该轮攻击将在2个月中的25天执行。

怎样计算“燕子行动”的持续时间？

T=视频的观看人数

L=评价为“赞许”的人数

D=评价为“反对”的人数

DF=10（一个“反对”者可以抵消的“赞许”人数）

CF=100美元（对于每次观看或“赞许”，美国金融行业应付的代价，基于哈桑陪审团的判决）

TC=(T+L–DF×D)×CF（美国金融行业应该付出的代价总额）

C=30000美元（美国银行遭受DDoS每分钟的大致损失）

TM=TC/C（即将进行的总DDoS分钟数）

S=平均每天DDoS的成功时间

TD=TM/S（进行攻击的总天数）

PD=已经攻击的总天数

TP=PD×S×C（美国银行已经付出的代价）

REM=TD–PD（即将对美国银行发动DDoS的天数）

3、获取竞争优势

物理学中有“不稳定平衡”的概念，是指“处于平衡状态的物体，由于受到某种外界微小的作用，如果物体稍有偏离就不能恢复到原来的平衡状态”。社会生活中同样存在这样的现象，在商业、军事和政治竞争中，势均力敌的状态最容易被意外的袭击打破。

利用DDoS进行商业竞争已经成为一种低成本和普遍的现象。这种竞争主要存在于中小型企业之间，因为它们的安全防护方面往往投入不足。形式上可以分为两种，第一种是妨碍对手的业务活动，造成客户流失。例如，中国的城市中普遍存在大量网吧，当同一地区的经营者过多，就会展开竞争。典型的场景是，一家新开张的网吧正在以较低的价格促销。而被招揽的顾客却发现网速非常慢或根本无法上网，于是渐渐离开这里，回归以往的网吧。一个月后，新开的网吧因无力支持而关闭，它的经营者最终也没明白自己遭受了竞争者的DDoS攻击。竞争者想要打击对手并不困难，并不需要自己了解“黑客”技术。由于教育和就业环节的缺失，大量没能接受高等教育但是足够聪明的年轻人，希望通过学习“黑客”技术来改变自己的命运。如图6所示，进入一些黑客论坛，可以找到大量这样的广告。

图6　黑客论坛中的DDoS广告

美国Damballa公司公布了一份报告，其中描述了中国的一个僵尸网络：“IMDDOS BOTNET”。Damballa声称，他们是在2010年9月13日发现的这个僵尸网络。与以往不同的是，这个僵尸网络的所有者建立了自己的主页（见图7），并发布广告提供DDoS攻击。网站声称，只对那些违法的站点，例如赌博站点，进行攻击。

图7　IMDDOS主页

利用DDoS进行商业竞争的第二种形式是打击对手的声誉，例如在访问量较大的时间点使主页瘫痪。国际上的一些商业黑客组织会提供更专业的服务。2012年6月，威胁研究员Dancho Danchev在他的博客中对一个DDoS租用服务的细节进行了介绍。由图8可见，从最早的SYN FLOOD到流行的HTTP FLOOD，各种类型的攻击都可以提供。

图8　DDoS的租用类型示例

利用DDoS进行军事竞争并非新鲜事。Jeffrey Carr在《网络战内幕》（Inside Cyber Warfare）中，对利用DDoS的战争案例做了重点描述。就常理来看，军事行动中网络攻击的首要目标应该是对手的指挥和通信系统，其次是国家基础设施。但实际情况并非如此，迄今为止使用了DDoS手段的著名网络战，主要发生在俄罗斯与邻国之间。由于军事力量对比悬殊，争夺的关键在于信息发布渠道。当一个国家的政府官方网站和主要新闻网站遭受攻击而无法传递信息，首先会造成本国民众的恐慌，其次也难以及时获得国际舆论的支持。由此可见，DDoS攻击在军事竞争中的确可以发挥巨大的作用。此外，网络基础设施的依赖性问题也值得关注，有关人士认为，格鲁吉亚的网络只有少数几个对外连接，而其中相当一部分物理上需要通过“敌对国家”（俄罗斯），这会造成一种进退两难的境地。图9引自Packet Clearing House对当时格鲁吉亚的网络拓扑结构的描述。

图9　格鲁吉亚网络拓朴结构

利用DDoS进行政治竞争相对少见，但其方法和商业竞争并无本质不同，妨碍对手的活动和打击声誉是显而易见的选择。2012年加拿大民主新党竞选中发生的情况就被怀疑属于前者。投票遭受DDoS的影响，而且攻击时间和投票时间完全吻合。事后的调查确认超过一万台僵尸主机参与了该次攻击（更多内容可以参看《DDoS 攻击的历史》）。而2009年伊朗大选期间的DDoS攻击则属于后者，为了抗议选举舞弊和对Twitter等社交网络的封锁，一些反对派成员对政府网站发动了DDoS攻击。为了支持这一行动，世界著名的P2P站点“海盗港”也进行了声援活动，更改了自己网站的标志，如图10所示，将原本的网站名称暂时从“海盗港”（The Pirate Bay）改为“波斯湾”（The Persian Bay）。

图10　海盗港原本的标志和修改后的标志

误区：普通人不会遭遇DDoS攻击。

如果你没有自己的在线网站或服务，自然无须担心。但如果你是一个网站的经营者，哪怕收入不多，甚至是非营利性质的，以下的想法也大错特错。“网上这么多站点，更出名的多的是，黑客怎么会攻击我？经营最近刚上轨道，挣钱还没多少，也没得罪过谁，黑客应该不会选中我吧？”

其实这样想，本身就已经进入了误区。网络世界遵循的并不是“人不犯我，我不犯人”的规则，一切只为了利益。网络犯罪团伙会为了利益进行敲诈，攻击名气大的站点的确可能获得更高收益，但成本和风险同时也会增加；而规模较小的网站防护能力薄弱，更容易得手。竞争也是DDoS的重要原因之一，新进者可能攻击领先者以抢夺用户，而领先者也可能攻击新进者来消除隐患。至于恶意的报复性攻击，则完全不会考虑规模之类的因素。

总之，网站的名气和盈利状况并不会影响攻击行为本身。只要你的网站是可被攻击的，那么它就可能遭遇DDoS，普通人同样难以幸免。

三、结语

“如果有10%的利润，它就保证到处被使用；有20%的利润，它就活跃起来；有50%的利润，它就铤而走险；为了100%的利润，它就敢践踏一切人间法律；有300%的利润，它就敢犯任何罪行，甚至冒绞首的危险。”这句话出自托马斯·约瑟夫·登宁的《工联和罢工》，因为被马克思在《资本论》的脚注中引用而出名。使用DDoS的攻击者完全可能获得远超300%的利润，所以如果没有极其严格的惩罚措施，就无法阻止这样的行为。然而现实中，立法的速度和力度都远远达不到杜绝这一现象的目标。“上帝只帮助那些勇于自助的人”，完善自身的安全防护体系才是真正的解决之道。

微信公众号：计算机与网络安全

ID：Computer-network