手握百万恶意IP，阿里云要跟黑客拼了 | 云栖大会

如果把所有的云安全企业比作班级里的童鞋，那么阿里云算得上是学习委员。当然，就如同每个人都遇到过的那个学习委员一样，Ta 往往不一定是学习成绩顶好那个，但是却得为大家树立一个“拼命三郎”般正面的榜样。

号称全国超过30%的网站部署在阿里云上，这个数据让阿里云张目而卧，不敢有半点闪失。

在云栖大会上，来自阿里巴巴的技术大牛们也分享了他们和黑客做斗争的经验。

【被挂了赌场广告的体育总局网站】

快枪手黑客——从开始到结束只需一小时

一小时，足够你做完很多想做的事。但是对一次攻击来说，能够在一小时之内取得服务器权限，这样的黑客无疑算是快枪手。但是，阿里云公布了一个奇异的数据：

在阿里云盾拦截的8万次定向攻击中，黑客入侵的成功率是12.19%，而在这些成功的进攻中，有一半从开始到得手不到一个小时。

要知道，从技术上来讲，攻击一个网站所需要的寻找漏洞、找到注入点、发起进攻尝试到最终攻破防守，这一系列进攻需要很多次试错。传统上来说，整个过程持续一周到数周都是正常的。为什么现在的进攻会如此迅雷不及掩耳呢？

阿里云安全专家叶敏告诉雷锋网：

这件事情其实并不难理解。因为探测到的攻击，其中96.25%是靠扫描器发起的。得益于成熟的渗透工具，现在的黑客只需要点一点鼠标，所有的攻击就全部自动化完成了。

在阿里云攻防团队攻破的一个黑产组织中，安全研究员看到了黑客掌握着超过300G的账号和密码。而且在这个产业链上，有人专门收集信息，有人申请攻击代理服务器，有人专门编写攻击工具，最终把受害人账号里的虚拟资金转走。这件事情，已经远远不是黑客们的小把戏，而是已经成为一个坚如磐石的完整产业链。

【黑客入侵用时统计，半数不到一小时】

既然黑客们使用了“自动步枪”，所以为了保护云上的用户，安全人员同样要使用自动化武器。例如，在一些高级对抗中，安全研究员会研发自动化追踪黑客的工具，可以通过类似的反制手法定位到黑客通过什么路径一步步进入到我方营地，而且还会在黑客的操作过程中，自动对黑客的行为进行取证。

挨揍——成为武术家的秘籍

从安全上来讲，阿里云拥有一个得天独厚的条件，那就是手上拥有极大量的用户大数据。通俗地来讲，这条船上保护的乘客千姿百态，所以安全人员有幸可以见到千奇百怪的进攻。由于平台之上的网站价值巨大，阿里云的命就是被各种黑客“刀砍斧剁”。

然而，鉴于大多数网站的安全意识差得令人发指，黑客们不仅懒到了天天用工具扫描的地步，甚至有一批黑客专门扫描其他黑客已经做好的“后门”，这种行为大概就是我们俗称的“截胡”吧。

在“黑产界”最为普遍的web应用攻击中，黑客在成功进入服务器之后，都会放置一类名为“webshell”的后门，而在全年80亿次web攻击中，探测“别人家后门”的攻击竟然达到了16.88%。这无异于两个流氓在别人的家里火并，简直是让安全研究员吐槽无力。

【16.88%的Web应用攻击为“Webshell探测”】

许多安全公司都有一种“收集癖”，那就是收集世界上的恶意IP。例如安全特种兵知道创宇，号称掌握全球数千万的恶意IP地址库，而拥有电脑管家和安全卫士的腾讯和360，也都依靠自己强大的终端把控能力，掌握着大量的恶意IP，而阿里巴巴依靠阿里云和黑客们的无数斗争，积累了一批宝贵的高精准度的恶意IP。阿里云盾负责人吴翰清（道哥）透露，这个黑名单大概有百万数量级。

通过对这些恶意IP进行分析，发现他们主要来自于东部沿海城市。不过道哥解释说：

之所以大量恶意攻击IP来自中国沿海，并不是说这里的黑客多，而是因为这里往往有大的IDC机房，黑客们通过租用或盗用IDC机房资源，进行24小时持续攻击。

正是因为如此，每天被黑客“捅刀”成为了阿里云盾的使命。不过，阿里的童鞋表示，就算没有来自阿里云的客户，自家的淘宝系产品和其他业务也都是需要极高的防护等级的。因为虎视眈眈想要黑掉淘宝的黑客大有人在。对于阿里云盾来说，捕获诸多的攻击，有一个天大的好处，那就是每周都可以捕获2-3个“0 Day”漏洞，并且可以在厂商推出补丁之前先行做好防护。也算是对阿里云“挨刀”的奖赏吧。

加密——最后一根稻草

为了打退黑客一波又一波的进攻浪潮，阿里云显然已经玩了命。然而，做好安全防护就可以防止企业核心资料被窃吗？答案是：“门也没有。”

得到一个企业的核心数据，有八万六千法门。使用黑客手段入侵，是最为“直线思维”的一种。

阿里巴巴专家苏建东告诉雷锋网，

想要达到（窃取资料）这个目的，并非一定要通过黑客入侵。还可以通过内部工作人员或者外包人员的违规操作得到，甚至可以在网络传输的中间节点进行窃听。

例如，黑客通过社会工程学手段破译员工的工作密码，或者干脆买通企业员工，甚至采用暴力破解的手段“猜”出员工的密码。就可以通过完全“合法”的途径进入公司内部。

事实上，由于员工采用弱密码而造成的企业数据泄漏，占到这种情况的一半还多。这个比例是令人发指的。企业辛辛苦苦构建了无数条安全防线，只是因为一个员工的密码是“123456”，所有的努力都功亏一篑，付之东流。

总之，再少的企业数据也是纷繁复杂的，可以接触到核心数据的途径很多，每一个途径都是一条炸弹引信。保存一个带有众多引信的炸弹，自然难度非凡。于是一个简单的办法就是：把核心数据加密，然后小心保管这个密码。

最近经常传出新闻，例如某易被拖库等等。苏建东说，

很多网站的用户数据可以轻易被黑客盗取，不仅仅因为安全防护存在纰漏，也因为他们的用户信息采用了明文存储方式。而如果把重要信息加密，就算被拖库，也没有办法破解真实的用户数据。

国家保密局等机构在数据保密方面有相当规范的标准，通过采用这些标准，可以把对数据的保护简化为对密钥的保护，这就极大程度降低了数据泄漏的风险。同样在数据传输的过程中，尽可能使用Https加密协议，也可以防止数据在传输过程中被窃听。阿里云相信，这种方式可以使得数据的安全性空前提高。

两年前，有关云服务的讨论是“可行或不可行”，但随着政府机构和老牌国企都已经在向云上迁移。讨论的重点已经转到“如何更好地在云上玩耍”了。既然要玩耍，就要注意安全。和黑客“拼命”，云服务厂商仍然任重道远。

雷峰网原创文章，未经授权禁止转载。详情见转载须知。