大家好~我是 @史中，我的日常生活是开撩五湖四海的科技大牛，我会尝试各种姿势，把他们的无边脑洞和温情故事讲给你听。如果你特别想听到谁的故事，不妨加微信（微信号：shizhongst）告诉我，反正我也不一定撩得到。

不想走丢的话，你也可以关注我的自媒体公众号“浅黑科技”。

-------正文分割线-------

百度搜索竞价排名，滋养的最大产业可能并不是莆田医院，而是很多三不管地带，例如某些小众行业。谁的关键词排在第一，他的竞争对手很可能会雇佣 DDoS 把它打下来。这种生意组成了巨大的流量。

道哥把脚搭在茶几上，为史中科普江湖的险恶。

这个资深黑客拥有诸多身份：写“道哥的黑板报”的“文艺网红”；阿里云云盾的负责人。在他心里，第一个身份轻如鸿毛，第二个身份重若泰山。

保卫阿里云这个中国 35% 的网站都坐落其上的云计算平台和上面的居民，道哥觉得自己守土有责，不容有失。探底黑产，描绘自己的作战地图，是他对自己职责要求的一部分。

他告诉史中一个秘诀：“想要知道中国的黑产有哪些行业，只要看淘宝的禁限售板块就够了。”DDoS攻击，敲诈勒索，暗网黑市，这些黑色产业，往往最终都会涉及到对阿里云上服务器的攻击。

站在他的角度看，这个世界充满血雨腥风。

险恶的世界

DDoS

我们定义一个大的流量攻击，一般是300G以上。实际上根据我们掌握的信息，国内已经有组织可以打出一个T的 DDoS 攻击。而且，其中80%都是由同一个组织打出来的。这些组织的实际控制人大多都潜逃在国外。

驱动这些攻击的原因非常简单：钱。有人买就有人卖。道哥说，如今打出 10G 流量攻击，只需要几百块钱。

DDoS 攻击这个行业，最为经典的玩法是攻击游戏私服。由于私服本身具有违法性质，所以并不敢求助于警察，黑吃黑是行业的通则。2013年中国国家顶级域名“.cn”的根域名曾经被打摊，这件轰动一时的事件就是因为黑产攻击误伤了底层服务器。

掌握巨大带宽资源的黑客组织两边赚钱，一边收人钱财替人攻击，一边敲诈被攻击者谋取更高利益。他们甚至勾结 IDC 机房，花钱买下机房所有的闲置带宽，生意规模超出一般人的想象。

敲诈

很不幸，所有拿热钱的行业，都会被黑客盯上。P2P和互联网金融就是本轮中枪的行业。

因为金融行业信誉非常重要，如果服务宕机，就很有可能丧失用户的信任，从而遭受挤兑，这可能会导致破产。恰恰这个行业没有很强的监管，有些涉及到私募或非法集资。这些都是黑客勒索的绝佳条件。

道哥讲了黑产的两种玩法

1、入侵 P2P 公司的服务器，盗取用户的信息。把这些高价值的客户信息出售，由下家进行广告和黑色推广。

2、威胁 DDoS 攻击，敲诈勒索。如果妥协掏钱，过一段时间对方往往还会回来继续勒索。

搞清黑客的目的，对于防御至关重要。“根据判断，下一个被黑产盯上的行业很有可能是直播行业。从现在的情况来看，这件事情已经发生了。”他说。

【某英文 DDoS 敲诈信】

云上的攻防

云是解药

作为云计算的信徒，道哥相信这种正在迅速攻城略地的计算变革，从某种程度上来说是安全的解药。他举了一个例子：

我曾经到网络金融处参观，他们的职能是监管各个银行。在巨大的屏幕上，他们能够实时监控各个系统有没有出现漏洞。但是，他们只能看到，却无法迅速修补。因为它对应的1000多个业务主体，各自的系统模式都是不一样的。

但是如果使用云计算作为基础，就可以统一 Iaas 层，在很短的时间里修复漏洞。

今年上半年，云盾为云上的几万个客户共修复了46万个漏洞。这个成绩让道哥颇为骄傲，他说在以前这不可想象。

现实残酷

纵然背靠阿里云，在和黑产的对抗中，防守一方也并不占优势。他说：

很遗憾，攻击者仍然走在前面。因为我们还不能预测黑客下一步的动向。

这直接导致了安全产品必须被动地等待攻击发生，才可以采取“救火”行动。对于云盾来说，从黑客暴露攻击意图，到攻击被封堵，仍然有12个小时的周期。

黑产控制的互联网攻击如同疫情一样，大多数情况下，被感染的主机都会继续向周围传播恶意代码。而面对以“光速”传播的病毒，每一秒都至关重要。

2015年12月，有数千个客户的云服务器对外疯狂发包。云盾紧急处置，发现黑客正在使用了一个弱口令漏洞传播恶意代码。“幸亏这个漏洞在12个小时之内被修复，如果响应时间是24或48小时，就会造成更大的损失。”他说。

优质的标准品

如果把互联网的攻防简化到一张地图上，你可以看到无数漂浮于云上的节点，黑产和安全人员拼尽全力争夺这些节点。

在如瘟疫一般扩散的恶意代码眼里，没有大企业和小企业，只有能够攻下的服务器和不能攻下的服务器。

现在几乎所有的安全公司都在服务顶端 3% 的大客户，因为他们有充足的资源雇佣各种特种兵。但是很多并没有很多安全预算的中小企业的死活却没人关心。

道哥觉得，云盾应该为中小企业提供安全感。实际上物美价廉的解决方案只有一种，那就是不需要耗费过多人工成本的软件服务平台（SaaS），所谓优质的标准品。

接下来的问题就变成了：怎样才能做出这样的一个平台。

数据和计算

把机器训练成安全专家

一个优秀的安全人员，可以通过分析网络日志，找出服务器被进攻的蛛丝马迹，在黑产攻防版图上拔掉敌人的一个据点。

但是对于道哥的云盾来说，它面对着数以十万计的云服务器，人工排查根本不是他的选项之一。如何把机器训练成为安全专家才是解题方法。

一支火箭想要上天，其核心要素有两个：发动机和燃料。机器学习很像一枚火箭，它的燃料是巨大的数据量，它的发动机是强大的计算能力。

对于阿里云云盾来说，每天的增量数据是 300T，来自于阿里云客户授权的全量数据。而计算资源，本身就是阿里云的巨大优势。

结果是，云盾通过纯系统计算的方式，可以感知到80%的入侵。道哥说，这个指标是同类系统的三倍。

孰优孰劣

这个检出率在某种程度上和人工检查不相上下，道哥给出了一个场景：

如果一个客户上传了一个 Webshell，如果安全专家分析全量的数据，可能要一周时间，现实情况中，往往不会这样做。他们往往根据经验，而不是完整的证据链条来判断入侵。这种情况下就会出现失误。而对于机器来说，它会分析全量数据，呈现出完整的证据链条。这样的结果更加精准。

在成本和量级上，云盾和人工没有可比性。客观来讲，道哥在做的事情，离开阿里云很难复现。

由于云计算服务商被政策强制要求保留六个月以上的历史纪录，所以在云盾的大数据中，可以查询任何一个IP在过去半年的行为。基于此，可以做出更多的关联分析，例如：两次攻击事件之间的关系，一个黑产组织在盯着哪些服务器等等。

如果说由各路黑客大神领军的安全实验室是特种兵的话，云盾更像是一支常备部队，保卫阿里云安全的基本态势。

道哥自信地说，云盾面前并没有明显的技术困难。但是，鉴于阿里云只掌握了三分之一的云计算基础资源，所以仍然有很多攻击脱离阿里云的控制。在这种情况下，可用数据可能仅仅是一个 IP 的行为，在有限的数据下，如何利用计算能力，就成为了一个重点。

代表我的伟大产品

说来，很多人认识道哥，是因为喜欢他写的“黑板报”。

道哥的黑板报 最早确实给我带来了一些声望。但我不是个作家。我希望的是做出一个好产品，让产品代表我。

道哥如此解释荒废了自己在黑客界“估值颇高”的公众号的原因。但是，这位黑客并不是生来就如此“任性”。

他讲了一段阿里云掌门人王坚的往事。

当时所有人都谣传王坚博士要离开。

“糟糕”，是对阿里云最初两年业绩最广泛的评价。作为阿里云的掌门人，王坚目睹兄弟部门已经磨刀霍霍，单等阿里云解散之后，瓜分兵马粮草。

【原阿里云掌门人，现阿里巴巴集团技术委员会主席王坚】

纵然相信云计算未来一定会崛起，但是在遥遥无期的漫长等待面前，道哥终于扛不住，辞职了。出乎意料，王坚却没走。

他说他数次被逼到死角，退无可退，但是他真的没走。他不仅一直坚信云计算大有前途，还在一直不断地投入自己的一切。马云不懂云计算，但是最终他选择相信博士这个人。

王坚的路上终于出现了第一个路标。阿里云用五千台计算机连接成一个巨大的服务器，这就是5K项目。这个技术创举一举奠定了阿里云后来的江湖地位。

“王坚博士颠覆了我的世界观”，道哥说，“当他邀请我回到阿里云的时候，我真正感觉到，这件事能成。”这种宗教般的使命感，让道哥根本不在意他的“黑板报”，一腔热血死磕云盾，才有了如上的全部对话。

回到这种使命感本身，该坚持坚持，该放弃放弃。做出选择很简单。

史中问道哥：“这个能代表你的产品就是阿里云云盾吗？”

道哥答：“我希望是。”

再自我介绍一下吧。我是 史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以关注微博：史中方枪枪，或者加我微信：shizhongst。

不想走丢的话，你也可以关注我的自媒体公众号“浅黑科技”。