1.2 工具化：有组织攻击

从用户增长的角度来看，互联网的早期设计就像是交通规划，诸多未曾考虑的问题以超乎想象的速度爆发出来。于是，互联网成了一个难以监督而易于藏匿的世界，这里的犯罪成本和风险远比现实世界来得低。

在经过了早期无序的攻击时期后，一个问题突然闪进人们的脑海中：是否可以用如此强有力的工具牟利？

较早利用这一工具的是勒索组织，他们有的使用已有攻击工具，有的租用僵尸网络，有的干脆自己针对性地开发工具。猎物往往是一些通过互联网盈利的企业，例如在线交易市场或博彩网站。这些勒索组织会先对猎物进行短期的示威性攻击，然后发送勒索信，并对其进行威胁：如果不支付勒索金，就在业务最繁忙时再次攻击。很多中小企业会屈从，并秘而不宣。这是因为追查网络犯罪者非常困难，即使警方介入也难以保证成功，而犯罪者一旦逃脱，就可能实施猛烈的报复。另一方面，购买专业的缓解方案显得较为昂贵，甚至会超过支付的勒索金。但是，依然有抗争成功的例子，本节介绍的在线市场ClickBank以及南非世界杯期间经营的博彩网站最终成功抵抗了攻击者。

第二种情况是打击竞争者，包括商业和政治上的竞争对手。真正的获利者并不出面，他们会雇用犯罪组织，在重要的时间点攻击对手，造成对方声誉损失或阻止对方的行动。这类攻击很难得到直接的证据，但行为模式非常清晰。加拿大政党选举中就曾遇到过此类攻击。

第三种情况最为极端，它的目的是报复。2012年，一个黑客组织认为YouTube的某段视频是对伊斯兰教的侮辱，于是宣布对美国实施报复行动，直接对象是美国的各大银行。这次行动被称为“燕子行动”，持续了一年以上，数十家银行遭到打击，造成的损失难以估计。另一次著名的报复行动是Spamhaus事件，它是一个反对垃圾邮件的组织。该组织遭到攻击的原因被认为是它指出了垃圾邮件发送者。这次事件中攻击流量达到了300Git/s，到2013年为止，是史上最大规模的分布式拒绝服务攻击。

黑客不再是有组织攻击的主角，他们成了操纵者手中的武器。这类攻击的特点是对目标和时间点的选择非常精确，利益最大化是行为的必然准则。

1.2.1 在线市场面临的勒索

ClickBank是一家在线的数字信息产品市场，为数字内容创作方和营销方之间建立联系。SpamCop中是一个反垃圾邮件组织，它追踪批量发送的垃圾邮件，发现发送者的IP地址，并建立“SpamCop Blacklist”，提供给希望免受垃圾邮件骚扰的用户。[10]

2003年6月21日，大量请求淹没了两家公司的服务器，使得正常用户无法使用服务。ClickBank的有关负责人声称，每台服务器每秒钟会接收到数以千计的http请求，同时日志文件以每秒1MB的速度增长。有消息称，3周前，另外一些不愿公开名称的公司和政府机构也遭到了同样的攻击。攻击者要求ClickBank和SpamCop支付勒索金，否则不会停止攻击。但两家公司并未屈服，而是与FBI合作。6月25日，他们宣布，在与FBI紧密合作后，终于发现了DDoS攻击的肇事者。[11]

1.2.2 世界杯博彩网站敲诈案

2011年4月，德国杜塞尔多夫的法庭对一名网络罪犯进行了宣判。该网络罪犯在2010年南非世界杯（图1-5）期间，对在线博彩网站进行了勒索。罪犯是一名法兰克福人，他成功地勒索了三家网站，并试图勒索另外三家，所使用的武器就是DDoS攻击。根据德国媒体报道，勒索者用每天65美元的价格租用僵尸网络，然后威胁这些赌博网站，如果不给他支付2500欧元，就会在7月世界杯期间使网站无法访问。当三家网站拒绝支付时，他将勒索金降到了1000欧元。据网站经营者估计，网站发生故障期间，他们的大型办事处损失了约25000～40000欧元，小型办事处损失了约5000～6000欧元。

法院最终判该男子有期徒刑2年零10个月，并责令赔偿受影响的企业35万欧元。[12]德国对计算机阴谋破坏行为的最高惩罚是入狱10年。大型体育赛事期间，对博彩网站进行敲诈的案件已经不是第一次发生。2006年，一个俄罗斯黑帮就曾企图对英国博彩公司敲诈400万美元，结果获罪入狱。

1.2.3 操纵政党选举的攻击

2012年3月24日，本该是加拿大民主新党（Canada’s New Democratic Party）的选举日，选民会进行在线投票。令人意外的是，选举却发生了延时。Scytl公司为加拿大民主新党提供了一套先进的选举服务，可以通过电子和邮寄方式实现投票。第一轮投票于3月23日下午5点开始，24日上午9点正常结束。第二轮投票在24日上午11点开始后，就开始出现投票延时现象，并快速恶化。根据Scytl的入侵检测系统和防火墙的日志显示，这是一次外部攻击。于是，他们启动了标准的缓解流程，包括增加系统的吞吐量和阻止恶意IP地址。这些措施使得服务较慢，但依然可以工作，最终投票过程延长了3个小时。整个攻击过程中，选票系统收到了来自1万余台僵尸主机（又称肉鸡）的超过1000万次异常请求，攻击的时间也和每轮投票时间完全相符。由普华永道进行的独立审计指出，投票结果未被篡改。调查显示，这1万台主机的IP地址主要集中在加拿大，采用的就是分布式拒绝服务攻击。

1.2.4 燕子行动

2012年7月，一个由美国人萨姆·巴西利（Sam Bacile）制作并导演的关于伊斯兰教先知穆罕默德的影片预告片被放到YouTube上，引来了伊斯兰国家的强烈抗议。9月18日，一个号称伊兹丁·哈桑网络战士（Cyber fighters of Izz ad-din Al-Qassam）的黑客组织在pastebin网站上发布公告，声称将美国银行和纽约交易所列为攻击目标，在YouTube上这部亵渎伊斯兰教先知的影片被移除之前，攻击将一直持续。从此，代号为“燕子行动”（Operation Ababil）的一系列针对美国金融机构的DDoS攻击事件拉开了序幕。“燕子行动”这个代号引自《古兰经》里的安拉派燕群去摧毁一队由也门国王派出攻击麦加的象群的故事。

到2013年6月为止，整个行动经历了三个阶段。第一阶段始于2012年9月18日，持续了5个星期；第二阶段从2012年12月10日开始，持续了7个星期；第三阶段从2013年3月5日开始，持续了9个星期，到5月6日停止；第四阶段从2013年7月23日开始，计划持续两个月。

在整个行动中，大多数美国金融机构的在线银行业务都遭到了攻击，其中包括美国银行（Bank of America）、花旗集团（Citigroup）、富国银行（Wells Fargo）、美国合众银行（US Bancorp）、PNC金融服务集团、第一资本（Capital One）、五三银行（Fifth Third Bank）、BB&T银行和汇丰银行（HSBC）。DDoS攻击对上述银行网站业务的连续性和可获得性造成了严重的影响，同时也对银行的声誉造成了不可估量的损失。由于事态的严重性，美国政府部门包括国土安全部（DHS）、联邦调查局（FBI）以及金融监管机构均参与了事件的调查和处理。

攻击者采用了非常丰富的攻击类型，既包括传统的TCP、UDP、ICMP Flood，也包括HTTP Flood、HTTPS Flood和DNS Flood。他们使用的僵尸网络被称为Brobot，是由被植入了itsoknoproblembro的主机构成。与众不同的是，这些主机主要由高性能的服务器组成。[13]

1.2.5 史上最大规模的DDoS

Spamhaus是一家致力于反垃圾邮件的非盈利组织，总部在伦敦和日内瓦。Spamhaus维护了一个巨大的垃圾邮件黑名单，这个黑名单被很多大学/研究机构、互联网提供商、军事机构和商业公司广泛使用。[14]

从2013年3月18日起，Spamhaus开始遭受DDoS攻击。攻击者通过僵尸网络，利用DNS反射技术进行攻击。根据服务提供商CloudFlare的监控记录，3月18日初始的攻击相对比较温和，攻击流量约为10Gbit/s。从标准时间21：30开始，攻击者将攻击流量猛增到75Gbit/s，如图1-6所示。从3月19日到3月21日，对Spamhaus的攻击流量在30Gbit/s到90Gbit/s之间波动。到3月22日，攻击流量达到了120Gbit/s。在攻击者发现无法有效地击垮Spamhaus之后，他们改变了攻击策略，转而攻击CloudFlare的网络带宽供应商和连接的互联网交换设施。在3月27日达到惊人的300Gbit/s的攻击流量，被认为是互联网史上最大规模的DDoS攻击事件。

事件的起因可能是Spamhaus将一家荷兰公司Cyberbunker列入了黑名单，之后Spamhaus就开始遭受DDoS攻击。自称是攻击者发言人的斯文·奥拉夫·坎普赫伊斯（Sven Olaf Kamphuis）在网上发表了一则讯息，称“我们很清楚，这是世界上公开进行的最大的DDoS攻击之一”，Cyberbunker是在报复Spamhaus“滥用其影响力”的行为。“从来都没有人授权Spamhaus来决定互联网上该有哪些内容，”坎普赫伊斯说，“他们假装抗击垃圾讯息，借此攫取了这一权力。”然而在4月，坎普赫伊斯又否认策划和实施了这次攻击。[15]4月25日，西班牙警方逮捕了坎普赫伊斯，被捕时，他在一个被改装成移动办公室的小货车里，里面满是线缆和各种网络设备。[16]