图为跨境抓捕DDoS攻击犯罪嫌疑人

同时，警方连带破获了广州、成都、黄石、青岛等地接报的一批社会影响恶劣的黑客攻击案件，通过该案发起了全国打击DDoS网络攻击黑产链条的集群战役，抓获其他犯罪嫌疑人42名。

技术赋能成为破获网络攻击专案重要因素

近年来，新型网络违法犯罪呈现技术化、产业化、专业化趋势，隐蔽性加强，破获难度增大，以技术对抗技术成为重要破局手段。深度参与本案的“守护者计划”安全团队，拥有最先进的网络安全能力和大数据侦查技术。

腾讯安全联合实验室旗下的科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室，专注安全技术研究及安全攻防体系搭建。在本次案件当中，云鼎实验室发挥了重要作用。

今年一季度，云鼎实验室发现腾讯云上业务尤其是游戏类业务遇到DDoS疯狂攻击，单日攻击流量峰值达到462G。经过跟进分析攻击手法、攻击时长、流量波形、源IP等要素，反向定位宿主主机、控制端，在过程中由于黑客技术老道、可能存在境外主机等因素，给溯源工作增加难度。

经过不断的复盘分析，最终在一台控制端服务器上发现可以线索并定位到证据所在。此证据在后续的团伙人员定位分析、关联产业链分析、公安抓捕及定罪的依据上都起到了关键证据的作用。同时，云鼎实验室和其它部门协作，通过对此黑产团伙的各行为研究，关联拓展出了其产业链条的上下游环节，从而在技术环节彻底打通了整体黑产团伙的全部脉络。

拆解DDoS攻击黑产结构，守护者计划全面打击网络黑产威胁源

在协助破获几起DDoS攻击犯罪案后，云鼎实验室分析了该黑色产业链的分工协作情况及技术利用情况：

在DDoS攻击黑色产业链中，链条顶端角色为“发单人”，即出资并发出攻击需求的人，一般是出于打压竞争对手需要而雇佣黑客对其他同类网站进行攻击。接到指令并执行攻击的人，称为“攻击实施人”，他们当中，有的不懂DDoS攻击服务器搭建，于是从“肉鸡商”和“高带宽服务器租售者/控制者”手中购买。“肉鸡商”是侵入计算机信息系统的实施人，他们利用后门程序获得个人计算机和服务器的控制权限，植入木马，使得这些计算机变成能实施DDoS攻击的“肉鸡”。“高带宽服务器租售者/控制者”是拥有服务器控制权限和网络流量的人，他们有一定技术能力，能够租用专属服务器并自行配置攻击软件从而获取流量。

图为DDoS攻击黑色产业链

在“守护者计划”发布的《2017年度网络黑产威胁源研究报告》中，DDoS攻击是七大网络黑产威胁源之一，其高技术性特征以及高度专业化分工降低了网络犯罪成本，增加了违法犯罪隐蔽性。而对网络黑产威胁源的打击，能够有效遏制网络黑产发展。据了解，在“暗夜攻击小组”被打掉当月，DDoS攻击频次环比下降86%。

2017年以来，“守护者计划”以全面打击网络黑产威胁源为抓手，协助各地警察机关破获新型网络违法犯罪案件160起，抓获相关人员约3800人，涉案资金近32亿元，有力地维护我国网络空间安全。