^{又是一个美好的周末清晨，醒来之后习惯性刷刷朋友圈。今天朋友圈与往日周末被美景、美食、美色刷屏稍有不同，“#Oplcarus运动”被刷屏了。工作性质的原因，本能点开查看这条新闻：黑客组织匿名者(Anonymous)针对世界银行业发起了#Oplcarus运动，希腊央行成为了这场运动的首个攻击目标，银行网站遭到不少于6个小时DDoS网络攻击。同时，黑客组织匿名者还发布了一份攻击名单，这份名单包括美国联邦储备银行，国际货币基金组织，世界银行，以及包括中国、巴西等来自世界各地的158家国家银行，受到攻击的不仅仅只有发达国家，发展中国家同样也在内。}

 

 

 

 

^{看完这则新闻，作为一个安全从业者，自然而然将消息分享给了几个朋友看。虽然他们中有几个也不是安全圈人士，但是他们反馈结果还是令我大吃一惊，好几个人都问了我一个相同问题：这跟我有啥关系呢？看到这个问题，我顿时陷入了沉思，黑客哪来底气敢如此猖獗的给一百多个国家安全防御坚固金融机构下战书？这真的跟我们没有关系吗？我们每个人作为互联网中一个个微不足道的“节点”，我们到底可以为健康的互联网做些什么呢？我相信有很多人可能都是以看热闹的姿态在观察这件事，毕竟黑客攻击又不是自己家的网络，事不关已高高挂起！ 但是别忘了：邪恶盛行的唯一条件，是善良者的沉默。“好人”沉默，就是助纣为虐！今天“#Oplcarus运动”横行全球金融界，不就是各位“好人”帮助才得以实现吗？}

 

 

^{笔者为什么这么说呢？我们回到“#Oplcarus运动”事件本身，黑客组织通过DDoS攻击，迫使希腊央行服务器离线超过6小时。为方便大家理解，笔者在这里普及一下DDOS的概念。举个简单例子，你在五道口开了一家服装店生意还不错，此时隔壁家生意萧条小李盯上了你，于是他雇佣了一群地痞流氓来闹事。突然有一天，你发现店里进来一大波客人，还没等你来得及高兴，你就晕了，为什么呢？这群新进来的客人，一会儿问你这件衣服多少钱，那件裤子多少钱，东看细看，可就是不买东西，还赖在店里不走。而真正有需求的客人却被堵在门外进不来，这就是DDOS攻击，一群堵在店里不买东西的“恶意流量”。}

 

 

^{它们是黑客通过网络上事先留了木马后门的“僵尸主机”发动的，但是这些流量和正常访问的数据几乎一样，使得很多网络安全防护设备根本无法识别哪些是非法的数据流量。而且，这些非法流量往往非常大，可以达到数十个G甚至上百个G。这个级别流量，一般网络安全防护设备也基本扛不住。例如防火墙一个典型的连接表可以存储成千上万个活动连接，足以满足正常的网络访问活动。但是，DDoS攻击每秒可能会发送数千个数据包。作为企业网络中处理流量的窗口设备，防火墙将会在连接表中为每一个恶意数据包创建一个新连接表项，这会导致连接表空间被快速耗尽。一旦连接达到其容量，就不再允许打开新的连接，将会阻止合法用户建立连接。}

 

 

^{看到这里，相信很多人一定会问，黑客为什么能够在同一个时间组织那么强大流量呢？答案其实就在你身上。因为你公司里某台设备可能就是黑客组织用来发起攻击的僵尸主机，也就是我们通常所说的“肉鸡”。试问大家要是你们单位、公司等地儿都不存在失陷主机，黑客如何找到那么多“肉鸡”来同时发起攻击呢？现在，你还认为这次DDOS攻击跟你完全无关吗？}

 

 

^{当然，如何判断自己网络中是否存在失陷主机，如果存在失陷主机，又如何找出来呢？这一定是大家关注一个问题。}

 

 

^{从理论上来讲，任何一个失陷的主机都有可能被黑客利用。但是不管失陷主机如何伪装， “非法流量”总是会伴随着许多异常行为。这就好比地痞流氓即便混进了服装店的顾客群中，但他们异常行为还是会暴露出相应的动机，比如老重复问店员同一个问题，老做同样的动作，老是调戏店里“服务员”等等。所以，异常行为的分析成为解决问题的关键。笔者在这里建议大家都给自己网络做一个全身的CT，国内一些主流安全厂商像网康，过去一两年都推出了一些不错产品，比如慧眼云可以对网络中行为日志、安全日志、流量日志等进行实时、快速、持续的关联分析，再结合威胁情报系统，可以检测到网络中存在的失陷主机，并且能够还原失陷过程。}

 

 

^{笔者一直坚信，邪恶盛行的唯一条件，是善良者的沉默。因此不要再认为黑客猖獗跟你无关了，不要再无所作为了，至少你可以让自己网络中不存在“失陷主机”，不让自己机器成为狂魔们手中枪支！}