僵尸网络近年来已经成为企业的大敌，近期发现有这样一群僵尸机“捆绑销售”，常年坚持多渠道僵尸网络活动和DDoS攻击，“不抛弃”“不放弃”。

人设：

“C位成员”（仅占攻击者中2%）以一己之力发起了20%的攻击；“核心成员”（仅占攻击者中的20%）发起了80%的攻击；

全员酷爱反射攻击，特别是大流量攻击;

我们将这样的团体称为“IP团伙”（IP Chain-Gang）。每个IP团伙由某个或者一组黑客控制者。因此，同一个团伙在不同的攻击中必然会表现出相似的行为。

根据近两年所搜集的DDoS攻击数据、多个IP团伙并研究了他们的团伙行为，近期推出了《IP团伙行为分析》。本文简要介绍报告中的IP团伙的识别手段，分析IP团伙的规模、攻击次数、攻击时长和攻击流量。希望，通过研究团伙的历史行为建立团伙档案，以便更准确地描述其背后一个或多个攻击控制者的行动方式，同时更有效地防御这些团伙未来可能发起的攻击，防患于未然。

1识别IP团伙

为识别IP团伙，我们首先分析了绿盟科技自2017年以来所搜集的DDoS攻击数据，并按步骤进行了下述操作：

确定一次协同攻击中的攻击者并将其划归一组。这里，我们将协同攻击定义为针对同一目标几乎同时发起的攻击。由于这些攻击者协同工作，因此有理由相信他们为同一个攻击控制者控制。

如果上一步中有两个组重叠或其行为非常相似，则将其合并为一个更大的组。重复此合并过程，直到不再存在重叠的组。在此过程中，使用复杂的机器学习算法来确定“相似性”阈值。

清除组中的“偶然攻击者”（仅参与一小部分攻击的攻击者），提取每个攻击组的核心成员，得出我们所称的“IP团伙”。

通过这一步骤，我们确定了80多个活跃的IP团伙。在本研究报告中，我们在算法中选择了相当严格的参数，因此，这些团伙中的所有成员都是实实在在的惯犯。每个惯犯都在我们的研究期间进行了多次攻击。因此，尽管这些团伙成员的数量仅占我们数据集中所有攻击者的2％，但它们发起的攻击约占所有攻击的20％。

应该注意的是，任何团伙的组成都会动态变化。本报告中，我们将研究期间的团伙行为视为静态。在未来的研究中，我们将考虑动态性质。

2 IP团伙统计分析

在确定团伙之后，我们从几个不同的角度研究了各团伙的行为。除非另有说明，本节中提及的数字为同一团伙所有成员的累计计数。

2.1 IP团队规模：千人团体占主导

下图展示了IP团伙规模的分布情况。大多数团伙成员不到1000人，但我们也发现有一个团伙的成员高达26,000多人。

图1 IP团伙规模

2.2 20/80法则，到哪里都适用

下图展示了各团伙发起的DDoS攻击事件的数量，按事件次数统计。毫不意外，大约20％的团伙发起了80％的攻击。

图2 攻击总次数（按各团伙攻击统计）

攻击事件次数

2.3 团伙最长总攻击时长超过13“年”

下图展示了同一团伙所有成员的总累计攻击时长的分布情况。有些团伙的总攻击时长高达5000多天（ ＞13“年”），但多数团伙不到1000天。

图3 团伙总攻击时长

2.4 更少的团员、更多攻击次数、更大攻击流量

我们一般总感觉，较大的团伙会发动较多攻击时间，且产生的攻击总流量也较大，但事实并非如此。

如下图所示，与更大规模的IP团伙相比，拥有较少成员的团伙可能会发动更多攻击并发出更多攻击流量。这说明，特定团伙中的攻击者可能拥有更多渠道可以利用。

下图展示了按总流量排名的前10个团伙，攻击总流量以不同大小的橙色气泡表示。

图4 团伙规模、攻击次数及攻击总流量对比

如上图所示，发动攻击次数最多（> 50K）的团伙仅拥有274名成员，超过了所有其他团伙。而最大的气泡（即攻击总流量最大）对应的团伙攻击次数竟然较少（<10K）。

结语

据我们所知，将DDoS攻击作为协同团伙活动进行研究尚属首次。从这一全新角度来研究，可以获得一些独特见解，有助于我们更好地检测、缓解、取证分析甚至预测DDoS攻击。