人们对于一般黑客的刻板印象是：单打独斗，神出鬼没。事实上，还有一群黑客团伙作战。

僵尸 *** 近年来已经成为企业的大敌，雷锋网宅客频道从绿盟科技发布的《IP团伙行为分析报告》中发现，有这样一群僵尸机“捆绑销售”，常年坚持多渠道僵尸 *** 活动和 DDoS 攻击，“不抛弃”“不放弃”。

这群团伙中的“C位成员”（仅占攻击者中 2%）以一己之力发起了 20%的攻击，“核心成员”（仅占攻击者中的20%）发起了 80%的攻击，而且全员酷爱反射攻击，特别是大流量攻击。

安全研究者将这样的团体称为“IP团伙”（IP Chain-Gang）。雷锋网(公众号：雷锋网)了解到，每个 IP 团伙由某个或者一组黑客控制者，因此同一个团伙在不同的攻击中必然会表现出相似的行为。

绿盟科技根据近两年所搜集的 DDoS 攻击数据、多个 IP 团伙并研究了他们的团伙行为，推出了《IP团伙行为分析》，希望通过研究团伙的历史行为建立团伙档案，以便更准确地描述其背后一个或多个攻击控制者的行动方式，同时更有效地防御这些团伙未来可能发起的攻击，防患于未然。

攻击者

IP团队规模：千人团体占主导

下图展示了 IP 团伙规模的分布情况。大多数团伙成员不到1000人，但也有一个团伙的成员高达26000多人。

图1 IP团伙规模

20/80法则，到哪里都适用

下图展示了各团伙发起的 DDoS 攻击事件的数量，按事件次数统计。毫不意外，大约 20％的团伙发起了 80％的攻击。

图2 攻击总次数（按各团伙攻击统计）

攻击事件次数

团伙最长总攻击时长超过 13“年”

下图展示了同一团伙所有成员的总累计攻击时长的分布情况。有些团伙的总攻击时长高达 5000 多天（ ＞13“年”），但多数团伙不到 1000 天。

图3 团伙总攻击时长

更少的团员、更多攻击次数、更大攻击流量

人们一般觉得较大的团伙会发动较多攻击时间，且产生的攻击总流量也较大，但事实并非如此。

如下图所示，与更大规模的 IP 团伙相比，拥有较少成员的团伙可能会发动更多攻击并发出更多攻击流量。这说明，特定团伙中的攻击者可能拥有更多渠道可以利用。

下图展示了按总流量排名的前 10 个团伙，攻击总流量以不同大小的橙色气泡表示。