网络黑灰产问题处置指南（第2版）

网 络黑灰产问题处置指南 （第2版） 反网络黑灰产联盟2025年3月 前言 随着互联网与信息科技的飞速发展，各类网络黑灰产问题层出不穷，逐步成为当前社会网络安全面临的一大挑战。所谓网络“黑灰产”，是指通过非法或不道德的手段，在网络空间进行的各种违法违规活动。其中，“黑产”指的是直接触犯国家法律的网络犯罪，具体而言，是指利用互联网技术实施网络攻击、窃取信息、勒索诈骗、盗窃钱财、推广黄赌毒等网络违法行为，以及为这些行为提供工具、资源、平台等准备和非法获利变现的渠道与环节。🕔“灰产”则是游走在法律边缘，为“黑产”提供辅助的争议行为。网络黑灰产的持续滋长将导致包括扰乱市场经营秩序、侵犯公民个人信息等在内的各类社会负面问题的出现。从联盟工作情况看，绝大多数成员企业在业务开展的过程中都遭遇过此类问题的袭扰，甚至因此蒙受损失。网络黑灰产已经演变成为企业正常经营过程中的众多挑战之一。 鉴于此，在上海市徐汇区人民检察院、上海市公安局徐 汇分局的指导下，由易玩（上海）网络科技有限公司，心动网络股份有限公司发起，反网络黑灰产联盟统筹汇编，阿里云、网易易盾、腾讯安全、腾讯游戏安全、天际友盟、极验GEETEST、百事通法务等多家主体共同参与制订了《网络黑灰产问题处置指南》（以下简称《指南》）。 本《指南》旨在围绕各类黑灰产问题，从概念简述、常见类型介绍、法律法规及政策解读、应对处置策略等方面为 ①夏晓伦、董思睿：《图解黑色产业链该如何防范？》，http://www.cac.gov.cn/2019-10/08/c_1572062776375154.htm，2023年10月。 企业提供合规性指引，为企业提供实际参考，帮助互联网企业更有效地应对和处置网络黑灰产问题，进而促进社会各方对网络黑灰产问题认知的提高，共同努力维护并构筑清朗健康的网络安全环境和秩序。 本指南由以下单位共同编写：指导单位： 上海市徐汇区人民检察院上海市公安局徐汇分局 发起单位： 易玩（上海）网络科技有限公司心动网络股份有限公司 总编单位： 反网络黑灰产联盟工作小组参与单位：（排名不分先后）阿里云计算有限公司 上海政法学院刑事司法学院杭州网易智企科技有限公司武汉极意网络科技有限公司腾讯云计算（北京）有限公司 北京天际友盟信息技术有限公司上海百事通法务信息技术有限公司 目录 一、DDoS攻击1 （一）DDoS攻击的概念1 （二）DDoS攻击常见类型1 （三）法律法规及政策解读3 （四）事前防范措施5 （🖂）事中应对策略8 （六）事后处置方案9 二、游戏外挂10 （一）游戏外挂的概念10 （二）游戏外挂的类型11 （三）法律法规及政策解读13 （四）事前防范措施15 （🖂）事中应对策略16 （六）事后处置方案17 三、侵犯著作权19 （一）著作权的概念19 （二）侵犯著作权的常见场景19 （三）法律法规及政策解读20 （四）事前防范措施24 （🖂）事中应对策略25 四、账号交易29 （一）账号交易的概念29 （二）非法账号交易的常见形式29 （三）法律法规及政策解读30 （四）事前防范措施31 （🖂）事中应对策略33 （六）事后处置方案34 五、违规信息内容35 （一）违规信息的概念35 （二）常见违规信息类型35 （三）常见的攻击方式36 （四）法律法规及政策解读37 （🖂）事前防范措施39 （六）事中应对策略40 （七）事后处置方案41 六、游戏欺诈43 （一）游戏欺诈的概念43 （二）游戏欺诈的高危场景43 （三）法律法规及政策解读45 （四）事前防范措施48 （🖂）事中应对策略49 七、游戏私服53 （一）游戏私服的概念53 （二）游戏私服的常见表现形式53 （三）法律法规及政策解读54 （四）事前防范措施55 （🖂）事中应对策略57 （六）事后处置方案58 八、网络暴力61 （一）网络暴力相关概念61 （二）网络暴力的类型61 （三）法律法规及政策解读63 （四）事前防范措施65 （🖂）事中应对策略68 （六）事后处置方案69 一、DDoS攻击 （一）DDoS攻击的概念 分布式拒绝服务（DistributedDenialofService，简称DDoS）是指将多台计算机联合起来作为攻击平台，通过远程连接，利用恶意程序对一个或多个目标发起DDoS攻击，消耗目标服务器性能或网络带宽，从而造成服务器无法正常地提供服务。 （二）DDoS攻击常见类型 1.畸形报文 主要包括FragFlood、Smurf、StreamFlood、LandFlood、IP畸形报文、TCP畸形报文、UDP畸形报文等。畸形报文攻击指通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的报文时出现崩溃，从而达到拒绝服务的攻击目的。 2.传输层DDoS攻击 传输层DDoS攻击主要包括SynFlood、AckFlood、UDPFlood、ICMPFlood、RstFlood等。以SynFlood攻击为例，它利用了TCP协议的三次握手机制，当服务端接收到一个Syn请求时，服务端必须使用一个监听队列将该连接保存一定时间。因此，通过向服务端不停发送Syn请求，但不响应Syn+Ack报文，从而消耗服务端的资源。当监听队列被占满时，服务端将无法响应正常用户的请求，达到拒绝服务攻击的目的。 3.DNSDDoS攻击 DNSDDoS攻击主要包括DNSRequestFlood、DNSResponseFlood、虚假源+真实源DNSQueryFlood、权威服务器攻击和Local服务器攻击等。以DNSQueryFlood攻击为例，其本质上执行的是真实的Query请求，属于正常业务行为，但如果多台傀儡机同时发起海量的域名查询请求，服务端无法响应正常的Query请求，从而导致拒绝服务。 4.连接型DDoS攻击 连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、Pyloris、Xoic等慢速攻击。以Slowloris攻击为例，其攻击目标是Web服务器的并发上限。当Web服务器的连接并发数达到上限后，Web服务即无法接收新的请求。Web服务接收到新的HTTP请求时，建立新的连接来处理请求，并在处理完成后关闭这个连接。如果该连接一直处于连接状态，收到新的HTTP请求时则需要建立新的连接进行处理。而当所有连接都处于连接状态时，Web将无法处理任何新的请求。Slowloris攻击利用HTTP协议的特性来达到攻击目的。HTTP请求以\r\n\r\n标识Headers的结束，如果Web服务端只收到\r\n，则认为HTTPHeaders部分没有结束，将保留该连接并等待后续的请求内容。 5.Web应用层DDoS攻击 Web应用层攻击主要是指HTTPGetFlood、HTTPPostFlood、CC等攻击。通常应用层攻击完全模拟用户请求，类 似于各种搜索引擎和爬虫一样，这些攻击行为和正常的业务并没有严格的边界，难以辨别。Web服务中一些资源消耗较大的事务和页面。例如，Web应用中的分页和分表，如果控制页面的参数过大，频繁的翻页将会占用较多的Web服务资源。尤其在高并发频繁调用的情况下，类似这样的事务就成了早期CC攻击的目标。由于现在的攻击大都是混合型的，因此模拟用户行为的频繁操作都可以被认为是CC攻击。例如，各种刷票软件对网站的访问，从某种程度上来说就是CC攻击。CC攻击瞄准的是Web应用的后端业务，除了导致拒绝服务外，还会直接影响Web应用的功能和性能，包括Web响应时间、数据库服务、磁盘读写等。 （三）法律法规及政策解读 1.直接攻击行为 根据刑法第二百八十六条【破坏计算机信息系统罪】 （1）违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。 （2）违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。 （3）故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。 （4）单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。 2.提供DDoS攻击流量、软件或专门开设DDoS攻击网站 以非法牟利的服务者 （1）非法控制肉鸡 根据刑法第二百八十五条第二款【非法获取计算机信息系统数据、非法控制计算机信息系统罪】 违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。 （2）开设非法网站或为他人租用服务器 根据刑法第二百八十七条之二【帮助信息网络犯罪活动罪】 明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。 （3）为他人提供DDoS攻击软件工具 根据刑法第二百八十五条第三款【提供侵入、非法控制计算机信息系统程序、工具罪】 提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。 （四）事前防范措施 1.缩小暴露面，隔离资源和无关业务 （1）配置安全组：尽量避免将非业务必需的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。 （2）使用专有网络VPC（VirtualPrivateCloud）：通过专有网络VPC实现网络内部逻辑隔离，防止来自内网傀儡机的攻击。 2.优化业务结构，设计弹性伸缩和灾备切换的系统 （1）科学评估业务架构性能：在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。 （2）弹性和冗余架构：通过负载均衡或异地多中心架构避免单点故障影响整体业务。如果您的业务在阿里云上，可以灵活地使用负载均衡服务SLB（ServerLoadBalancer） 实现多台服务器的多点并发处理业务访问，将用户访问流量均衡分配到各个服务器上，降低单台服务器的压力，提升业务吞吐处理能力，这样可以有效缓解一定流量范围内的连接层DDoS攻击。 （3）优化DNS解析：通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。同时，建议您将业务托管至多家DNS服务商，并可以从以下方面考虑优化DNS解析： ○1屏蔽未经请求发送的DNS响应信息 ○2丢弃快速重传数据包 a.启用TTL b.丢弃未知来源的DNS查询请求和响应数据 c.丢弃未经请求或突发的DNS请求 ○3启动DNS客户端验证 a.对响应信息进行缓存处理 b.使用ACL的权限 c.利用ACL、BCP38及IP信誉功能 ○4提供余量带宽 通过服务器性能测试，评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽，可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。 （4）关键内容通过CDN分发：通过在多个地理位置部 署多台服务器，并在边缘使用智能路由技术和缓存方式，以分散攻击时带宽，避免影响正常业务请求，同时降低网络延迟并提升访问速度。 3.服务器安全加固，提升服务器性能 对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本： （1）确保服务器的系统文件是最新的版本，并及时更新系统补丁。 （2）对所有服务器主机进行检