为什么没有人用黑客技术黑支付宝，是技术问题吗？ 第1页

首先得说说技术实力，阿里的程序员精英水平至少是中国乃至世界前五，阿里系里有很多可以独当一面的大神，这里的独当一面意思就是就算这些大神单飞出来自己创业，也能做出很牛X的事业。这群人一起打磨一件作品，这个作品的含金量可想而知。

再说说攻击成本和防御成本：作品防御做得越好，攻击者消耗的成本也就越高，这个成本包括时间、金钱、精力和被发现的风险。

我觉得一个能拥有可以黑进支付宝技术的人，脑子应该很好用，不可能算不清楚这笔账。以支付宝的技术和公关实力，可以在最短的时间里，查清每一笔资金流、追踪IP定位到始作俑者、修复出现的漏洞、控制舆论化解攻击事件。

如果无巧不巧地偏偏有这么一个人，技术实力过硬，受到了严重的精神打击，决定不计成本地向支付宝发起黑客行动。那么他大概会有两种思路，一是攻击，二是入侵。

1.攻击

攻击可以分为网络攻击（DOS、DDOS、SYN之类）和物理攻击（砸机房剪电缆之类）

这里就谈谈最普遍最常见的DDOS攻击吧。

其实在早些年（2010年以前），我觉得支付宝还是扛不住大规模DDOS的，300G的峰值估计支付宝就扛不住了，但那个时候宽带还不算普及，我手上有两千多台肉鸡，顶多能上1G的峰值，也就是说只要有六十万台肉鸡DDOS支付宝，支付宝服务器就可能瘫痪，不过这可是六十万台肉鸡啊！！给肉鸡刷流量或者卖卖广告，一个月也能挣好些零花钱！！可能那些聪明且厉害的黑客都会算这笔账，因此当时的支付宝居然没有被日常DDOS到瘫痪(或许有但没有上大新闻)。

后来阿里系有一个心理学博士王坚，在那个时候，他觉得要发展云计算，王坚既不会写代码，又不是计算机高材生，只是一个学心理学的，不知道怎样就和马云一拍即合了，就组建了阿里云。

马云说，王坚说他知道大数据的方向，我信任他。如果撞墙了，这钱打水漂了，我花得起，这是战略。

然后马云一年10亿地往阿里云里投钱。然后阿里云开始几十万几十万地买服务器，注意不是几十万元，是几十万台……

也是那个时候，吴翰清（花名：道哥）加入了阿里云，道哥本是资深黑客一枚，对黑客的攻击手段再熟悉不过了，据传他加入阿里云的第一天就嗅探内网同事的邮箱，然后得到了所有人的邮箱密码，还骚骚地给他们发一封邮件说你们邮箱存在安全隐患记得换密码。可是这样的一个高手，却选择研究云盾……

前几年阿里云一直在亏损，买服务器，做云计算，接着亏损，买服务器，做云计算……没想到持续了几年之后，竟然真的做出点成就来了！2015年的时候，我和圈里的朋友大概合计一下手上的资源，DDOS攻击大概可以打出300G的峰值，但是此时的阿里早已不是这个级别了，那一年双11的访问量几乎就像是一场大规模的纯人肉的DDOS，但是支付宝的表现简直帅气。

说到DDOS，就得提一下去年（2016年）Mirai僵尸网络的DDOS攻击，Mirai使用61个弱密码（诸如password、123456）操控肉鸡发起DDOS攻击，直接把半个美国打断网，后来又把德国打断网，但是其DDOS的峰值也就665G，但此时阿里云扛住600G的峰值已经是刷日常任务了……保守估计目前阿里系扛住1T的攻击应该是没什么问题，但是全球范围内能发起1T攻击的个人（独行黑客）应该不超过五个，毕竟Mirai用弱口令控制了几乎百万台的肉鸡，这个量还是挺大的，打出的攻击效果却破不了阿里的防御。

话说回来，还能玩DDoS么？实不相瞒我现在都是在用阿里云的产品来保护自己的网站……你知道现在能打出100G的峰值值多少钱吗？3000块，在黑产圈这种单子挺多的，主要都是打游戏私服，比如A开了个私服，玩的人挺多，B也开了一个，但是玩的人不多，B付款，我这边钱一到账，回车一敲，分分钟A的私服里卡成幻灯片，只要不太过分闹到最后要对簿公堂，这几乎就是黑产圈的可持续发展道路……所以有点肉鸡干什么不好要去弄支付宝？

至于物理攻击， 2015年5月27号，电缆门的事情大家都知道了吧……

社工学高手表示DDoS什么的弱爆了，悄悄地跑搜索到机房位置，开个磁铁车（参考breaking bad毁炸鸡哥硬盘桥段），分分钟黑了支付宝。就像我能搜索到上图阿里云北京机房的照片，一定有更厉害的能搜索到他的具体位置，这种社工学类的黑客还是比较不好防御的，只能加强安保了……不过我相信支付宝机房的安保级别应该还挺高的。

2.入侵

假设入侵者是一位DBA高手或者CCIE的天才，那么他肯定是一个偏执狂，就算他手上有大把原创的0day，直接黑进支付宝，把支付宝脱裤，获得了最高权限，请问他能干什么？？

难道疯狂地跟自己的账户余额尾数后加0？

还是伪造转账？亦或是劫富济贫？？

还是在首页留言“你好我发现了你们服务器的漏洞，请联系XXXXXX”

或者只是单纯给用户弹窗“天空不曾留下鸟的痕迹，但我已经飞过”（我喜欢玩这种弹窗还是在or=or的年代……）

如果是出于报复心理，或者战略目的，删除、毁坏数据，但支付宝当然有备份啊，不出意外的话3小时应该就能恢复正常运营……其次这种恶意入侵很容易就上升到刑事高度，工信部网络安全管理局、公安部网络安全保卫局这两个单位和阿里安全系统紧密合作，你知道国家部门有多少种方法可以定位到黑客吗？曾经有人伪造IP地址入侵某部门服务器，只能知道入侵者的城市，无法判断其详细地址，因为该部门有资料涉及到机密，于是强制给该城市停电……最后找到了入侵者……

实际上阿里（包括支付宝）当然存在着很多漏洞，每天都有很多个人和团体在不断地寻找他的漏洞，但是所发现的漏洞远不够致命，大多都是一些服务器远程代码漏洞、变量覆盖漏洞、远程命令执行漏洞，大多也就是能进院子但不能进屋子的意思，想从屋里偷东西还差一大截。

阿里有一个ASRC，安全响应中心（Alibaba Security Response Center，简称ASRC），相当于阿里的军情六处，主要就是针对各种漏洞和入侵者的一套方案。有漏洞改之，有入侵者招安之。你若发现了我的漏洞，要么你公之于众或卖给别人然后去坐牢，要么你悄悄告诉我，我还可以给你一笔辛苦费，并封你一个齐天大圣（安全专家）的称号。基本上有点脑子的人都成了安全专家，而不是只能上新闻还上不了头条黑客。

一个人的力量是薄弱的，但保不齐有人想组队群攻阿里呢？

黑客圈总共就那么大，能玩的起大手笔的就那么几个团队，你想要办一件轰动网络的大事，难免走漏风声。ASRC就厉害了，不止买漏洞，还买情报……你要是在某个饭局上听到喝高了的同行说哪天要脱支付宝的裤子，只需要记下几个关键字，邮箱抄送到ASRC，一经查实情报费就到账了（不得不说阿里系给钱还是挺爽快的）。

其实安全圈子待久了，你就会发现你心心念念达到的高度，早就有前辈留下的脚印，你费尽心思入侵的系统，甚至都可能只是大神们几个小时匆匆写出来的，不拘小节而没有完善那些无关紧要的漏洞罢了。我想纯粹的技术流，费劲千辛万苦最终到了支付宝的数据量面前，估计也是得惊叹这个作品的美妙，享受这微妙的喜悦，然后提交漏洞吧。

PS：我觉得支付宝在后台数据库应该插入一个招聘的广告，非正常渠道进入数据库时都弹出这个招聘广告，毕竟这种人才可是很难得。这大概是支付宝浏览量最少的广告了。