怎么检测网站是否遭到了黑客的自动化攻击,黑客攻击的标志是什么?如果能够找到一种方法来发现和阻止自动攻击,你就可以发现是否有黑客在自动攻击你的站点。在本文中,我们将探索如何识别这些自动攻击工具在你的站点形成的恶意流量。
一。高传入请求率
最关键的一个标志就是,自动化攻击工具传入请求时的速度。根据Security strategy at data security company Imperva负责人 Rob Rachwald的指出,一个正常的用户访问者,不可能5秒内就生成超过1个http请求。相反,自动化攻击工具通常会每分钟产生70个以上—每秒超过1 个请求。正常访问者根本不可能产生这么多的请求。
乍一看,似乎发现一个自动化的黑客攻击事件是很很容易的,只要是达到每5秒超过1个请求的流量,就是自动化黑客攻击事件。但是,事情并没有这么简单。
首先,并不是所有自动化请求的流量都是恶意的:比如Google在索引你的网站以便潜在用户找到你的时候,便会产生大量的自动化请求流量。并不是所 有高速率的流量就是自动化攻击:比如,内容分发的网络或代理服务就可能会引起大量的流量和来源,但可能只是聚集了许多不同的用户。
但更重要的是,许多足够成熟的黑客都知道生成的请求率过高,会很容易被定位,他们有许多攻略来避免发现。Rachwald警告我们说,黑客有很多新的策略可以避免被发现。他们的策略可能包括:
1.有意减缓或暂停攻击工具的请求速率。使它们产生的流量模式看起来更像正常的用户访问。
2.同时攻击其它网站,这包括使用自动化攻击工具将传输请求轮流发送到不同的目标站点。所以,尽管这个工具会生成非常高的请求速率,在单个站点接收的流量上来看,和正常用户访问的速度是一样的。
3.使用多个主机来发动攻击,这是黑客攻击网站更加复杂的手段,没有来自一个单一并且容易辨认的攻击源IP地址。
因此,一个高传入请求率是一条线索,但不是一个确认自动化攻击的绝对的标识。我们还需要寻找更多的线索。
二。HTTP头
HTTP头对传入流量的性质提供了另一种有价值的线索。例如,自动化的SQL注入工具sqlmap,Havij,NetSparker都能在 HTTP请求头中正确地识别出它们自己用于描述性的用户代理字符串。这是因为这些工具是用于合法的渗透测试(尽管恶意的黑客也用它们)。同样,由Perl 脚本发起的攻击(Imperva指出Perl是黑客最喜欢的编程语言之一),可能会被贴上“libwww-perl”的用户代理标识。
显然,任何含有这些工具产生的用户代理字符串的流量都应该被阻止。当然,这些字符串是可以被改变的,但是非熟练的“新手”黑客客往往没有意识到这种诡计的方法。甚至这些字符串存在于首位。
既然工具不包含能够立即被识别的字符串,Imperva的研究已经发现,许多工具不会像常规浏览器的web请求中发送多种头信息。这些头信息包括:Accept-Language 和 Accept-Charset headers.
一个精明的黑客会配置他们的系统来添加这些头信息,但是许多黑客都不会这样做。没有这些Accept标头信息我们当然应该提高警惕。如果同时又存在高请求率,这便 提供了一个非常强烈的迹象证明这些流量是恶意的。
三。攻击工具特征
攻击工具所能执行的各种操作,是根据他们已被编码的功能,并且有一个有限的范围。Imperva发现,通过分析后来已经证实的自动攻击产生的流量记 录,有时候可以找到一些模型,如在SQL注入时在生成的SQL片段中产生的特定的字符串,可以识别唯一的一个在攻击中产生这些字符串的工具。(有时这些字 符串可能在工具的源代码中发现)。
这些特征可以制定防火墙阻止策略的基础规则,但需要注意的是,它们可能会在随后的版本的工具中改变这些特征。
四。异常的地理位置
Imperva发现约30%的高速自动化SQL注入攻击源自中国,其他攻击源自“异常”的国家如印度尼西亚和埃及。Rachwald表明可疑的访问量是来自任何一个不是你期望的访问者的国家。他说“如果你是一个在伦敦小型零售商店,为什么会有来自中国访问者?”。
在流量高峰期,从遥远地域而来的流量,就其本身而言,并不能证明什么。但结合一些其它的迹象,如缺失的Accept标头或一个高传入的请求速率,这就需要你更仔细的检查甚至完全阻止这些流量。
五。IP地址黑名单
当一个攻击被检测到时,它的源IP地址便能够记录下来。Imperva的研究小组发现,自动攻击通常都出自一个独特的IP,单地址的平均时间为3 至5天。也有一些IP地址做为攻击源,产生持续恶意的自动化攻击流量达几周,甚至几个月。这意味着IP地址黑名单非常有利于防止从这个源继续进行恶意的自 动化攻击。云安全提供者可以利用这些有价值的黑名单来保护网站,这些能够用来保护用户的IP址黑名单来自受到自动攻击的客户所提供的信息。
Paul Rubens是一位优秀的科技记者,他从事IT安全超过20年。他所著的国际出版物主要包括《经济学人》,《纽约时报》、英国《金融时报》,《卫报》,BBC和Computing。
相关阅读
淘宝网店怎么写文案,什么样的文案更能引流且有助于转化?2016年08月30日
摘要: 淘宝网店怎么写文案,什么样的文案更能引流且有助于转化?一篇优秀的文案,一定是在对市场有深入的了解后方能下笔的。那么在撰写淘宝网店的文案时该怎么下手,怎么写出优秀的文案呢?介绍几种方法给你!$shangtongdai$1.九宮格思考法:拿一张白纸,用笔先分割成9公格。中间那格填上你的商品名,接下来开始在其它8格填上可以帮助此商品销售的众多可…
“反百度联盟”是什么?攻击百度会带来什么后果?2016年07月26日
摘要: 据悉,很多站长都没有从“百度的黑色六月”而引发的等一连串事件中醒觉,还组织了大规模的“反百度联盟”去恶意点击百度竞价。笔者觉得连“愤青”都算不上的人真不少,因为你个人的得失,而伤害其他以百度竞价生存的兄弟姐妹,这种人的行为跟百度以前最黑的业务员没有任何区别。甚至跟随他们一起疯的站长也可能中了组织者早有预谋的圈套,到底真的…
微店逆天文案是如何打造的?怎样写出好玩又有卖点的微店文案?2016年07月25日
摘要: 微店的运营相信各位卖家如数家珍,不仅包括选款、装修、客服等日常工作,最重要最容易忽略的其实是微店的文案,想要吸引卖家最重要的就是有好的文案。微店运营、微信朋友圈图文传播及微博内容营销和其他移动社交软件的运用都是需要文案打底,下面教你打造逆天文案的十招秘籍,希望可以帮你做好微店运营!一、聚焦卖点拿一张白纸,用笔先隔成9宫…
DDoS攻击的原理是什么?如何防御?2016年07月29日
摘要: DDoS攻击基础DDoS(DistributedDenialofService,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。按照发起的方式,DDoS可以简单分为三类。第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类…
淘宝店铺激活流程是什么?关闭后还能激活吗?小卖家如何用正确姿势抢流量?2016年06月03日
摘要: 想开一家淘宝店,用来卖自己从国外带回来的东西,不知道淘宝店铺激活流程是什么?激活后怎么上传产品?不管是线上生意还是线下生意,流量都是生命线,没有流量一切都免谈。那么淘宝小卖家竞争力这么小怎么和别人抢流量?淘宝店铺激活流程是什么?首先,打开淘宝网申请注册,然后输入相关的账户名以及密码。所有的账号信息和密码填写完成之…
流量是什么?淘宝店铺为什么没有流量?2016年06月14日
摘要: 运营人员要关注的数据很多,转化率、跳失率、客单价等无一不是需要关注的重点。其实说到底,开店最重要还是流量,没有流量其他的数据更是没有任何参考价值。本文来深度了解:流量是什么?淘宝为什么没有流量?流量是什么?在店家的立场上来看,流量就是访客数在淘宝网的立场上看,流量就是曝光量店铺的运营不能只站在自己角度想问题,需…
手机淘宝获取免费流量发生了哪些变化?如何应对?2016年07月27日
摘要: 2016年的淘宝已经发生了巨大变化,移动端越来越被重视,手淘店铺免费流量也随着发生了一系列的改变。那么你知道发生了些什么变化吗?一、店铺层级决定到店的免费流量免费流量有搜索流量、手淘首页、手淘免费其他,手淘其他店铺,手淘其他商品详情页等综述性的集合,手淘的搜索流量在免费流量中的占比一般不会超过百分之五十。如果搜索流量在免费…
淘宝卖家如何提升免费流量?有哪些技巧?2016年07月15日
摘要: 进入了2016年,好多淘宝卖家越来越不适应淘宝规则的。新卖家很难有起色,老卖家流量日趋下滑,好多人都叫嚣着出淘。但是流量都下滑了那么流量哪里去了?原因很简单,有衰就有兴,有落魄了,就会有相应的繁荣,现在的你不能给淘宝什么,淘宝也就放弃了你。虽然现在的卖家都很刻苦,也肯学习,但是流量并没有有效的提高,其实原因很简单,就是任…
更多文章