怎么检测网站是否遭到了黑客的自动化攻击,黑客攻击的标志是什么?

怎么检测网站是否遭到了黑客的自动化攻击,黑客攻击的标志是什么?如果能够找到一种方法来发现和阻止自动攻击,你就可以发现是否有黑客在自动攻击你的站点。在本文中,我们将探索如何识别这些自动攻击工具在你的站点形成的恶意流量。

一。高传入请求率

最关键的一个标志就是,自动化攻击工具传入请求时的速度。根据Security strategy at data security company Imperva负责人 Rob Rachwald的指出,一个正常的用户访问者,不可能5秒内就生成超过1个http请求。相反,自动化攻击工具通常会每分钟产生70个以上—每秒超过1 个请求。正常访问者根本不可能产生这么多的请求。

乍一看,似乎发现一个自动化的黑客攻击事件是很很容易的,只要是达到每5秒超过1个请求的流量,就是自动化黑客攻击事件。但是,事情并没有这么简单。

其他人正在看

首先,并不是所有自动化请求的流量都是恶意的:比如Google在索引你的网站以便潜在用户找到你的时候,便会产生大量的自动化请求流量。并不是所 有高速率的流量就是自动化攻击:比如,内容分发的网络或代理服务就可能会引起大量的流量和来源,但可能只是聚集了许多不同的用户。

但更重要的是,许多足够成熟的黑客都知道生成的请求率过高,会很容易被定位,他们有许多攻略来避免发现。Rachwald警告我们说,黑客有很多新的策略可以避免被发现。他们的策略可能包括:

1.有意减缓或暂停攻击工具的请求速率。使它们产生的流量模式看起来更像正常的用户访问。

2.同时攻击其它网站,这包括使用自动化攻击工具将传输请求轮流发送到不同的目标站点。所以,尽管这个工具会生成非常高的请求速率,在单个站点接收的流量上来看,和正常用户访问的速度是一样的。

3.使用多个主机来发动攻击,这是黑客攻击网站更加复杂的手段,没有来自一个单一并且容易辨认的攻击源IP地址。

因此,一个高传入请求率是一条线索,但不是一个确认自动化攻击的绝对的标识。我们还需要寻找更多的线索。

二。HTTP头

HTTP头对传入流量的性质提供了另一种有价值的线索。例如,自动化的SQL注入工具sqlmap,Havij,NetSparker都能在 HTTP请求头中正确地识别出它们自己用于描述性的用户代理字符串。这是因为这些工具是用于合法的渗透测试(尽管恶意的黑客也用它们)。同样,由Perl 脚本发起的攻击(Imperva指出Perl是黑客最喜欢的编程语言之一),可能会被贴上“libwww-perl”的用户代理标识。

显然,任何含有这些工具产生的用户代理字符串的流量都应该被阻止。当然,这些字符串是可以被改变的,但是非熟练的“新手”黑客客往往没有意识到这种诡计的方法。甚至这些字符串存在于首位。

既然工具不包含能够立即被识别的字符串,Imperva的研究已经发现,许多工具不会像常规浏览器的web请求中发送多种头信息。这些头信息包括:Accept-Language 和 Accept-Charset headers.

一个精明的黑客会配置他们的系统来添加这些头信息,但是许多黑客都不会这样做。没有这些Accept标头信息我们当然应该提高警惕。如果同时又存在高请求率,这便 提供了一个非常强烈的迹象证明这些流量是恶意的。

三。攻击工具特征

攻击工具所能执行的各种操作,是根据他们已被编码的功能,并且有一个有限的范围。Imperva发现,通过分析后来已经证实的自动攻击产生的流量记 录,有时候可以找到一些模型,如在SQL注入时在生成的SQL片段中产生的特定的字符串,可以识别唯一的一个在攻击中产生这些字符串的工具。(有时这些字 符串可能在工具的源代码中发现)。

这些特征可以制定防火墙阻止策略的基础规则,但需要注意的是,它们可能会在随后的版本的工具中改变这些特征。

四。异常的地理位置

Imperva发现约30%的高速自动化SQL注入攻击源自中国,其他攻击源自“异常”的国家如印度尼西亚和埃及。Rachwald表明可疑的访问量是来自任何一个不是你期望的访问者的国家。他说“如果你是一个在伦敦小型零售商店,为什么会有来自中国访问者?”。

在流量高峰期,从遥远地域而来的流量,就其本身而言,并不能证明什么。但结合一些其它的迹象,如缺失的Accept标头或一个高传入的请求速率,这就需要你更仔细的检查甚至完全阻止这些流量。

五。IP地址黑名单

当一个攻击被检测到时,它的源IP地址便能够记录下来。Imperva的研究小组发现,自动攻击通常都出自一个独特的IP,单地址的平均时间为3 至5天。也有一些IP地址做为攻击源,产生持续恶意的自动化攻击流量达几周,甚至几个月。这意味着IP地址黑名单非常有利于防止从这个源继续进行恶意的自 动化攻击。云安全提供者可以利用这些有价值的黑名单来保护网站,这些能够用来保护用户的IP址黑名单来自受到自动攻击的客户所提供的信息。

Paul Rubens是一位优秀的科技记者,他从事IT安全超过20年。他所著的国际出版物主要包括《经济学人》,《纽约时报》、英国《金融时报》,《卫报》,BBC和Computing。