為何網絡攻擊越來越偏愛自動化?
http://www.mozp.cn現在什么都智能了,網絡攻擊也會智能化, 最新的網絡安全報告顯示,當前不法黑客發動大規模破壞性網絡攻擊更喜歡采用智能自動化攻擊方式,而且智能自動化的網絡攻擊是不會分工作日還是休息日的。據統計發現,在所有漏洞利用嘗試中有近44%的發生在星期六或星期日。數據更顯示,周末的平均日攻擊量是工作日的兩倍。由此網絡攻擊 攻擊者對自動化攻擊的鐘愛可見一斑。
偏愛自動化攻擊的原因
那么究竟有哪些原因是促使網絡攻擊者偏愛自動化攻擊的呢?筆者認為不外乎是三點:免費、簡單、高效。
免費:攻擊者往往會利用一些在黑客論壇或網站上發布的免費自動化腳本工具作為攻擊平臺網絡攻擊 這些自動化腳本不乏有一些是合法的滲透測試工具。
簡單:一些自主攻擊工具雖然威力不小自動化,但并不需要攻擊者掌握多么深厚的代碼功底。例如自動化網絡安全,曾經搞癱半個美國網絡的Mirai僵尸網絡源代碼實際上也就是幾百行自動化網絡安全,但破壞力卻很強大。
高效:網絡攻擊者手上并不一定總有新的零日漏洞網絡安全,但他們卻會善于利用那些早就被發現的漏洞進行快速入侵。而且他們還會常常使用一些僅僅在一段時間內有效的攻擊工具,只要能夠完成其侵入、潛伏或者進一步展開破壞就足夠了。
遭到自動化攻擊的標志
那么攻擊后會有怎樣的特點標志呢?
首先,網站會表現出異常高的傳入請求率。自動化攻擊工具通常會每分鐘產生70個以上的請求,即每秒超過1個。而實際上,一個正常訪問者不可能在5秒內生成超過1個的HTTP請求。當然也不是所有自動化請求的流量都是惡意的,如Google的索引請求,或者內容分發的網絡或代理服務所帶來的大流量和IP來源。這時就需要具體鑒別下了。
其次,異常的IP地理位置。這表現在訪問IP來自一個并不是你所期望訪問者的國家,例如,一家歐洲小型零售商店卻不斷獲得亞洲、非洲等國家的大量訪問。在流量高峰期,即時有從遙遠地域的訪問流量,也不能證明什么。不過可以結合一些其它的跡象,如缺失的Accept標頭或一個高傳入的請求速率等來進行判斷,就比較準了。
還有,HTTP頭對傳入流量的性質也會提供參考線索。由于一些攻擊“新手”并不會修改Accept標頭,因此這些攻擊很可能會被貼上明顯的用戶代理標識。一個精明的黑客會配置郵件系統來添加這些頭信息,但是許多黑客并不會這樣做。
再有,就是攻擊工具特征了。攻擊工具所能執行的各種操作,都會依據編碼來執行,而一些攻擊工具如在SQL注入時所生成的SQL片段還會產生特定的字符串,借此便可以鑒別惡意流量。
結語
前者像WannaCry這樣的勒索攻擊,一旦結合了威力強大的自動化攻擊程序如“永恒之藍”等等,便能夠迅速在全球范圍內肆虐起來。當前,自動化、智能化的網絡攻擊正在不斷讓企業網絡的防線頻頻失守,而這顯然需要引起企業相關負責人的更多關注。然后從了解自動化網絡攻擊特點開始,及時修補漏洞,強化安全防護的協同聯動,打造出一套響應迅速、防御完備的網絡安全體系,來有效應對后續未知的自動化攻擊態勢。