现在什么都智能了,网络攻击也会智能化, 最新的网络安全报告显示,当前不法黑客发动大规模破坏性网络攻击更喜欢采用智能自动化攻击方式,而且智能自动化的网络攻击是不会分工作日还是休息日的。据统计发现,在所有漏洞利用尝试中有近44%的发生在星期六或星期日。数据更显示,周末的平均日攻击量是工作日的两倍。由此网络攻击 攻击者对自动化攻击的钟爱可见一斑。
偏爱自动化攻击的原因
那么究竟有哪些原因是促使网络攻击者偏爱自动化攻击的呢?笔者认为不外乎是三点:免费、简单、高效。
免费:攻击者往往会利用一些在黑客论坛或网站上发布的免费自动化脚本工具作为攻击平台网络攻击 这些自动化脚本不乏有一些是合法的渗透测试工具。
简单:一些自主攻击工具虽然威力不小自动化,但并不需要攻击者掌握多么深厚的代码功底。例如自动化网络安全,曾经搞瘫半个美国网络的Mirai僵尸网络源代码实际上也就是几百行自动化网络安全,但破坏力却很强大。
高效:网络攻击者手上并不一定总有新的零日漏洞网络安全,但他们却会善于利用那些早就被发现的漏洞进行快速入侵。而且他们还会常常使用一些仅仅在一段时间内有效的攻击工具,只要能够完成其侵入、潜伏或者进一步展开破坏就足够了。
遭到自动化攻击的标志
那么攻击后会有怎样的特点标志呢?
首先,网站会表现出异常高的传入请求率。自动化攻击工具通常会每分钟产生70个以上的请求,即每秒超过1个。而实际上,一个正常访问者不可能在5秒内生成超过1个的HTTP请求。当然也不是所有自动化请求的流量都是恶意的,如Google的索引请求,或者内容分发的网络或代理服务所带来的大流量和IP来源。这时就需要具体鉴别下了。
其次,异常的IP地理位置。这表现在访问IP来自一个并不是你所期望访问者的国家,例如,一家欧洲小型零售商店却不断获得亚洲、非洲等国家的大量访问。在流量高峰期,即时有从遥远地域的访问流量,也不能证明什么。不过可以结合一些其它的迹象,如缺失的Accept标头或一个高传入的请求速率等来进行判断,就比较准了。
还有,HTTP头对传入流量的性质也会提供参考线索。由于一些攻击“新手”并不会修改Accept标头,因此这些攻击很可能会被贴上明显的用户代理标识。一个精明的黑客会配置邮件系统来添加这些头信息,但是许多黑客并不会这样做。
再有,就是攻击工具特征了。攻击工具所能执行的各种操作,都会依据编码来执行,而一些攻击工具如在SQL注入时所生成的SQL片段还会产生特定的字符串,借此便可以鉴别恶意流量。
结语
前者像WannaCry这样的勒索攻击,一旦结合了威力强大的自动化攻击程序如“永恒之蓝”等等,便能够迅速在全球范围内肆虐起来。当前,自动化、智能化的网络攻击正在不断让企业网络的防线频频失守,而这显然需要引起企业相关负责人的更多关注。然后从了解自动化网络攻击特点开始,及时修补漏洞,强化安全防护的协同联动,打造出一套响应迅速、防御完备的网络安全体系,来有效应对后续未知的自动化攻击态势。