現(xiàn)在什么都智能了，網(wǎng)絡(luò)攻擊也會(huì)智能化， 最新的網(wǎng)絡(luò)安全報(bào)告顯示，當(dāng)前不法黑客發(fā)動(dòng)大規(guī)模破壞性網(wǎng)絡(luò)攻擊更喜歡采用智能自動(dòng)化攻擊方式，而且智能自動(dòng)化的網(wǎng)絡(luò)攻擊是不會(huì)分工作日還是休息日的。據(jù)統(tǒng)計(jì)發(fā)現(xiàn)，在所有漏洞利用嘗試中有近44%的發(fā)生在星期六或星期日。數(shù)據(jù)更顯示，周末的平均日攻擊量是工作日的兩倍。由此，攻擊者對(duì)自動(dòng)化攻擊的鐘愛(ài)可見(jiàn)一斑。

偏愛(ài)自動(dòng)化攻擊的原因

那么究竟有哪些原因是促使網(wǎng)絡(luò)攻擊者偏愛(ài)自動(dòng)化攻擊的呢？筆者認(rèn)為不外乎是三點(diǎn)：免費(fèi)、簡(jiǎn)單、高效。

免費(fèi)：攻擊者往往會(huì)利用一些在黑客論壇或網(wǎng)站上發(fā)布的免費(fèi)自動(dòng)化腳本工具作為攻擊平臺(tái)，這些自動(dòng)化腳本不乏有一些是合法的滲透測(cè)試工具。

簡(jiǎn)單：一些自主攻擊工具雖然威力不小，但并不需要攻擊者掌握多么深厚的代碼功底。例如，曾經(jīng)搞癱半個(gè)美國(guó)網(wǎng)絡(luò)的Mirai僵尸網(wǎng)絡(luò)源代碼實(shí)際上也就是幾百行，但破壞力卻很強(qiáng)大。

高效：網(wǎng)絡(luò)攻擊者手上并不一定總有新的零日漏洞，但他們卻會(huì)善于利用那些早就被發(fā)現(xiàn)的漏洞進(jìn)行快速入侵。而且他們還會(huì)常常使用一些僅僅在一段時(shí)間內(nèi)有效的攻擊工具，只要能夠完成其侵入、潛伏或者進(jìn)一步展開(kāi)破壞就足夠了。

遭到自動(dòng)化攻擊的標(biāo)志

那么攻擊后會(huì)有怎樣的特點(diǎn)標(biāo)志呢？

首先，網(wǎng)站會(huì)表現(xiàn)出異常高的傳入請(qǐng)求率。自動(dòng)化攻擊工具通常會(huì)每分鐘產(chǎn)生70個(gè)以上的請(qǐng)求，即每秒超過(guò)1個(gè)。而實(shí)際上，一個(gè)正常訪問(wèn)者不可能在5秒內(nèi)生成超過(guò)1個(gè)的HTTP請(qǐng)求。當(dāng)然也不是所有自動(dòng)化請(qǐng)求的流量都是惡意的，如Google的索引請(qǐng)求，或者內(nèi)容分發(fā)的網(wǎng)絡(luò)或代理服務(wù)所帶來(lái)的大流量和IP來(lái)源。這時(shí)就需要具體鑒別下了。

其次，異常的IP地理位置。這表現(xiàn)在訪問(wèn)IP來(lái)自一個(gè)并不是你所期望訪問(wèn)者的國(guó)家，例如，一家歐洲小型零售商店卻不斷獲得亞洲、非洲等國(guó)家的大量訪問(wèn)。在流量高峰期，即時(shí)有從遙遠(yuǎn)地域的訪問(wèn)流量，也不能證明什么。不過(guò)可以結(jié)合一些其它的跡象，如缺失的Accept標(biāo)頭或一個(gè)高傳入的請(qǐng)求速率等來(lái)進(jìn)行判斷，就比較準(zhǔn)了。

還有，HTTP頭對(duì)傳入流量的性質(zhì)也會(huì)提供參考線索。由于一些攻擊“新手”并不會(huì)修改Accept標(biāo)頭，因此這些攻擊很可能會(huì)被貼上明顯的用戶(hù)代理標(biāo)識(shí)。一個(gè)精明的黑客會(huì)配置郵件系統(tǒng)來(lái)添加這些頭信息，但是許多黑客并不會(huì)這樣做。

再有，就是攻擊工具特征了。攻擊工具所能執(zhí)行的各種操作，都會(huì)依據(jù)編碼來(lái)執(zhí)行，而一些攻擊工具如在SQL注入時(shí)所生成的SQL片段還會(huì)產(chǎn)生特定的字符串，借此便可以鑒別惡意流量。

結(jié)語(yǔ)

前者像WannaCry這樣的勒索攻擊，一旦結(jié)合了威力強(qiáng)大的自動(dòng)化攻擊程序如“永恒之藍(lán)”等等，便能夠迅速在全球范圍內(nèi)肆虐起來(lái)。當(dāng)前，自動(dòng)化、智能化的網(wǎng)絡(luò)攻擊正在不斷讓企業(yè)網(wǎng)絡(luò)的防線頻頻失守，而這顯然需要引起企業(yè)相關(guān)負(fù)責(zé)人的更多關(guān)注。然后從了解自動(dòng)化網(wǎng)絡(luò)攻擊特點(diǎn)開(kāi)始，及時(shí)修補(bǔ)漏洞，強(qiáng)化安全防護(hù)的協(xié)同聯(lián)動(dòng)，打造出一套響應(yīng)迅速、防御完備的網(wǎng)絡(luò)安全體系，來(lái)有效應(yīng)對(duì)后續(xù)未知的自動(dòng)化攻擊態(tài)勢(shì)。