在 Internet 上发生的许多不同的网络安全威胁中,DDoS 攻击是最致命和最难以遏制的攻击之一。全球 DDoS 攻击的数量 持续上升,2020 年是特别糟糕的一年,因为主要转向了更多的在线活动。这让许多企业想知道如何阻止机器人攻击。
DDoS 攻击通常使用僵尸网络,这些计算机或其他设备已被恶意软件感染,现在处于黑客的控制之下。黑客还可以将这些僵尸网络用于各种其他网络安全威胁,例如数据盗窃、帐户接管、 网络内容抓取等。
在本指南中,我们将讨论如何阻止和防止对您的网站和服务器的僵尸网络攻击。我们将讨论不同类型的僵尸网络攻击,以及我们如何有效地防止和减轻传入的僵尸网络攻击。但是,让我们首先讨论僵尸网络和僵尸网络攻击的概念。
什么是僵尸网络?
首先,机器人是一种自动化软件程序,旨在通过互联网执行特定任务。例如,内容抓取机器人的设计目的只是为了在许多不同的网页上保存内容。僵尸网络是此类机器人的网络或集群,通常使用一组已被恶意软件感染并且现在处于恶意软件所有者控制下的计算机(或其他设备)。这些僵尸网络被用来攻击(并经常感染)其他计算机和设备。通常,黑客会尽其所能确保受害者不知道感染,这将使他们能够尽可能长时间地利用僵尸网络。
僵尸网络是如何创建的?
要创建僵尸网络,黑客首先创建一段恶意软件(或获取可修改的现成恶意软件),可用于远程控制受感染的主机或其他设备。僵尸网络值得注意的一点是,在计算机受到威胁后,它可以感染与其交互的其他设备,例如通过自动发送垃圾邮件。通过这种方法,黑客可以控制数百、数千甚至数百万台计算机。
有问题的恶意软件通常是木马病毒,它们将自己伪装成无害文件,诱使用户单击可执行文件。例如:
- 看似无害的电子邮件附件,如有吸引力的图像、看似重要的文档(发票、特价商品)等。单击下载附件将触发恶意软件的安装
- 从不可信来源下载的软件(或 .exe 文件),这可能是僵尸网络恶意软件
- 弹出式广告或通知,点击广告将下载可执行文件
同样重要的是要注意,僵尸网络恶意软件不仅会感染个人电脑和笔记本电脑,还会感染智能手机甚至物联网设备,如监控摄像头、游戏机等。
僵尸网络可以“传播”,即以主动和被动方式感染其他设备:
- 主动: 僵尸网络可以在不需要任何用户干预的情况下自行传播。通常,活跃的僵尸网络有一种设计机制来寻找互联网上的其他潜在主机(即具有已知漏洞的计算机),并在可能时感染它们。
- 被动: 僵尸网络只能在人为干预的帮助下感染其他设备。例如,僵尸网络可能会运行网络钓鱼或社会工程攻击来感染其他设备。
什么是僵尸网络攻击?
简而言之,僵尸网络攻击是黑客或网络罪犯使用僵尸网络进行的任何恶意活动。最常见的僵尸网络攻击形式是 DDoS(分布式拒绝服务)攻击。黑客将使用僵尸网络向网站或 Web 服务器发送大量请求和/或流量以使其不堪重负,从而阻止其为真实用户提供服务(因此,拒绝服务)。
但是,僵尸网络还可以执行其他形式的恶意攻击,包括但不限于:
- 垃圾邮件攻击: 当带有 SMTP 或 POP3 的 Web 服务器变成僵尸网络的一部分时,它可用于发送垃圾邮件和欺诈电子邮件,以企图欺诈收件人、用恶意软件感染设备等。
- 加密货币挖矿: 近年来常见的网络安全威胁类型,僵尸网络被劫持以挖矿加密货币以获取攻击者的经济利益
- 欺诈流量: 生成虚假网络流量或欺诈点击广告以增加收入
- 勒索: 用勒索软件感染设备并索要金钱以“释放”设备,或胁迫用户付款以将其设备从僵尸网络中移除
- 间谍软件: 僵尸网络监视用户的活动,如密码、信用卡信息和其他敏感数据,然后将其报告给僵尸网络的所有者。然后攻击者可以在黑市上出售这些敏感数据。
此外,僵尸网络可以出售或出租给其他黑客。
不同类型的僵尸网络
我们可以根据攻击者如何控制它们来区分各种类型的僵尸网络。实际上,黑客可以使用多种方法来命令和控制僵尸网络;有些比其他方法更复杂。通常对于较大的僵尸网络,主要“牧民”或所有者可以从中央服务器控制整个僵尸网络,而其他较小的牧民可以控制僵尸网络的较小部分。
虽然存在各种不同类型的僵尸网络,但以下是一些最常见的僵尸网络:
- 命令和控制(或 C&C): 在这种类型中,僵尸网络中的所有设备都与一个中央牧民或服务器通信
- IRC: 或者,Internet 中继聊天。这种类型的僵尸网络侧重于使用低带宽和更简单的通信(如 mIRC) 来掩盖其身份并避免被发现。
- Telnet: 在这种僵尸网络控制中,僵尸网络中的所有设备都连接到主命令服务器,因此它是C&C的一个子类型。主要区别在于新计算机通过在外部服务器上运行的扫描脚本添加到僵尸网络。一旦登录被扫描器发现,它就会通过 SSH 感染恶意软件。
- 域: 受感染的设备访问分发命令的网页或域。僵尸网络所有者可以不时更新代码。
- P2P: 在这种类型中,僵尸网络没有连接到中央服务器,而是点对点连接。僵尸网络中的每个受感染设备都充当服务器和客户端。
阻止和预防僵尸网络攻击的挑战
当今互联网上流传着如此多的僵尸网络,保护是必不可少的——但这并不容易。僵尸网络不断变异以利用漏洞和安全漏洞。因此,每个僵尸网络都可能与其他僵尸网络明显不同。
僵尸网络运营商知道,他们在攻击中使用的 IP 地址和设备越多,僵尸网络防御技术就越难自信地筛选出访问网站和 API 的不良请求,并自信地允许访问来自客户或合作伙伴的有效请求。
IP 可寻址物联网设备的爆炸式增长使僵尸网络比以往任何时候都更容易蔓延它们的触角。物联网设备通常比个人电脑更容易受到攻击,保护措施也较弱。受感染的物联网设备使攻击者很容易发动低速和缓慢的攻击,其中大量 IP 地址仅发出少量请求。这种类型的僵尸网络攻击特别难以在 IP 或网络行为级别进行筛选和防范。简而言之,防止和阻止机器人攻击需要复杂的检测能力。
如何阻止和防止僵尸网络攻击
1. 使您的软件保持最新
每天都会产生新的病毒和恶意软件,因此确保您的整个系统也是最新的以防止僵尸网络攻击非常重要。许多僵尸网络攻击旨在利用应用程序或软件中的漏洞,其中许多可能已以安全更新或补丁的形式得到修复。因此,请养成定期更新软件和操作系统的习惯。您不希望仅仅因为忽略了更新软件而被恶意软件或任何其他类型的网络安全威胁感染。
2. 密切监控你的网络
密切监视您的网络是否有异常活动。如果您更好地了解您的典型流量以及一切通常如何正常运行,这将更加有效。如果可能的话,应该通过使用可以自动检测异常行为(例如僵尸网络攻击)的分析和数据收集解决方案,对网络进行 24 小时监控。
3. 监控失败的登录尝试
在线公司面临的最大威胁之一是 帐户接管或 ATO。 僵尸网络通常用于测试大量被盗的用户名和密码组合,以获得对用户帐户的未授权访问。监控您通常的登录尝试失败率将帮助您建立基线,以便您可以设置警报以通知您失败登录的任何峰值,这可能是僵尸网络攻击的迹象。请注意,来自大量不同 IP 地址的“低速和慢速”攻击可能不会触发这些僵尸网络攻击警报。
4. 实施先进的僵尸网络检测解决方案
保护您的网站和 Web 服务器免受僵尸网络攻击的最佳方法是投资高级僵尸网络检测软件,它可以执行实时僵尸网络检测并采用顶级僵尸网络缓解方法。
虽然僵尸网络运营商现在非常善于掩盖僵尸网络的身份,但人工智能解决方案可以执行实时行为分析,以检测僵尸网络流量并在它们到达您的 Web 服务器之前阻止所有僵尸网络活动。实施机器人管理和保护甚至可以缩短您的初始服务器响应时间。
汇集了数千个站点的数据,每天分析数十亿个请求,并使用先进的机器学习不断更新算法。通过这种方式,僵尸网络防御解决方案可以实时检测熟悉的僵尸网络和新的威胁。
最重要的是,不需要您主动进行僵尸网络缓解或其他日常干预。只需设置您信任的合作伙伴机器人的允许列表,就会在您专注于更有价值的项目时处理所有不需要的流量。
结束语
僵尸网络攻击可能非常危险。通过以上方法,您可以有效防御僵尸网络和恶意软件的攻击。但是,总的来说,投资实时反僵尸网络检测软件仍然是保护您的站点免受僵尸网络攻击和恶意软件感染的最佳方法。