下面是如何檢測和反擊使用自動化工具來攻擊你網站的黑客。
黑客喜歡用自動化SQL注入和遠程文件包含攻擊的工具。
攻擊者使用sqlmap,Havij,或NetSparker這樣的軟件來發現和利用網站漏洞是非常簡單並迅速,甚至不用去專門的學習。
黑客喜歡自動攻擊攻擊有三個原因。第一個,也是最重要的一個,這些工具的使用,只需要非常少的技術,另外,開發人員通常將這些工具做為合法的滲透測試工具在黑客論壇或他們的網站上免費提供。
此外,它們可以使黑客只學習很少的技術,便可以非常快速的攻擊大量的網站。
最後,被雇傭的攻擊者使用這些僅僅在一段時間內有效的攻擊工具,確實能夠使服務器被盜用或遭到破壞。
現有一個好消息:
如果能夠找到一種方法來發現和阻止自動攻擊,你就可以發現是否有黑客在自動攻擊你的站點。在本文中,我們將探索如何識別這些自動攻擊工具在你的站點形成的惡意流量。
一.高傳入請求率
最關鍵的一個標志就是,自動化攻擊工具傳入請求時的速度。根據Security strategy at data security company Imperva負責人 Rob Rachwald的指出,一個正常的用戶訪問者,不可能5秒內就生成超過1個http請求。相反,自動化攻擊工具通常會每分鐘產生70個以上—每秒超過1 個請求。正常訪問者根本不可能產生這麼多的請求。
乍一看,似乎發現一個自動化的黑客攻擊事件是很很容易的,只要是達到每5秒超過1個請求的流量,就是自動化黑客攻擊事件。但是,事情並沒有這麼簡單。
首先,並不是所有自動化請求的流量都是惡意的:比如Google在索引你的網站以便潛在用戶找到你的時候,便會產生大量的自動化請求流量。並不是所 有高速率的流量就是自動化攻擊:比如,內容分發的網絡或代理服務就可能會引起大量的流量和來源,但可能只是聚集了許多不同的用戶。
但更重要的是,許多足夠成熟的黑客都知道生成的請求率過高,會很容易被定位,他們有許多攻略來避免發現。Rachwald警告我們說,黑客有很多新的策略可以避免被發現。他們的策略可能包括:
1.有意減緩或暫停攻擊工具的請求速率。使它們產生的流量模式看起來更像正常的用戶訪問。
2.同時攻擊其它網站,這包括使用自動化攻擊工具將傳輸請求輪流發送到不同的目標站點。所以,盡管這個工具會生成非常高的請求速率,在單個站點接收的流量上來看,和正常用戶訪問的速度是一樣的。
3.使用多個主機來發動攻擊,這是黑客攻擊網站更加復雜的手段,沒有來自一個單一並且容易辨認的攻擊源IP地址。
因此,一個高傳入請求率是一條線索,但不是一個確認自動化攻擊的絕對的標識。我們還需要尋找更多的線索。
二.HTTP頭
HTTP頭對傳入流量的性質提供了另一種有價值的線索。例如,自動化的SQL注入工具sqlmap,Havij,NetSparker都能在 HTTP請求頭中正確地識別出它們自己用於描述性的用戶代理字符串。這是因為這些工具是用於合法的滲透測試(盡管惡意的黑客也用它們)。同樣,由Perl 腳本發起的攻擊(Imperva指出Perl是黑客最喜歡的編程語言之一),可能會被貼上“libwww-perl”的用戶代理標識。
顯然,任何含有這些工具產生的用戶代理字符串的流量都應該被阻止。當然,這些字符串是可以被改變的,但是非熟練的“新手”黑客客往往沒有意識到這種詭計的方法。甚至這些字符串存在於首位。
既然工具不包含能夠立即被識別的字符串,Imperva的研究已經發現,許多工具不會像常規浏覽器的web請求中發送多種頭信息。這些頭信息包括: Accept-Language 和 Accept-Charset headers.
一個精明的黑客會配置他們的系統來添加這些頭信息,但是許多黑客都不會這樣做。沒有這些Accept標頭信息我們當然應該提高警惕。如果同時又存在高請求率,這便 提供了一個非常強烈的跡象證明這些流量是惡意的。
三.攻擊工具特征
攻擊工具所能執行的各種操作,是根據他們已被編碼的功能,並且有一個有限的范圍。Imperva發現,通過分析後來已經證實的自動攻擊產生的流量記 錄,有時候可以找到一些模型,如在SQL注入時在生成的SQL片段中產生的特定的字符串,可以識別唯一的一個在攻擊中產生這些字符串的工具。(有時這些字 符串可能在工具的源代碼中發現)。
這些特征可以制定防火牆阻止策略的基礎規則,但需要注意的是,它們可能會在隨後的版本的工具中改變這些特征。
四.異常的地理位置
Imperva發現約30%的高速自動化SQL注入攻擊源自中國,其他攻擊源自“異常”的國家如印度尼西亞和埃及。Rachwald表明可疑的訪問量是來自任何一個不是你期望的訪問者的國家。他說“如果你是一個在倫敦小型零售商店,為什麼會有來自中國訪問者?”。
在流量高峰期,從遙遠地域而來的流量,就其本身而言,並不能證明什麼。但結合一些其它的跡象,如缺失的Accept標頭或一個高傳入的請求速率,這就需要你更仔細的檢查甚至完全阻止這些流量。
五.IP地址黑名單
當一個攻擊被檢測到時,它的源IP地址便能夠記錄下來。Imperva的研究小組發現,自動攻擊通常都出自一個獨特的IP,,單地址的平均時間為3 至5天。也有一些IP地址做為攻擊源,產生持續惡意的自動化攻擊流量達幾周,甚至幾個月。這意味著IP地址黑名單非常有利於防止從這個源繼續進行惡意的自 動化攻擊。雲安全提供者可以利用這些有價值的黑名單來保護網站,這些能夠用來保護用戶的IP址黑名單來自受到自動攻擊的客戶所提供的信息。
