在 Internet 上發生的許多不同的網絡安全威脅中,DDoS 攻擊是最致命和最難以遏制的攻擊之一。全球 DDoS 攻擊的數量 持續上升,2020 年是特別糟糕的一年,因為主要轉向了更多的在線活動。這讓許多企業想知道如何阻止機器人攻擊。
DDoS 攻擊通常使用僵尸網絡,這些計算機或其他設備已被惡意軟件感染,現在處于黑客的控制之下。黑客還可以將這些僵尸網絡用于各種其他網絡安全威脅,例如數據盜竊、帳戶接管、 網絡內容抓取等。
在本指南中,我們將討論如何阻止和防止對您的網站和服務器的僵尸網絡攻擊。我們將討論不同類型的僵尸網絡攻擊,以及我們如何有效地防止和減輕傳入的僵尸網絡攻擊。但是,讓我們首先討論僵尸網絡和僵尸網絡攻擊的概念。
什么是僵尸網絡?
首先,機器人是一種自動化軟件程序,旨在通過互聯網執行特定任務。例如,內容抓取機器人的設計目的只是為了在許多不同的網頁上保存內容。僵尸網絡是此類機器人的網絡或集群,通常使用一組已被惡意軟件感染并且現在處于惡意軟件所有者控制下的計算機(或其他設備)。這些僵尸網絡被用來攻擊(并經常感染)其他計算機和設備。通常,黑客會盡其所能確保受害者不知道感染,這將使他們能夠盡可能長時間地利用僵尸網絡。
僵尸網絡是如何創建的?
要創建僵尸網絡,黑客首先創建一段惡意軟件(或獲取可修改的現成惡意軟件),可用于遠程控制受感染的主機或其他設備。僵尸網絡值得注意的一點是,在計算機受到威脅后,它可以感染與其交互的其他設備,例如通過自動發送垃圾郵件。通過這種方法,黑客可以控制數百、數千甚至數百萬臺計算機。
有問題的惡意軟件通常是木馬病毒,它們將自己偽裝成無害文件,誘使用戶單擊可執行文件。例如:
- 看似無害的電子郵件附件,如有吸引力的圖像、看似重要的文檔(發票、特價商品)等。單擊下載附件將觸發惡意軟件的安裝
- 從不可信來源下載的軟件(或 .exe 文件),這可能是僵尸網絡惡意軟件
- 彈出式廣告或通知,點擊廣告將下載可執行文件
同樣重要的是要注意,僵尸網絡惡意軟件不僅會感染個人電腦和筆記本電腦,還會感染智能手機甚至物聯網設備,如監控攝像頭、游戲機等。
僵尸網絡可以“傳播”,即以主動和被動方式感染其他設備:
- 主動: 僵尸網絡可以在不需要任何用戶干預的情況下自行傳播。通常,活躍的僵尸網絡有一種設計機制來尋找互聯網上的其他潛在主機(即具有已知漏洞的計算機),并在可能時感染它們。
- 被動: 僵尸網絡只能在人為干預的幫助下感染其他設備。例如,僵尸網絡可能會運行網絡釣魚或社會工程攻擊來感染其他設備。
什么是僵尸網絡攻擊?
簡而言之,僵尸網絡攻擊是黑客或網絡罪犯使用僵尸網絡進行的任何惡意活動。最常見的僵尸網絡攻擊形式是 DDoS(分布式拒絕服務)攻擊。黑客將使用僵尸網絡向網站或 Web 服務器發送大量請求和/或流量以使其不堪重負,從而阻止其為真實用戶提供服務(因此,拒絕服務)。
但是,僵尸網絡還可以執行其他形式的惡意攻擊,包括但不限于:
- 垃圾郵件攻擊: 當帶有 SMTP 或 POP3 的 Web 服務器變成僵尸網絡的一部分時,它可用于發送垃圾郵件和欺詐電子郵件,以企圖欺詐收件人、用惡意軟件感染設備等。
- 加密貨幣挖礦: 近年來常見的網絡安全威脅類型,僵尸網絡被劫持以挖礦加密貨幣以獲取攻擊者的經濟利益
- 欺詐流量: 生成虛假網絡流量或欺詐點擊廣告以增加收入
- 勒索: 用勒索軟件感染設備并索要金錢以“釋放”設備,或脅迫用戶付款以將其設備從僵尸網絡中移除
- 間諜軟件: 僵尸網絡監視用戶的活動,如密碼、信用卡信息和其他敏感數據,然后將其報告給僵尸網絡的所有者。然后攻擊者可以在黑市上出售這些敏感數據。
此外,僵尸網絡可以出售或出租給其他黑客。
不同類型的僵尸網絡
我們可以根據攻擊者如何控制它們來區分各種類型的僵尸網絡。實際上,黑客可以使用多種方法來命令和控制僵尸網絡;有些比其他方法更復雜。通常對于較大的僵尸網絡,主要“牧民”或所有者可以從中央服務器控制整個僵尸網絡,而其他較小的牧民可以控制僵尸網絡的較小部分。
雖然存在各種不同類型的僵尸網絡,但以下是一些最常見的僵尸網絡:
- 命令和控制(或 C&C): 在這種類型中,僵尸網絡中的所有設備都與一個中央牧民或服務器通信
- IRC: 或者,Internet 中繼聊天。這種類型的僵尸網絡側重于使用低帶寬和更簡單的通信(如 mIRC) 來掩蓋其身份并避免被發現。
- Telnet: 在這種僵尸網絡控制中,僵尸網絡中的所有設備都連接到主命令服務器,因此它是C&C的一個子類型。主要區別在于新計算機通過在外部服務器上運行的掃描腳本添加到僵尸網絡。一旦登錄被掃描器發現,它就會通過 SSH 感染惡意軟件。
- 域: 受感染的設備訪問分發命令的網頁或域。僵尸網絡所有者可以不時更新代碼。
- P2P: 在這種類型中,僵尸網絡沒有連接到中央服務器,而是點對點連接。僵尸網絡中的每個受感染設備都充當服務器和客戶端。
阻止和預防僵尸網絡攻擊的挑戰
當今互聯網上流傳著如此多的僵尸網絡,保護是必不可少的——但這并不容易。僵尸網絡不斷變異以利用漏洞和安全漏洞。因此,每個僵尸網絡都可能與其他僵尸網絡明顯不同。
僵尸網絡運營商知道,他們在攻擊中使用的 IP 地址和設備越多,僵尸網絡防御技術就越難自信地篩選出訪問網站和 API 的不良請求,并自信地允許訪問來自客戶或合作伙伴的有效請求。
IP 可尋址物聯網設備的爆炸式增長使僵尸網絡比以往任何時候都更容易蔓延它們的觸角。物聯網設備通常比個人電腦更容易受到攻擊,保護措施也較弱。受感染的物聯網設備使攻擊者很容易發動低速和緩慢的攻擊,其中大量 IP 地址僅發出少量請求。這種類型的僵尸網絡攻擊特別難以在 IP 或網絡行為級別進行篩選和防范。簡而言之,防止和阻止機器人攻擊需要復雜的檢測能力。
如何阻止和防止僵尸網絡攻擊
1. 使您的軟件保持最新
每天都會產生新的病毒和惡意軟件,因此確保您的整個系統也是最新的以防止僵尸網絡攻擊非常重要。許多僵尸網絡攻擊旨在利用應用程序或軟件中的漏洞,其中許多可能已以安全更新或補丁的形式得到修復。因此,請養成定期更新軟件和操作系統的習慣。您不希望僅僅因為忽略了更新軟件而被惡意軟件或任何其他類型的網絡安全威脅感染。
2. 密切監控你的網絡
密切監視您的網絡是否有異常活動。如果您更好地了解您的典型流量以及一切通常如何正常運行,這將更加有效。如果可能的話,應該通過使用可以自動檢測異常行為(例如僵尸網絡攻擊)的分析和數據收集解決方案,對網絡進行 24 小時監控。
3. 監控失敗的登錄嘗試
在線公司面臨的最大威脅之一是 帳戶接管或 ATO。 僵尸網絡通常用于測試大量被盜的用戶名和密碼組合,以獲得對用戶帳戶的未授權訪問。監控您通常的登錄嘗試失敗率將幫助您建立基線,以便您可以設置警報以通知您失敗登錄的任何峰值,這可能是僵尸網絡攻擊的跡象。請注意,來自大量不同 IP 地址的“低速和慢速”攻擊可能不會觸發這些僵尸網絡攻擊警報。
4. 實施先進的僵尸網絡檢測解決方案
保護您的網站和 Web 服務器免受僵尸網絡攻擊的最佳方法是投資高級僵尸網絡檢測軟件,它可以執行實時僵尸網絡檢測并采用頂級僵尸網絡緩解方法。
雖然僵尸網絡運營商現在非常善于掩蓋僵尸網絡的身份,但人工智能解決方案可以執行實時行為分析,以檢測僵尸網絡流量并在它們到達您的 Web 服務器之前阻止所有僵尸網絡活動。實施機器人管理和保護甚至可以縮短您的初始服務器響應時間。
匯集了數千個站點的數據,每天分析數十億個請求,并使用先進的機器學習不斷更新算法。通過這種方式,僵尸網絡防御解決方案可以實時檢測熟悉的僵尸網絡和新的威脅。
最重要的是,不需要您主動進行僵尸網絡緩解或其他日常干預。只需設置您信任的合作伙伴機器人的允許列表,就會在您專注于更有價值的項目時處理所有不需要的流量。
結束語
僵尸網絡攻擊可能非常危險。通過以上方法,您可以有效防御僵尸網絡和惡意軟件的攻擊。但是,總的來說,投資實時反僵尸網絡檢測軟件仍然是保護您的站點免受僵尸網絡攻擊和惡意軟件感染的最佳方法。
