Question | 網站被黑客掃描撞庫該怎麼應對防範？

本文來自網易雲社區

在安全領域向來是先知道如何攻，其次纔是防。針對題主的問題，在介紹如何防範網站被黑客掃描撞庫以前，先簡單介紹一下什麼是撞庫。

撞庫是黑客經過收集互聯網已泄露的用戶和密碼信息，生成對於的字典表，嘗試批量登陸其餘網站後，獲得一系列能夠登陸的用戶。由於不少用戶在不一樣網站使用的帳號密碼大可能是相同的，所以黑客能夠經過獲取用戶在A網站的帳戶從而嘗試登陸B網站。 

 

那麼遇見撞庫以後，咱們如何防禦呢？爲此咱們諮詢了網易雲易盾安全專家。根據他的描述：撞庫通常有如下幾種形式，每種形式有一些不一樣的處置策略。可是實際狀況是，被攻擊的網站可能會同時面臨幾種不一樣類型的撞庫，畢竟你們手裏拿到的社工庫很是多，撞庫的成本也很是低。 

 

社工庫是社會工程學數據庫的簡稱，社工庫是黑客用來記錄攻擊手段和方法的數據庫，這個數據庫中有大量信息，甚至能夠找到每一個人各類行爲記錄（每一個人在每一個網站上的帳號、密碼、分享的照片、信用卡記錄、通話記錄、短信記錄、開房記錄等等） 

 

最多見的三種撞庫方法： 

 

第一種：用n個密碼字典撞m個帳號，這個的表象是，一個帳號在某個較短的時間內，可能會有屢次密碼嘗試。因此，能夠在帳號層加限制措施，好比：一天內，一個帳號，密碼錯誤次數超過5次時，1天以內禁止登錄（或者校驗手機短信/密保問題以後才能登錄）。 

 

第二種：用幾個密碼撞n個帳號，這個的表象是，密碼出現的頻率會很是高，因此，能夠統計一段時間內每一個密碼的錯誤次數，超過必定閾值時，這個密碼在一段時間內禁止登陸（或者校驗手機短信/密保問題以後才能登錄）。 

 

第三種：用n組一一對應的帳號密碼來再撞庫，這種狀況的撞庫單純從帳號、密碼的維度來看，不會有明顯的異常。

因此，須要一些其餘的應對措施。好比： 

 

1. IP封禁，若是一段時間內，單個IP地址，密碼錯誤次數超過閾值，則禁止這個IP一段時間再登陸（或者校驗手機短信/密保問題以後才能登錄）。不過，如你們所說，如今代理IP至關廉價，從IP層面來封禁基本上沒啥做用。 

2. 創建IP畫像庫，對代理IP、IDC IP等高危的IP直接禁止登錄（或者校驗手機短信/密保問題以後才能登錄）。本身創建IP畫像庫成本可能會有點高，能夠考慮採購安全廠商的相似服務。 

3. 如今比較火的行爲驗證碼，好比：拖條、點選、拼圖等各類花樣的驗證碼。只是說，若是以前登陸不須要驗證碼，如今要加上一個驗證碼，估計要和產品撕逼。通常來講最後爲了後期的運營，產品也會贊成加上驗證碼。 

4. 從設備層面來識別和封禁，經過在客戶端植入sdk，收集用戶端的設備信息，從設備層面來作高頻策略，或者，直接識別出非正常的設備，而後對設備進行封殺。 

5. 從行爲層面來識別和封禁，和上面一條同樣，經過客戶端植入sdk，收集用戶在登陸頁面的交互行爲，經過機器學習、大數據建模，訓練出正經常使用戶、異經常使用戶的行爲模型，在交互行爲層面，將撞庫的行爲識別出來。這個須要有預先訓練好的行爲模型，如今機器學習那麼好，不說你們也都知道，本身訓練一個模型確定須要不少標註數據，這也就意味着成本。因此，仍是建議尋找安全廠商還作，畢竟專業的人作專業的事，靠譜！ 

 

上面列舉的這些措施，沒有哪個是一勞永逸的，都是須要不斷對抗升級，畢竟撞庫的手段也會不斷的進化，咱們能作的是不斷優化策略，不斷提升撞庫的成本。

因此，最好的方式是採購安全廠商的相關服務（好比：網易雲的登陸保護、驗證碼服務等），把攻防對抗的事交給安全廠商來作，我們專一作本身的業務，這樣性價比會更高。 

網易雲新用戶大禮包：https://www.163yun.com/gift