深刻淺出了解撞庫攻擊！

時間 2021-04-16

原文原文鏈接

1. 撞庫的原理和危害

「撞庫」（Credential Stuffing Attack）在網絡安全中是一個古老的概念，按中文的字面意思解讀，就是「碰撞數據庫」的意思。「碰撞」意味着碰運氣，即不必定能成功；而「數據庫」中每每存儲着大量敏感數據，好比咱們登陸一個網站所須要的用戶名、密碼，再好比手機號、身份證號等我的隱私信息。「撞庫」在英文中的表述爲 Credential Stuffing（密碼嗅探），也很是直白的說明了撞庫的主要場景：試圖獲取正確的帳號/密碼組合，大白話就是「盜號」。數據庫

現實中發生的撞庫攻擊主要是攻擊者經過一些自動化工具（如腳本）針對要撞庫站點的相關接口（好比登陸接口）批量提交大量的用戶名/密碼組合，記錄下其中能成功登陸的組合並盜取該帳號，爲接下來作其餘的壞事（好比將銀行帳號中的資金轉走，或是遊戲帳號中的虛擬物品出售，或是盜用他人身份發表一些言論等等）作好準備。小程序

值得注意的是，撞庫的目的有2種：安全

1  盜號並非撞庫攻擊的惟一目的，
 2 驗證某個帳號有沒有在一個站點中註冊過也是常見的撞庫目的。

舉個例子，一樣是登陸失敗，不少站點對於「用戶不存在」和「密碼錯誤」會給出明確不一樣的兩種提示，這意味着我即便不知道你的密碼，也能夠知道你的手機號有沒有在這個站點註冊過。知道這個有什麼用呢？舉個 P2P 行業的例子，假設一個手機號在幾十個借貸平臺上都註冊過，那這個手機號的主人恐怕有着很糟糕的財務情況（多頭借貸），貸款給他的風險就很高了。微信

從攻擊目的上區分，撞庫有如下幾種常見場景：網絡

弱密碼嗅探：相似 1111十一、123456 這樣的簡單密碼由於不少人用，用這樣的弱口令去試探大量的帳號，就有必定機率能發現一些真正在使用弱密碼的帳號。實施這樣的攻擊通常要求攻擊者手上已經掌握了大量的帳號以及常見的弱密碼庫，固然若是不知道帳號，隨機構造一些也是有機率成功的，好比手機號這種格式固定的帳號。
利用拖庫數據：這是攻擊成功率更高的一種方式，原理是大多數人傾向於在多個站點上使用同一個密碼（有多少人淘寶和支付寶的密碼是同樣的？）。當攻擊者成功入侵一個安全防禦能力很弱的站點 A，並拿到其數據庫的全部用戶名密碼組合，而後再拿着這些組合去站點 B 嘗試，若是你兩個站點都註冊過而且使用了一樣的密碼……撞庫就成功了。
針對高權限帳號的暴力破解：暴力破解嚴格來講跟撞庫是兩種類型的攻擊，但咱們仍是要提一下，由於兩者從攻擊方法和防禦方式的角度來看都差很少。這主要是針對一些高權限帳號（如網站的管理員）用大量密碼去試探，想要盜用的帳號目標很是明確。

雲上常見的撞庫案例工具

明白了原理，撞庫攻擊的危害也就很明確了。對我的用戶來講，這會致使我的密碼泄露、帳號被盜，進而形成財產或名譽損失；對企業來講，不只會形成客戶信息等商業機密的泄露，還會對企業的聲譽和形象形成嚴重傷害。區塊鏈

2. 撞庫攻擊現狀

撞庫離咱們遠嗎？實際狀況如何？根據咱們對阿里雲 WAF 流量的分析，分享下面幾個數據，不難看出撞庫攻擊早已日夜相伴於咱們的身邊，且已極具規模化、專業化。網站

數字 1：50 萬個

這是咱們明確觀察到的天天有大量彙集性進行撞庫攻擊的 IP 量，考慮到還有至關多的攻擊場景中使用了秒撥等離散 IP 資源沒有被統計進來，天天實際參與撞庫攻擊的 IP 數量估計還要大 1-2 個數量級。另外值得注意的是，至關一部分攻擊源 IP 在 C 段上有彙集性，從咱們觀察到的狀況來看，天天有 200 多個 C 段（共 256 個連續 IP）中有超過 200 個 IP 實施撞庫攻擊。阿里雲

數字 2：4.48 億次

雲 WAF 流量中天天檢測到的撞庫/暴力破解請求量高達 4.48 億次，這只是天天的數據，由此能夠看出撞庫這種攻擊手法是多麼受到黑客的歡迎。加密

數字 3：630 萬次

這是某網站一天內被撞庫攻擊的總請求量。

實際上，咱們觀測到在一些撞庫攻擊的「熱門行業」，如 P2P、遊戲、區塊鏈、信用卡、電商等，撞庫攻擊已經在很是成規模的持續進行，這個持續時間可能達數月甚至是終年在跑，與業務相生相伴。而在一些筆者意想不到的行業（好比醫美，瞎猜一下攻擊意圖也許是想經過驗證你是否註冊過醫美類網站來給醫美廣告提供更精準的投放參考），也發現了大規模的撞庫事件。

數字 4：83%

從實施撞庫攻擊的攻擊工具來看，83%以上的攻擊流量來自簡單的腳本，這裏的「簡單腳本」定義爲一些經過最簡單的人機識別方式（如 JS 校驗）就能檢測出的腳本工具，而在這其中 Java Tools 和 Python Requests 是「最有存在感」的兩種腳本工具。

不過值得注意的是，近些年隨着爬蟲技術和相關產業的迅猛發展，「正規軍」佔比已愈來愈大，這些團伙手中掌握大量的攻擊資源和最新的爬蟲技術，整個產業鏈上下游分工精細，協同流暢，普通企業防護起來的難度也在迅速上升。

3. 撞庫帶來的合規風險

自歐盟隱私法 GDPR 生效以來，世界各國監管對於數據保護極爲重視，自 2019 年開始，對泄露的處罰和後果也呈上升趨勢。在 GDPR 的第 4 條中提出，我的數據泄露是指「因爲違反安全政策而致使傳輸、儲存、處理中的我的數據被意外或非法損毀、丟失、更改或未經贊成而被公開或訪問。」

因此，即便是使用已經泄露的數據來進行撞庫攻擊，可是企業自身的安全防禦工做沒有可以避免被未經受權的訪問，也是違規的一種。美國的健康保險攜帶和責任法案（HIPAA）也有規定「以 HIPAA 隱私規則所不容許的方式獲取、訪問、使用或披露我的醫療信息，等於損害安全性或隱私。」即便被非法訪問的數據是被加密的，可是系統和數據受到了未經受權的攻擊，所以也屬於 HIPAA 隱私權規則所不容許的披露。被撞庫的企業爲受害者，可是每一個受害者都因自身安全控制不到位而成爲這雪球效應中貢獻的一分子。

2019 年夏天，信用評級公司穆迪（Moody's）對網絡安全的業務影響進行了新的調整，將網絡風險歸入其信用評級。穆迪根據企業違規而形成的業務影響將上市企業的評級從穩定降至負面。穆迪正在積極將網絡風險歸入其信用評級，這可能只是第一個倒下的多米諾骨牌。信用評級普遍影響到投資者在選擇投資對象時所考慮的風險評估以及投資決定。對上市企業來講，從新考慮其網絡安全和合規性方法，尤爲是隨着法規變得愈來愈難以遵照。不只如此，針對特定的行業，也將面對更多不一樣的處罰規定。

隨着近年來物聯網設備的爆炸性增加，再加上公共雲、容器和 VM 的激增，致使人們對數據流量的可見性廣泛缺少，從而大大增長了總體威脅面和公司的漏洞。數據泄露事件不斷增長，致使撞庫攻擊成爲近年來經常使用的一種入侵辦法。每一次泄露的數據均可能變成下一次入侵的開門匙。

4. 如何防禦撞庫攻擊？

1）我的篇

從我的用戶自我保護的角度來講，咱們給出 4 個建議：

儘可能減小在不一樣網站使用相同密碼。固然，人性的懶惰跟密碼機制的安全性自然上就有衝突，大部分人很難作到這一點，據第三方統計，超過
60%的人依然在多個站點使用同一個密碼。
使用更復雜的密碼。好比請不要再用 12345六、111111 了……
按期更換經常使用密碼。黑產手裏每每掌握大量的「社工庫」，裏面存儲了不少已知的用戶名-密碼組合，他們可能就包含了你多年前在某網站上使用的組合。所以常常更換密碼能夠減少社工庫信息的有效期。
啓用更多密碼之外的身份驗證機制。其實不少安全性好的企業已經在採起一些二次驗證、多因素驗證之類的最佳實踐，如蘋果的二次驗證、Google
的身份驗證器、支付寶的人臉識別、微信的聲紋等，建議我的用戶儘量的開啓相似的驗證機制。

最經常使用的密碼前 500 名（來自 Informationisbeautiful）

2）企業篇

從企業的角度來講，作好帳戶安全是很是很是重要且基礎的工做，由於帳戶很大程度上是業務安全體系的基石，帳號安全一旦失守，只會帶來後續更多的問題，補救這些問題須要付出的成本要遠遠大於作好帳戶安全防禦自己。固然帳號安全自己是很是複雜的系統工程，這裏咱們只是針對撞庫這個場景給出一些最佳實踐供參考：

強制用戶密碼的強度。

這點很多站點如今已經作得很好了，可是還有至關多的應用容許用戶使用 111111 這樣的弱密碼。同時也特別注意，不要忽略小程序、App 等非網頁環境的註冊接口。

按期強制用戶更換密碼。

這點主要針對企業內部員工，畢竟記住一個密碼已經很痛苦了，這帶來的用戶體驗將會直線降低。

在帳戶相關接口增強人機防控策略。

這裏的接口主要包括登陸、註冊、找回密碼、獲取短信驗證碼等，「人機防控」指的是將這些接口中「機器」的訪問請求和「真實的人」區別出來，在文章開頭咱們已經講過，真實狀況下攻擊者幾乎沒有手動實施攻擊的狀況，若是能將大部分針對帳號的「機器流量」識別出來並攔截，會是安全水位很大的一個提高。從技術手段來講，常見的有使用圖形驗證碼、封禁高頻請求的 IP/會話、部署人機識別的 SDK 組件等等，但採用圖形驗證碼等方式存在用戶體驗差以及被破解的問題。

重要業務流程採用二次驗證。

如轉帳前經過人臉識別、指紋聲紋、短信/郵件驗證碼、身份證末位數字驗證等機制來確認當前操做來自帳號擁有者。

創建業務維度的帳戶異常指標監控，並及時處理風險帳號。

區別於「人機」的技術手段，這裏主要是從業務角度（好比高頻發帖、異常轉帳等等），對一些行爲上不正常的帳號進行監控和處罰，做爲技術防控的補充。

藉助安全工具作好防撞庫攻擊。

若是遇到撞庫等帳戶安全問題的困擾，又沒有足夠專業的團隊或精力來按照上述建議進行對抗，建議選擇一款合適的安全工具來應對。通常來講，新昕科技的防撞庫防火牆產品就能有效應對撞庫攻擊,而且真正無感。其內置了撞庫、短信防轟炸等AI模型，應對帳戶註冊、登陸、找回密碼等場景，作到實時防禦，風險大盤能夠實時查看，攻防狀況盡在掌握。從這個角度來看，對於企業來講，選擇一款功能豐富強大的安全工具每每能夠起到事半功倍的效果。

5. 結語

有人的地方就有江湖，有帳號的地方就有撞庫。密碼制度自己因安全需求而生，卻也帶來了撞庫這類的風險。咱們相信，將來密碼會愈來愈多的被其餘體驗更好、安全性更高的身份校驗方式所取代，而這些方式或許又存在隱私、合規相關的問題。最好的方案彷佛永遠要在安全、便利、隱私這幾個因素之間互相平衡。着眼於當下，用戶名/密碼的形式依然主導着絕大多數站點的帳號管理方式，所以以撞庫攻擊爲表明的帳號安全問題依然須要引發我的用戶和企業的足夠重視。但願本文可以給您帶來一些參考和幫助，共同建設更安全的互聯網！