網站遭到自動化工具***的五個標誌

時間 2020-01-09

原文原文鏈接

下面是如何檢測和反擊使用的自動化工具來***你的網站的***。
***喜歡用自動化SQL注入和遠程文件包含***的工具。
***者使用sqlmap,Havij,或NetSparker這樣的軟件來發現和利用網站漏洞是很是簡單並迅速,甚至不用去專門的學習。html

***喜歡自動******有三個緣由。第一個，也是最重要的一個，這些工具的使用，只須要很是少的技術，另外，開發人員一般將這些工具作爲合法的***測試工具在***論壇或他們的網站上免費提供。
此外，它們可使***只學習不多的技術，即可以很是快速的***大量的網站。
最後，被僱傭的***者使用這些僅僅在一段時間內有效的***工具，確實可以使服務器被盜用或遭到破壞。web

現有一個好消息：
若是可以找到一種方法來發現和阻止自動***，你就能夠發現是否有***在自動***你的站點。在本文中,咱們將探索如何識別這些自動***工具在你的站點造成的惡意流量。sql

一.高傳入請求率編程

最關鍵的一個標誌就是，自動化***工具傳入請求時的速度。根據Security strategy at data security company Imperva負責人 Rob Rachwald的指出，一個正常的用戶訪問者，不可能5秒內就生成超過1個http請求。相反，自動化***工具一般會每分鐘產生70個以上—每秒超過1 個請求。正常訪問者根本不可能產生這麼多的請求。瀏覽器

乍一看,彷佛發現一個自動化的******事件是很很容易的，只要是達到每5秒超過1個請求的流量，就是自動化******事件。可是，事情並無這麼簡單。安全

首先，並非全部自動化請求的流量都是惡意的：好比Google在索引你的網站以便潛在用戶找到你的時候，便會產生大量的自動化請求流量。並非所有高速率的流量就是自動化***：好比，內容分發的網絡或代理服務就可能會引發大量的流量和來源，但可能只是彙集了許多不一樣的用戶。服務器

但更重要的是，許多足夠成熟的***都知道生成的請求率太高，會很容易被定位，他們有許多攻略來避免發現。Rachwald警告咱們說，***有不少新的策略能夠避免被發現。他們的策略可能包括：網絡

1.有意減緩或暫停***工具的請求速率。使它們產生的流量模式看起來更像正常的用戶訪問。編程語言

2.同時***其它網站，這包括使用自動化***工具將傳輸請求輪流發送到不一樣的目標站點。因此，儘管這個工具會生成很是高的請求速率，在單個站點接收的流量上來看，和正經常使用戶訪問的速度是同樣的。ide

3.使用多個主機來發動***，這是******網站更加複雜的手段，沒有來自一個單一而且容易辨認的***源IP地址。

所以，一個高傳入請求率是一條線索，但不是一個確認自動化***的絕對的標識。咱們還須要尋找更多的線索。

二.HTTP頭

HTTP頭對傳入流量的性質提供了另外一種有價值的線索。例如,自動化的SQL注入工具sqlmap,Havij,NetSparker都能在 HTTP請求頭中正確地識別出它們本身用於描述性的用戶代理字符串。這是由於這些工具是用於合法的***測試（儘管惡意的***也用它們）。一樣，由Perl 腳本發起的***（Imperva指出Perl是***最喜歡的編程語言之一），可能會被貼上「libwww-perl」的用戶代理標識。

顯然，任何含有這些工具產生的用戶代理字符串的流量都應該被阻止。固然，這些字符串是能夠被改變的，可是非熟練的「新手」***客每每沒有意識到這種詭計的方法。甚至這些字符串存在於首位。

既然工具不包含可以當即被識別的字符串，Imperva的研究已經發現，許多工具不會像常規瀏覽器的web請求中發送多種頭信息。這些頭信息包括： Accept-Language 和 Accept-Charset headers.

一個精明的***會配置他們的系統來添加這些頭信息，可是許多***都不會這樣作。沒有這些Accept標頭信息咱們固然應該提升警戒。若是同時又存在高請求率，這便提供了一個很是強烈的跡象證實這些流量是惡意的。

三.***工具特徵

***工具所能執行的各類操做，是根據他們已被編碼的功能，而且有一個有限的範圍。Imperva發現，經過分析後來已經證明的自動***產生的流量記錄，有時候能夠找到一些模型，如在SQL注入時在生成的SQL片斷中產生的特定的字符串，能夠識別惟一的一個在***中產生這些字符串的工具。（有時這些字符串可能在工具的源代碼中發現）。

這些特徵能夠制定防火牆阻止策略的基礎規則，但須要注意的是，它們可能會在隨後的版本的工具中改變這些特徵。

四.異常的地理位置

Imperva發現約30%的高速自動化SQL注入***源自中國,其餘***源自「異常」的國家如印度尼西亞和埃及。Rachwald代表可疑的訪問量是來自任何一個不是你指望的訪問者的國家。他說「若是你是一個在倫敦小型零售商店,爲何會有來自中國訪問者?」。

在流量高峯期，從遙遠地域而來的流量，就其自己而言，並不能證實什麼。但結合一些其它的跡象，如缺失的Accept標頭或一個高傳入的請求速率，這就須要你更仔細的檢查甚至徹底阻止這些流量。

五.IP地址黑名單

當一個***被檢測到時，它的源IP地址便可以記錄下來。Imperva的研究小組發現,自動***一般都出自一個獨特的IP，,單地址的平均時間爲3 至5天。也有一些IP地址作爲***源，產生持續惡意的自動化***流量達幾周，甚至幾個月。這意味着IP地址黑名單很是有利於防止從這個源繼續進行惡意的自動化***。雲安全提供者能夠利用這些有價值的黑名單來保護網站，這些可以用來保護用戶的IP址黑名單來自受到自動***的客戶所提供的信息。

Paul Rubens是一位優秀的科技記者,他從事IT安全超過20年。他所著的國際出版物主要包括《經濟學人》,《紐約時報》、英國《金融時報》,《衛報》,BBC和Computing。

譯者：Topowers by Eddie

譯文：http://www.esecurityplanet.com/hackers/five-signs-website-automated-attack-sql-injection-remote-file-inclusion.html

歡迎轉載，但請保留本站網址：http://www.topowers.net