根據(jù)最新數(shù)據(jù)，近 40% 的網(wǎng)絡(luò)流量是機(jī)器人流量，而在這些機(jī)器人流量中，60% 是不良機(jī)器人。惡意機(jī)器人被廣泛用于惡意目的，例如撞庫、DDoS 攻擊、數(shù)據(jù)盜竊、價(jià)格抓取和未經(jīng)授權(quán)的爬網(wǎng)等，這給企業(yè)帶來了沉重的成本。

隨著復(fù)雜性和殺傷力的不斷提高，機(jī)器人成為在線欺詐/網(wǎng)絡(luò)犯罪武器庫的重要補(bǔ)充。并且防止 bot 攻擊是加強(qiáng) Web 應(yīng)用程序安全性的必要條件。本文將提供對(duì)機(jī)器人攻擊及其預(yù)防的更深入了解。

什么是機(jī)器人？

機(jī)器人是經(jīng)過編程的自動(dòng)化腳本，可在互聯(lián)網(wǎng)上以最少的人工干預(yù)/監(jiān)督運(yùn)行特定的自動(dòng)化任務(wù)，通常是簡(jiǎn)單的任務(wù)。與人類高管相比，在完成重復(fù)性例行任務(wù)方面更高的速度、敏捷性、準(zhǔn)確性和性能使得機(jī)器人為各種合法目的而受到企業(yè)追捧。由于這些好處，他們是網(wǎng)絡(luò)犯罪分子和其他不良行為者，從事各種惡意活動(dòng)。

Web 應(yīng)用程序如何被 Bots 攻擊？

Web 應(yīng)用程序受到不同類型的機(jī)器人以不同方式的攻擊。

刮板機(jī)器人

內(nèi)容抓取：原始內(nèi)容是從信譽(yù)良好的網(wǎng)站上抓取并在未經(jīng)許可的情況下發(fā)布到其他地方，以損害 SEO 排名。

價(jià)格刮：價(jià)格數(shù)據(jù)被抓取并用于非法的、有競(jìng)爭(zhēng)力的價(jià)格監(jiān)控，以及跟蹤其他與定價(jià)相關(guān)的情報(bào)。

接觸刮擦：純文本的電子郵件地址和其他聯(lián)系信息是從合法網(wǎng)站上抓取的。抓取的聯(lián)系信息可用于形成大量郵件列表，用于發(fā)送垃圾郵件、協(xié)調(diào)數(shù)據(jù)泄露、robocalls 和社會(huì)工程等。

使用自動(dòng)化，可以將抓取的電子郵件地址與用于憑據(jù)填充的常用密碼配對(duì)，或者可以使用暴力密碼破解工具破解其登錄憑據(jù)以進(jìn)行憑據(jù)破解。因此，攻擊者成功地獲得了對(duì)帳戶的未經(jīng)授權(quán)的訪問權(quán)限或執(zhí)行了帳戶接管。

垃圾郵件機(jī)器人

由網(wǎng)絡(luò)攻擊者制作的互聯(lián)網(wǎng)應(yīng)用程序，用于將垃圾郵件傳播到互聯(lián)網(wǎng)上的目標(biāo)。

• 使用從互聯(lián)網(wǎng)上抓取或在暗網(wǎng)上購買的批量郵件列表，可以發(fā)送垃圾郵件。垃圾郵件用于傳播惡意軟件、竊取機(jī)密數(shù)據(jù)和網(wǎng)絡(luò)釣魚。一種稱為電子郵件欺騙的技術(shù)通常用于使電子郵件看起來合法。
• 評(píng)論部分（網(wǎng)站、社交媒體和博客）可能會(huì)充斥著關(guān)于違禁產(chǎn)品、成人內(nèi)容和好得難以置信的廣告的垃圾郵件，以誘使合法用戶泄露個(gè)人信息、點(diǎn)擊惡意鏈接或付款.
• 惡意軟件鏈接或其他垃圾郵件內(nèi)容可以插入表單、評(píng)論部分、反饋等。

除了直接影響最終用戶和組織外，垃圾郵件程序還被用來耗盡服務(wù)器帶寬并增加 ISP 成本。

黃牛/票務(wù)機(jī)器人

攻擊者使用黃牛/票務(wù)機(jī)器人囤積流行活動(dòng)或其他流行、高價(jià)值、供應(yīng)有限的商品/服務(wù)的門票，以高價(jià)轉(zhuǎn)售（在許多國家是非法的）。剝削威脅會(huì)導(dǎo)致收入損失、業(yè)務(wù)聲譽(yù)受損以及合法用戶被剝削。

僵尸網(wǎng)絡(luò)

眾多受惡意軟件感染（特洛伊木馬病毒）的計(jì)算機(jī)和聯(lián)網(wǎng)設(shè)備（如物聯(lián)網(wǎng)設(shè)備、智能設(shè)備等）的集合通常分布在全球各地，并由攻擊者/惡意行為者控制，稱為僵尸網(wǎng)絡(luò)或僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)可能包括數(shù)千個(gè)受感染的設(shè)備。

攻擊者利用僵尸網(wǎng)絡(luò)通過虛假請(qǐng)求淹沒網(wǎng)站，耗盡其資源，并導(dǎo)致停機(jī)/通過 DDoS 攻擊使其對(duì)合法用戶不可用。眾所周知，DDoS 攻擊通常用作其他非法/惡意目的的煙幕，對(duì)小企業(yè)造成 120,000 美元的損失（財(cái)務(wù)和聲譽(yù)），對(duì)大公司造成 2+ 百萬美元的損失。

如何防止對(duì) Web 應(yīng)用程序的 Bot 攻擊？

考慮到大量機(jī)器人及其攻擊網(wǎng)站的方式， 沒有一種萬能的機(jī)器人預(yù)防解決方案。以下是一些提高Web 應(yīng)用程序安全性的建議。

智能、全面、可管理的 WAF 對(duì)于有效防御包括 DDoS 攻擊在內(nèi)的 bot 攻擊是必不可少的。速率限制、基于全局歷史數(shù)據(jù)的行為分析、檢測(cè)偽裝成真正機(jī)器人的惡意機(jī)器人的智能、阻止源自單個(gè) IP 地址的流量和誤報(bào)管理是在WAF中尋找的必要特征。

結(jié)合使用分析工具和人類專業(yè)知識(shí)對(duì)機(jī)器人流量進(jìn)行識(shí)別和分類是必要的。一旦識(shí)別和分類，必須定義復(fù)雜的機(jī)器人管理規(guī)則，并由安全專家以外科手術(shù)的準(zhǔn)確性不斷調(diào)整，以確保有效防御機(jī)器人。

基于挑戰(zhàn)的方法可以有效地檢查用戶是人類還是機(jī)器人。通過在登錄、評(píng)論和表單中添加驗(yàn)證碼，可以防止惡意機(jī)器人訪問網(wǎng)站資源/敏感信息。盡可能使用特定于應(yīng)用程序的工作流規(guī)則來區(qū)分機(jī)器人和真實(shí)用戶。工作流規(guī)則查看完整交易的屬性，例如，在電子商務(wù)應(yīng)用程序中（流程類似于 - 選擇要購買的商品并將它們放入結(jié)賬購物車，然后結(jié)賬，然后付款）。將速率控制規(guī)則視為將整個(gè)工作流程視為單個(gè)閾值限制之上的一個(gè)單元，以在每個(gè)頁面/事務(wù)上觸發(fā)警報(bào)。使用直觀的自動(dòng)化 Web 掃描工具，可以主動(dòng)識(shí)別網(wǎng)站中增加機(jī)器人攻擊風(fēng)險(xiǎn)的惡意軟件、垃圾郵件和漏洞。

結(jié)論

鑒于 bot 是網(wǎng)絡(luò)犯罪武器庫中的有力工具，并且用于出于各種目的攻擊 Web 應(yīng)用程序，因此沒有一種最好的解決方案來防止它。像AppTrana這樣的綜合性 Web 應(yīng)用程序安全解決方案將技術(shù)的力量與經(jīng)過認(rèn)證的安全專家的專業(yè)知識(shí)相結(jié)合，對(duì)于加強(qiáng)保護(hù)是必要的。