僵尸网络由数千乃至数百万台感染了恶意软件的计算机或设备组成,这些计算机或设备用作被引导执行各种网络攻击的单个爬虫程序。僵尸网络受一台命令和控制 (C2) 服务器的控制,通常会参与大规模 DDoS 攻击、非法加密货币挖矿和撞库攻击。
爬虫程序或僵尸网络流量是指由自动化计算机程序(通常称为爬虫程序)生成的流量。这些爬虫程序被用于向网站发送自动流量,通常为了实现操控搜索引擎排名或执行其他恶意活动的目的。僵尸网络是指被用于执行分布式拒绝服务 (DDoS) 攻击等大规模攻击的计算机网络。
僵尸网络流量会带来各种挑战,即便它来自良性爬虫程序也是如此
爬虫程序流量会不断地给大型企业和小型企业制造各种麻烦。爬虫程序或僵尸网络(联网在一起以达成某个目的的多组爬虫程序)在很多网络资产的流量中占比越来越大。例如,不良僵尸网络会在很短的时间内向网站和移动应用程序发送成千上万的请求。有时,此流量来自于有恶意行为(包括攻击软件漏洞、执行 DDoS 和暴力破解攻击以及其他滥用行为)的爬虫程序。
现在,大量的恶意僵尸网络流量被专门用于执行撞库攻击,攻击者会在此攻击中尝试使用窃取的凭据对用户或客户帐户进行未经授权的访问。一个由一大批被劫持或感染的计算机组成的僵尸网络,每个小时都会使用其他网站上已知有效的用户名密码组合进行成千上万次登录尝试。由于很多人都会在多个网站上重复使用密码,因此攻击者经常能够成功地使用僵尸网络流量来获取对 IT 环境的访问权限,接管帐户以窃取钱财和数据以及实施其他类型的欺诈行为。
抵御僵尸网络流量困难重重,因为发起多次登录请求不会形成能够被轻松识别和拦截的模式。幸运的是,Akamai 提供了多种 爬虫程序安全解决方案,它们可以有效检测和抵御爬虫程序及僵尸网络流量,同时还能确保不会对合法用户的正常使用产生不良影响。
僵尸网络流量在撞库攻击中的作用
撞库攻击对网络犯罪分子来说是一桩大生意。因数据泄露而遭公开的登录凭据可以很容易地从暗网上买到。利用僵尸网络,犯罪分子每天可以轻松地在数千个网站上对数以千计的凭据进行数千次使用,最终的结果是他们成功入侵网站并且获利颇丰。
在证实某个用户名密码组合在特定网站或 Web 应用程序上有效后,攻击者会登录并接管帐户,或者将这些凭据卖给其他网络犯罪分子,以达成消费、转移钱财、窃取数据或从 IT 环境内发动更大规模网络攻击的目的。
抵御撞库攻击需要爬虫程序抵御检测技术,这些技术能够准确地识别恶意流量并拦截僵尸网络活动,同时不会出现无意中拦截合法用户的误报行为。所面临的挑战在于,撞库攻击中的登录请求可能难以识别,因为已验证的凭据也代表有效请求。
随着反爬虫程序技术变得更加有效,爬虫程序操控者也变得非常老练,不断升级其僵尸网络攻击来逃避检测。为了保护企业,安全团队需要的是和攻击者一样具备快速适应能力的僵尸网络检测系统。Akamai 可助您一臂之力。
使用 Akamai Account Protector 阻止僵尸网络
Akamai Account Protector 提供针对僵尸网络流量和欺诈性登录尝试的防护。此 Akamai 技术的设计目的是在边缘环境中检测冒名顶替者并阻止爬虫程序,同时让客户能够进行顺畅访问。
Account Protector 利用多种技术来了解合法帐户所有者的行为,例如他们常用的设备类型、典型 IP 地址、网络、位置和频率以及登录时间。在掌握个人和用户群体的特征后,Account Protector 会检查每个新的身份验证请求以确认它是否与正常行为存在差异,从而搜索可能是欺诈行为或撞库攻击迹象的异常行为。如果某个请求被视为可疑或不合法请求,Account Protector 会自动地实时做出相应的响应,同时不会影响真实客户或帐户所有者的体验。
主要功能包括:
- 实时用户会话风险评分。在身份验证过程中,Account Protector 会实时评估风险和信任信号,进而对该请求并非来自合法帐户用户的风险进行评估。
- 用户特征文件。Account Protector 为每个人构建了一个用户行为特征文件,并将这些文件整合为一个群体特征文件,此文件中的行为差异可拿来与整个用户群体进行比较,以便更好地进行异常检测。
- 来源声誉。此功能会根据过去在所有 Akamai 客户(包括全球许多规模、流量庞大的网站)中观察到的恶意活动评估来源的声誉。
- 已知爬虫程序目录。Akamai 含多种已知爬虫程序的目录使客户能够对爬虫程序和僵尸网络流量做出快速、适当的响应。
- 高级爬虫程序检测。Akamai 使用了各种 AI 和机器学习模型与技术,在与未知爬虫程序首次交互时就能够检测出该爬虫程序。
- 分析与报告。Akamai Account Protector 可以分析各个端点上的活动,调查特定用户或者按风险等级审查用户。高级统计数据和详细分析可以导入安全信息和事件管理 (SIEM) 工具中,从而更好地检测欺诈行为。
使用 Akamai Bot Manager 控制爬虫程序流量
Akamai Bot Manager提供针对僵尸网络流量的额外防护,是具备出色检测和抵御功能的爬虫程序管理解决方案。Bot Manager 使用多项专利技术,在与爬虫程序初次接触时就能够检测出该爬虫程序并加以抵御,而不会给它们留下影响网站的机会。来自 Akamai 威胁情报研究人员的信息会自动纳入 Bot Manager 的检测和分析中。
Bot Manager 会在各种数据类型中收集有关“干净流量”的数据,以学习检测僵尸网络流量。通过观察有关网络流量模式、流量类型和流量的干净数据,Bot Manager 对检测触发器进行了全面整合,可以为每个请求提供爬虫程序评分。高分表示请求由爬虫程序生成,应当对其进行抵御。低分表示请求来自人类,可以加以观察或监控。可以利用创新性质询方法对处于中间“灰色区域”的请求进行质询,这些方法能够极大地延缓复杂的爬虫程序攻击并增加攻击者的成本。
常见问题
爬虫程序或僵尸网络流量是指由自动化计算机程序(通常称为爬虫程序)生成的流量。这些爬虫程序被用于向网站发送自动流量,通常为了实现操控搜索引擎排名或执行其他恶意活动的目的。僵尸网络是指被用于执行分布式拒绝服务 (DDoS) 攻击等大规模攻击的计算机网络。
爬虫程序是一种可独立运行并执行一组特定任务的计算机程序。通常,这些活动具有高度重复性,由爬虫程序执行时的速度比人类快得多,准确性也更高。爬虫程序可能极其有用,例如蜘蛛爬虫程序可以爬取网站内容建立索引,让搜索引擎更容易找到这些内容。其他爬虫程序可能是恶意爬虫程序,例如为垃圾邮件发送者收集电子邮件地址的爬虫程序,或者人为推高网站流量指标或增加社交媒体关注者的爬虫程序。企业依靠爬虫程序管理解决方案来区分良性爬虫程序和不良爬虫程序,在提高 Web 和网络安全性的同时不会降低生产效率和企业运营速度。
暴力破解攻击是一种网络犯罪,攻击者会在此攻击中运用试错法破解密码、凭据和加密密钥。很多暴力破解攻击都使用僵尸网络或恶意软件来尝试数以千计的用户名/密码组合,意图对某个帐户或 IT 系统进行未经授权的访问。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。