在 Internet 上發(fā)生的許多不同的網(wǎng)絡(luò)安全威脅中，DDoS 攻擊是最致命和最難以遏制的攻擊之一。全球 DDoS 攻擊的數(shù)量 持續(xù)上升，2020 年是特別糟糕的一年，因為主要轉(zhuǎn)向了更多的在線活動。這讓許多企業(yè)想知道如何阻止機(jī)器人攻擊。

DDoS 攻擊通常使用僵尸網(wǎng)絡(luò)，這些計算機(jī)或其他設(shè)備已被惡意軟件感染，現(xiàn)在處于黑客的控制之下。黑客還可以將這些僵尸網(wǎng)絡(luò)用于各種其他網(wǎng)絡(luò)安全威脅，例如數(shù)據(jù)盜竊、帳戶接管、 網(wǎng)絡(luò)內(nèi)容抓取等。

在本指南中，我們將討論如何阻止和防止對您的網(wǎng)站和服務(wù)器的僵尸網(wǎng)絡(luò)攻擊。我們將討論不同類型的僵尸網(wǎng)絡(luò)攻擊，以及我們?nèi)绾斡行У胤乐购蜏p輕傳入的僵尸網(wǎng)絡(luò)攻擊。但是，讓我們首先討論僵尸網(wǎng)絡(luò)和僵尸網(wǎng)絡(luò)攻擊的概念。

什么是僵尸網(wǎng)絡(luò)？

首先，機(jī)器人是一種自動化軟件程序，旨在通過互聯(lián)網(wǎng)執(zhí)行特定任務(wù)。例如，內(nèi)容抓取機(jī)器人的設(shè)計目的只是為了在許多不同的網(wǎng)頁上保存內(nèi)容。僵尸網(wǎng)絡(luò)是此類機(jī)器人的網(wǎng)絡(luò)或集群，通常使用一組已被惡意軟件感染并且現(xiàn)在處于惡意軟件所有者控制下的計算機(jī)（或其他設(shè)備）。這些僵尸網(wǎng)絡(luò)被用來攻擊（并經(jīng)常感染）其他計算機(jī)和設(shè)備。通常，黑客會盡其所能確保受害者不知道感染，這將使他們能夠盡可能長時間地利用僵尸網(wǎng)絡(luò)。

僵尸網(wǎng)絡(luò)是如何創(chuàng)建的？

要創(chuàng)建僵尸網(wǎng)絡(luò)，黑客首先創(chuàng)建一段惡意軟件（或獲取可修改的現(xiàn)成惡意軟件），可用于遠(yuǎn)程控制受感染的主機(jī)或其他設(shè)備。僵尸網(wǎng)絡(luò)值得注意的一點是，在計算機(jī)受到威脅后，它可以感染與其交互的其他設(shè)備，例如通過自動發(fā)送垃圾郵件。通過這種方法，黑客可以控制數(shù)百、數(shù)千甚至數(shù)百萬臺計算機(jī)。

有問題的惡意軟件通常是木馬病毒，它們將自己偽裝成無害文件，誘使用戶單擊可執(zhí)行文件。例如：

• 看似無害的電子郵件附件，如有吸引力的圖像、看似重要的文檔（發(fā)票、特價商品）等。單擊下載附件將觸發(fā)惡意軟件的安裝
• 從不可信來源下載的軟件（或 .exe 文件），這可能是僵尸網(wǎng)絡(luò)惡意軟件
• 彈出式廣告或通知，點擊廣告將下載可執(zhí)行文件

同樣重要的是要注意，僵尸網(wǎng)絡(luò)惡意軟件不僅會感染個人電腦和筆記本電腦，還會感染智能手機(jī)甚至物聯(lián)網(wǎng)設(shè)備，如監(jiān)控攝像頭、游戲機(jī)等。

僵尸網(wǎng)絡(luò)可以“傳播”，即以主動和被動方式感染其他設(shè)備：

• 主動： 僵尸網(wǎng)絡(luò)可以在不需要任何用戶干預(yù)的情況下自行傳播。通常，活躍的僵尸網(wǎng)絡(luò)有一種設(shè)計機(jī)制來尋找互聯(lián)網(wǎng)上的其他潛在主機(jī)（即具有已知漏洞的計算機(jī)），并在可能時感染它們。
• 被動： 僵尸網(wǎng)絡(luò)只能在人為干預(yù)的幫助下感染其他設(shè)備。例如，僵尸網(wǎng)絡(luò)可能會運(yùn)行網(wǎng)絡(luò)釣魚或社會工程攻擊來感染其他設(shè)備。

什么是僵尸網(wǎng)絡(luò)攻擊？

簡而言之，僵尸網(wǎng)絡(luò)攻擊是黑客或網(wǎng)絡(luò)罪犯使用僵尸網(wǎng)絡(luò)進(jìn)行的任何惡意活動。最常見的僵尸網(wǎng)絡(luò)攻擊形式是 DDoS（分布式拒絕服務(wù)）攻擊。黑客將使用僵尸網(wǎng)絡(luò)向網(wǎng)站或 Web 服務(wù)器發(fā)送大量請求和/或流量以使其不堪重負(fù)，從而阻止其為真實用戶提供服務(wù)（因此，拒絕服務(wù)）。

但是，僵尸網(wǎng)絡(luò)還可以執(zhí)行其他形式的惡意攻擊，包括但不限于：

• 垃圾郵件攻擊： 當(dāng)帶有 SMTP 或 POP3 的 Web 服務(wù)器變成僵尸網(wǎng)絡(luò)的一部分時，它可用于發(fā)送垃圾郵件和欺詐電子郵件，以企圖欺詐收件人、用惡意軟件感染設(shè)備等。
• 加密貨幣挖礦： 近年來常見的網(wǎng)絡(luò)安全威脅類型，僵尸網(wǎng)絡(luò)被劫持以挖礦加密貨幣以獲取攻擊者的經(jīng)濟(jì)利益
• 欺詐流量： 生成虛假網(wǎng)絡(luò)流量或欺詐點擊廣告以增加收入
• 勒索： 用勒索軟件感染設(shè)備并索要金錢以“釋放”設(shè)備，或脅迫用戶付款以將其設(shè)備從僵尸網(wǎng)絡(luò)中移除
• 間諜軟件： 僵尸網(wǎng)絡(luò)監(jiān)視用戶的活動，如密碼、信用卡信息和其他敏感數(shù)據(jù)，然后將其報告給僵尸網(wǎng)絡(luò)的所有者。然后攻擊者可以在黑市上出售這些敏感數(shù)據(jù)。

此外，僵尸網(wǎng)絡(luò)可以出售或出租給其他黑客。

不同類型的僵尸網(wǎng)絡(luò)

我們可以根據(jù)攻擊者如何控制它們來區(qū)分各種類型的僵尸網(wǎng)絡(luò)。實際上，黑客可以使用多種方法來命令和控制僵尸網(wǎng)絡(luò)；有些比其他方法更復(fù)雜。通常對于較大的僵尸網(wǎng)絡(luò)，主要“牧民”或所有者可以從中央服務(wù)器控制整個僵尸網(wǎng)絡(luò)，而其他較小的牧民可以控制僵尸網(wǎng)絡(luò)的較小部分。

雖然存在各種不同類型的僵尸網(wǎng)絡(luò)，但以下是一些最常見的僵尸網(wǎng)絡(luò)：

1. 命令和控制（或 C&C）： 在這種類型中，僵尸網(wǎng)絡(luò)中的所有設(shè)備都與一個中央牧民或服務(wù)器通信
2. IRC： 或者，Internet 中繼聊天。這種類型的僵尸網(wǎng)絡(luò)側(cè)重于使用低帶寬和更簡單的通信（如 mIRC） 來掩蓋其身份并避免被發(fā)現(xiàn)。
3. Telnet： 在這種僵尸網(wǎng)絡(luò)控制中，僵尸網(wǎng)絡(luò)中的所有設(shè)備都連接到主命令服務(wù)器，因此它是C&C的一個子類型。主要區(qū)別在于新計算機(jī)通過在外部服務(wù)器上運(yùn)行的掃描腳本添加到僵尸網(wǎng)絡(luò)。一旦登錄被掃描器發(fā)現(xiàn)，它就會通過 SSH 感染惡意軟件。
4. 域： 受感染的設(shè)備訪問分發(fā)命令的網(wǎng)頁或域。僵尸網(wǎng)絡(luò)所有者可以不時更新代碼。
5. P2P： 在這種類型中，僵尸網(wǎng)絡(luò)沒有連接到中央服務(wù)器，而是點對點連接。僵尸網(wǎng)絡(luò)中的每個受感染設(shè)備都充當(dāng)服務(wù)器和客戶端。

阻止和預(yù)防僵尸網(wǎng)絡(luò)攻擊的挑戰(zhàn)

當(dāng)今互聯(lián)網(wǎng)上流傳著如此多的僵尸網(wǎng)絡(luò)，保護(hù)是必不可少的——但這并不容易。僵尸網(wǎng)絡(luò)不斷變異以利用漏洞和安全漏洞。因此，每個僵尸網(wǎng)絡(luò)都可能與其他僵尸網(wǎng)絡(luò)明顯不同。

僵尸網(wǎng)絡(luò)運(yùn)營商知道，他們在攻擊中使用的 IP 地址和設(shè)備越多，僵尸網(wǎng)絡(luò)防御技術(shù)就越難自信地篩選出訪問網(wǎng)站和 API 的不良請求，并自信地允許訪問來自客戶或合作伙伴的有效請求。

IP 可尋址物聯(lián)網(wǎng)設(shè)備的爆炸式增長使僵尸網(wǎng)絡(luò)比以往任何時候都更容易蔓延它們的觸角。物聯(lián)網(wǎng)設(shè)備通常比個人電腦更容易受到攻擊，保護(hù)措施也較弱。受感染的物聯(lián)網(wǎng)設(shè)備使攻擊者很容易發(fā)動低速和緩慢的攻擊，其中大量 IP 地址僅發(fā)出少量請求。這種類型的僵尸網(wǎng)絡(luò)攻擊特別難以在 IP 或網(wǎng)絡(luò)行為級別進(jìn)行篩選和防范。簡而言之，防止和阻止機(jī)器人攻擊需要復(fù)雜的檢測能力。

如何阻止和防止僵尸網(wǎng)絡(luò)攻擊

1. 使您的軟件保持最新

每天都會產(chǎn)生新的病毒和惡意軟件，因此確保您的整個系統(tǒng)也是最新的以防止僵尸網(wǎng)絡(luò)攻擊非常重要。許多僵尸網(wǎng)絡(luò)攻擊旨在利用應(yīng)用程序或軟件中的漏洞，其中許多可能已以安全更新或補(bǔ)丁的形式得到修復(fù)。因此，請養(yǎng)成定期更新軟件和操作系統(tǒng)的習(xí)慣。您不希望僅僅因為忽略了更新軟件而被惡意軟件或任何其他類型的網(wǎng)絡(luò)安全威脅感染。

2. 密切監(jiān)控你的網(wǎng)絡(luò)

密切監(jiān)視您的網(wǎng)絡(luò)是否有異?；顒?。如果您更好地了解您的典型流量以及一切通常如何正常運(yùn)行，這將更加有效。如果可能的話，應(yīng)該通過使用可以自動檢測異常行為（例如僵尸網(wǎng)絡(luò)攻擊）的分析和數(shù)據(jù)收集解決方案，對網(wǎng)絡(luò)進(jìn)行 24 小時監(jiān)控。

3. 監(jiān)控失敗的登錄嘗試

在線公司面臨的最大威脅之一是 帳戶接管或 ATO。 僵尸網(wǎng)絡(luò)通常用于測試大量被盜的用戶名和密碼組合，以獲得對用戶帳戶的未授權(quán)訪問。監(jiān)控您通常的登錄嘗試失敗率將幫助您建立基線，以便您可以設(shè)置警報以通知您失敗登錄的任何峰值，這可能是僵尸網(wǎng)絡(luò)攻擊的跡象。請注意，來自大量不同 IP 地址的“低速和慢速”攻擊可能不會觸發(fā)這些僵尸網(wǎng)絡(luò)攻擊警報。

4. 實施先進(jìn)的僵尸網(wǎng)絡(luò)檢測解決方案

保護(hù)您的網(wǎng)站和 Web 服務(wù)器免受僵尸網(wǎng)絡(luò)攻擊的最佳方法是投資高級僵尸網(wǎng)絡(luò)檢測軟件，它可以執(zhí)行實時僵尸網(wǎng)絡(luò)檢測并采用頂級僵尸網(wǎng)絡(luò)緩解方法。

雖然僵尸網(wǎng)絡(luò)運(yùn)營商現(xiàn)在非常善于掩蓋僵尸網(wǎng)絡(luò)的身份，但人工智能解決方案可以執(zhí)行實時行為分析，以檢測僵尸網(wǎng)絡(luò)流量并在它們到達(dá)您的 Web 服務(wù)器之前阻止所有僵尸網(wǎng)絡(luò)活動。實施機(jī)器人管理和保護(hù)甚至可以縮短您的初始服務(wù)器響應(yīng)時間。

匯集了數(shù)千個站點的數(shù)據(jù)，每天分析數(shù)十億個請求，并使用先進(jìn)的機(jī)器學(xué)習(xí)不斷更新算法。通過這種方式，僵尸網(wǎng)絡(luò)防御解決方案可以實時檢測熟悉的僵尸網(wǎng)絡(luò)和新的威脅。

最重要的是，不需要您主動進(jìn)行僵尸網(wǎng)絡(luò)緩解或其他日常干預(yù)。只需設(shè)置您信任的合作伙伴機(jī)器人的允許列表，就會在您專注于更有價值的項目時處理所有不需要的流量。

結(jié)束語

僵尸網(wǎng)絡(luò)攻擊可能非常危險。通過以上方法，您可以有效防御僵尸網(wǎng)絡(luò)和惡意軟件的攻擊。但是，總的來說，投資實時反僵尸網(wǎng)絡(luò)檢測軟件仍然是保護(hù)您的站點免受僵尸網(wǎng)絡(luò)攻擊和惡意軟件感染的最佳方法。