Question | 网站被黑客扫描撞库该怎么应对防范?
本文來自網(wǎng)易云社區(qū)
在安全領(lǐng)域向來是先知道如何攻,其次才是防。針對題主的問題,在介紹如何防范網(wǎng)站被黑客掃描撞庫之前,先簡單介紹一下什么是撞庫。
撞庫是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,生成對于的字典表,嘗試批量登錄其他網(wǎng)站后,得到一系列可以登錄的用戶。因為很多用戶在不同網(wǎng)站使用的賬號密碼大多是相同的,因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)站。?
?
那么碰見撞庫之后,我們?nèi)绾畏雷o呢?為此我們咨詢了網(wǎng)易云易盾安全專家。根據(jù)他的描述:撞庫一般有以下幾種形式,每種形式有一些不同的處置策略。但是實際情況是,被攻擊的網(wǎng)站可能會同時面臨幾種不同類型的撞庫,畢竟大家手里拿到的社工庫非常多,撞庫的成本也非常低。?
?
社工庫是社會工程學(xué)數(shù)據(jù)庫的簡稱,社工庫是黑客用來記錄攻擊手段和方法的數(shù)據(jù)庫,這個數(shù)據(jù)庫中有大量信息,甚至可以找到每個人各種行為記錄(每個人在每個網(wǎng)站上的賬號、密碼、分享的照片、信用卡記錄、通話記錄、短信記錄、開房記錄等等)?
?
最常見的三種撞庫方法:?
?
第一種:用n個密碼字典撞m個賬號,這個的表象是,一個賬號在某個較短的時間內(nèi),可能會有多次密碼嘗試。所以,可以在賬號層加限制措施,比如:一天內(nèi),一個賬號,密碼錯誤次數(shù)超過5次時,1天之內(nèi)禁止登陸(或者校驗手機短信/密保問題之后才能登陸)。?
?
第二種:用幾個密碼撞n個賬號,這個的表象是,密碼出現(xiàn)的頻率會非常高,所以,可以統(tǒng)計一段時間內(nèi)每個密碼的錯誤次數(shù),超過一定閾值時,這個密碼在一段時間內(nèi)禁止登錄(或者校驗手機短信/密保問題之后才能登陸)。?
?
第三種:用n組一一對應(yīng)的賬號密碼來再撞庫,這種情況的撞庫單純從賬號、密碼的維度來看,不會有明顯的異常。
所以,需要一些其他的應(yīng)對措施。比如:?
?
IP封禁,如果一段時間內(nèi),單個IP地址,密碼錯誤次數(shù)超過閾值,則禁止這個IP一段時間再登錄(或者校驗手機短信/密保問題之后才能登陸)。不過,如大家所說,現(xiàn)在代理IP相當(dāng)廉價,從IP層面來封禁基本上沒啥作用。?
建立IP畫像庫,對代理IP、IDC?IP等高危的IP直接禁止登陸(或者校驗手機短信/密保問題之后才能登陸)。自己建立IP畫像庫成本可能會有點高,可以考慮采購安全廠商的類似服務(wù)。?
現(xiàn)在比較火的行為驗證碼,比如:拖條、點選、拼圖等各種花樣的驗證碼。只是說,如果之前登錄不需要驗證碼,現(xiàn)在要加上一個驗證碼,估計要和產(chǎn)品撕逼。一般來說最后為了后期的運營,產(chǎn)品也會同意加上驗證碼。?
從設(shè)備層面來識別和封禁,通過在客戶端植入sdk,收集用戶端的設(shè)備信息,從設(shè)備層面來做高頻策略,或者,直接識別出非正常的設(shè)備,然后對設(shè)備進行封殺。?
從行為層面來識別和封禁,和上面一條一樣,通過客戶端植入sdk,收集用戶在登錄頁面的交互行為,通過機器學(xué)習(xí)、大數(shù)據(jù)建模,訓(xùn)練出正常用戶、異常用戶的行為模型,在交互行為層面,將撞庫的行為識別出來。這個需要有預(yù)先訓(xùn)練好的行為模型,現(xiàn)在機器學(xué)習(xí)那么好,不說大家也都知道,自己訓(xùn)練一個模型肯定需要很多標(biāo)注數(shù)據(jù),這也就意味著成本。所以,還是建議尋找安全廠商還做,畢竟專業(yè)的人做專業(yè)的事,靠譜!?
?
上面列舉的這些措施,沒有哪一個是一勞永逸的,都是需要不斷對抗升級,畢竟撞庫的手段也會不斷的進化,我們能做的是不斷優(yōu)化策略,不斷提高撞庫的成本。
所以,最好的方式是采購安全廠商的相關(guān)服務(wù)(比如:網(wǎng)易云的登錄保護、驗證碼服務(wù)等),把攻防對抗的事交給安全廠商來做,咱們專注做自己的業(yè)務(wù),這樣性價比會更高。?
網(wǎng)易云新用戶大禮包:https://www.163yun.com/gift
總結(jié)
以上是生活随笔為你收集整理的Question | 网站被黑客扫描撞库该怎么应对防范?的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 黑马程序员-WEB前端与移动开发就业班
- 下一篇: 音乐分类