現(xiàn)在什么都智能了，網(wǎng)絡攻擊也會智能化， 最新的網(wǎng)絡安全報告顯示，當前不法黑客發(fā)動大規(guī)模破壞性網(wǎng)絡攻擊更喜歡采用智能自動化攻擊方式，而且智能自動化的網(wǎng)絡攻擊是不會分工作日還是休息日的。據(jù)統(tǒng)計發(fā)現(xiàn)，在所有漏洞利用嘗試中有近44%的發(fā)生在星期六或星期日。數(shù)據(jù)更顯示，周末的平均日攻擊量是工作日的兩倍。由此，攻擊者對自動化攻擊的鐘愛可見一斑。

偏愛自動化攻擊的原因

那么究竟有哪些原因是促使網(wǎng)絡攻擊者偏愛自動化攻擊的呢？筆者認為不外乎是三點：免費、簡單、高效。

免費：攻擊者往往會利用一些在黑客論壇或網(wǎng)站上發(fā)布的免費自動化腳本工具作為攻擊平臺，這些自動化腳本不乏有一些是合法的滲透測試工具。

簡單：一些自主攻擊工具雖然威力不小，但并不需要攻擊者掌握多么深厚的代碼功底。例如，曾經(jīng)搞癱半個美國網(wǎng)絡的Mirai僵尸網(wǎng)絡源代碼實際上也就是幾百行，但破壞力卻很強大。

高效：網(wǎng)絡攻擊者手上并不一定總有新的零日漏洞，但他們卻會善于利用那些早就被發(fā)現(xiàn)的漏洞進行快速入侵。而且他們還會常常使用一些僅僅在一段時間內(nèi)有效的攻擊工具，只要能夠完成其侵入、潛伏或者進一步展開破壞就足夠了。

遭到自動化攻擊的標志

那么攻擊后會有怎樣的特點標志呢？

首先，網(wǎng)站會表現(xiàn)出異常高的傳入請求率。自動化攻擊工具通常會每分鐘產(chǎn)生70個以上的請求，即每秒超過1個。而實際上，一個正常訪問者不可能在5秒內(nèi)生成超過1個的HTTP請求。當然也不是所有自動化請求的流量都是惡意的，如Google的索引請求，或者內(nèi)容分發(fā)的網(wǎng)絡或代理服務所帶來的大流量和IP來源。這時就需要具體鑒別下了。

其次，異常的IP地理位置。這表現(xiàn)在訪問IP來自一個并不是你所期望訪問者的國家，例如，一家歐洲小型零售商店卻不斷獲得亞洲、非洲等國家的大量訪問。在流量高峰期，即時有從遙遠地域的訪問流量，也不能證明什么。不過可以結合一些其它的跡象，如缺失的Accept標頭或一個高傳入的請求速率等來進行判斷，就比較準了。

還有，HTTP頭對傳入流量的性質(zhì)也會提供參考線索。由于一些攻擊“新手”并不會修改Accept標頭，因此這些攻擊很可能會被貼上明顯的用戶代理標識。一個精明的黑客會配置郵件系統(tǒng)來添加這些頭信息，但是許多黑客并不會這樣做。

再有，就是攻擊工具特征了。攻擊工具所能執(zhí)行的各種操作，都會依據(jù)編碼來執(zhí)行，而一些攻擊工具如在SQL注入時所生成的SQL片段還會產(chǎn)生特定的字符串，借此便可以鑒別惡意流量。

結語

前者像WannaCry這樣的勒索攻擊，一旦結合了威力強大的自動化攻擊程序如“永恒之藍”等等，便能夠迅速在全球范圍內(nèi)肆虐起來。當前，自動化、智能化的網(wǎng)絡攻擊正在不斷讓企業(yè)網(wǎng)絡的防線頻頻失守，而這顯然需要引起企業(yè)相關負責人的更多關注。然后從了解自動化網(wǎng)絡攻擊特點開始，及時修補漏洞，強化安全防護的協(xié)同聯(lián)動，打造出一套響應迅速、防御完備的網(wǎng)絡安全體系，來有效應對后續(xù)未知的自動化攻擊態(tài)勢。