如何10分鐘搞定撞庫

摘要： 如何10分鐘搞定撞庫

近期，阿裡雲雲盾安全團隊檢測到越來越多的撞庫惡意探索活動，在巨量資料套用越來越廣泛的今天，撞庫惡意探索帶來的危害也越來越不容忽視。那麼何為撞庫惡意探索？撞庫對用戶可能有哪些危害？還有最關鍵的，作為大多數專注商務發展的公司來說，如何防止撞庫威脅到自家資訊安全呢？安全君將一一為您解讀。

一、懶，可能成為撞庫“成功”的罪魁禍首

上面是從個人用戶角度來說，那麼從企業使用者的視角來看，撞庫的玩法其他。從撞庫惡意探索誕生的那一天起，駭客們就在維修一些所謂的“社工庫”。這些庫裡儲存了大量真實的、配對的使用者名稱/密碼資訊。當駭客想要針對一家特定的網站“搞事情”的時候，他會用這個庫裡所有的條目去挨個嘗試登陸。當這個庫的資訊足夠多時，量變到質變，駭客就會得到很多的正確帳號了。

被撞庫的網站一般都是“躺槍”，對於很多企業，尤其是初創企業而言，安全團隊的人數和能力還遠遠不足以應對突如其來的撞庫惡意探索。設想如下場景：

1.某P2P網站被撞庫惡意探索，上萬用戶帳號裡的資金被全部轉走（現在地下黑產動作資金鏈的手段已經非常成熟），這基本就是老闆跑路，用戶買單的節奏。
2.某遊戲論壇被撞庫惡意探索，大量玩家的遊戲帳號洩露，剛買的裝備不翼而飛，一邊駭客偷偷數錢，一邊管理員哭暈在廁所。
3.即使不對被盜用戶有直接的利益損失，駭客可以把搞來的帳號以及帳號裡包含的大量資訊拿到網上去賣，比如社會安全號碼、手機號、銀行卡號等，還可以利用這些個人資訊來進行詐騙，發小廣告、站內信、黃賭毒資訊等等。這些事情一旦發生，對一家企業的評價、形象、使用者體驗都有巨大的負面影響。

根據雲盾安全團隊的撞庫檢測型號統計,日均檢測惡意探索事件數目千起，每起惡意探索活動平均包括數千次撞庫登入要求。在每天發起的惡意探索活動裡,帳號密碼群組去重後仍有幾十萬對。更嚴重的是,這些帳號密碼群組就像“駭客”的彈藥庫一樣,隨著其他的企業被拖庫而不斷更新反覆運算。

尷尬的是，撞庫惡意探索的成本和技術門檻都非常低，從駭客論壇下載社工庫，掛個腳本即可實施，目前也沒有針對性的法律法規予以懲戒。

三、阿裡雲雲盾 Web套用防火牆是如何搞定撞庫的？

問世間，有沒有一種既不需要安全知識和安全團隊，也不需要額外開發，又不需要部署硬體裝置，關鍵還能很快很精准的搞定撞庫的方法？

阿裡雲雲盾 ·Web套用防火牆（簡稱WAF）就正在為用戶提供應對撞庫的“10分鐘解法”。首先，WAF用戶可以在5分鐘完成上線接入，2分鐘設定規則生效，10分鐘內，用戶的Web套用即可處在雲盾防護之下，一鍵解決各類常見的SQL注入、XSS、木馬後門webshell等惡意探索，還能有效防護當今的各類CC惡意探索。

WAF3.0組建最近推出了黑科技——資料風控，將阿裡雲雲盾的網路安全防護能力，和商務安全風控相結合，專門解決下列問題：

·撞庫惡意探索、暴力破解引起的用戶資訊洩露

·黃牛黨、羊毛黨等惡意刷票、刷優惠券、刷紅包行為

·惡意刷簡訊驗證碼、簡訊介面等產生大量簡訊費用

·惡意大量註冊垃圾帳號

·通過機器人惡意干擾秒殺、搶購等活動

WAF是如何搞定撞庫和這些頭疼的惡意探索呢？要知道駭客也是很懶的，他們不會親自去手動提交這上億條撞庫資訊，往往會採用一些自動化的方式（如腳本、程式機器人等）代替他們去工作，並且會使用大量的專員（所謂的肉雞），更有甚者為避免傳統安全裝置的防護會控制撞庫的速度，避免撞的太快而引起安全性原則的懷疑。

WAF會從一個要求第一次存取您的網站開始，就會套用一個非常複雜的人機辨識型號去剖析該存取者是否符合一個正常用戶的行為特徵，比如說，一個正常用戶不會在沒有網頁存取或停留的情況下直接就提交一個登陸要求，但撞庫惡意探索會。除了行為剖析，還會結合用戶的各種流量資訊、瀏覽器特徵，以及阿裡雲的巨量資料資訊（包含大量肉雞、惡意IP、惡意腳本、惡意軟體等資訊），最終綜合判斷一個要求是否正常可信。

這套剖析程序對於合法用戶的存取是沒有任何感知的，他們依然會像往常一樣完成各種登陸、註冊、驗證、秒殺等動作，但對於行為可疑的用戶，WAF會在資料風控防護的關鍵介面（比如註冊、登入等）進行人機辨識驗證，直到確認該用戶合法才會放行，從而真正達到精確防護的同時，又最大限度降低了對正常用戶的干擾。

https://www.aliyun.com/product/waf?spm=5176.8142029.388261.113.E6tbAA

相關產品：

1. 阿裡聚安全
2. 態勢感知
3. 伺服器安全(安騎士)
4. 雲端服務器ECS