現在什麼都智能了，網絡攻擊也會智能化， 最(zui)新(xin)的(de)網(wang)絡(luo)安(an)全(quan)報(bao)告(gao)顯(xian)示(shi)，當(dang)前(qian)不(bu)法(fa)黑(hei)客(ke)發(fa)動(dong)大(da)規(gui)模(mo)破(po)壞(huai)性(xing)網(wang)絡(luo)攻(gong)擊(ji)更(geng)喜(xi)歡(huan)采(cai)用(yong)智(zhi)能(neng)自(zi)動(dong)化(hua)攻(gong)擊(ji)方(fang)式(shi)
，而(er)且(qie)智(zhi)能(neng)自(zi)動(dong)化(hua)的(de)網(wang)絡(luo)攻(gong)擊(ji)是(shi)不(bu)會(hui)分(fen)工(gong)作(zuo)日(ri)還(hai)是(shi)休(xiu)息(xi)日(ri)的(de)。據統計發現，在所有漏洞利用嚐試中有近44%的發生在星期六或星期日。數據更顯示，周末的平均日攻擊量是工作日的兩倍。由此
，攻擊者對自動化攻擊的鍾愛可見一斑。

偏愛自動化攻擊的原因

那麼究竟有哪些原因是促使網絡攻擊者偏愛自動化攻擊的呢

？筆者認為不外乎是三點：免費
、簡單、高效。

免費：攻gong擊ji者zhe往wang往wang會hui利li用yong一yi些xie在zai黑hei客ke論lun壇tan或huo網wang站zhan上shang發fa布bu的de免mian費fei自zi動dong化hua腳jiao本ben工gong具ju作zuo為wei攻gong擊ji平ping台tai
，這zhe些xie自zi動dong化hua腳jiao本ben不bu乏fa有you一yi些xie是shi合he法fa的de滲shen透tou測ce試shi工gong具ju。

簡單：一些自主攻擊工具雖然威力不小，但並不需要攻擊者掌握多麼深厚的代碼功底。例如，曾經搞癱半個美國網絡的Mirai僵屍網絡源代碼實際上也就是幾百行，但破壞力卻很強大。

高效：網(wang)絡(luo)攻(gong)擊(ji)者(zhe)手(shou)上(shang)並(bing)不(bu)一(yi)定(ding)總(zong)有(you)新(xin)的(de)零(ling)日(ri)漏(lou)洞(dong)，但(dan)他(ta)們(men)卻(que)會(hui)善(shan)於(yu)利(li)用(yong)那(na)些(xie)早(zao)就(jiu)被(bei)發(fa)現(xian)的(de)漏(lou)洞(dong)進(jin)行(xing)快(kuai)速(su)入(ru)侵(qin)。而(er)且(qie)他(ta)們(men)還(hai)會(hui)常(chang)常(chang)使(shi)用(yong)一(yi)些(xie)僅(jin)僅(jin)在(zai)一(yi)段(duan)時(shi)間(jian)內(nei)有(you)效(xiao)的(de)攻(gong)擊(ji)工(gong)具(ju)，隻(zhi)要(yao)能(neng)夠(gou)完(wan)成(cheng)其(qi)侵(qin)入(ru)、潛伏或者進一步展開破壞就足夠了。

遭到自動化攻擊的標誌

那麼攻擊後會有怎樣的特點標誌呢
？

首先，網站會表現出異常高的傳入請求率。自動化攻擊工具通常會每分鍾產生70個以上的請求，即每秒超過1個。而實際上
，一個正常訪問者不可能在5秒內生成超過1個的HTTP請求。當然也不是所有自動化請求的流量都是惡意的，如Google的索引請求，或者內容分發的網絡或代理服務所帶來的大流量和IP來源。這時就需要具體鑒別下了。

其次，異常的IP地理位置。這表現在訪問IP來自一個並不是你所期望訪問者的國家，例如，一家歐洲小型零售商店卻不斷獲得亞洲、非洲等國家的大量訪問。在流量高峰期，即時有從遙遠地域的訪問流量
，也不能證明什麼。不過可以結合一些其它的跡象
，如缺失的Accept標頭或一個高傳入的請求速率等來進行判斷，就比較準了。

還有
，HTTP頭對傳入流量的性質也會提供參考線索。由於一些攻擊“新手”並不會修改Accept標(biao)頭(tou)，因(yin)此(ci)這(zhe)些(xie)攻(gong)擊(ji)很(hen)可(ke)能(neng)會(hui)被(bei)貼(tie)上(shang)明(ming)顯(xian)的(de)用(yong)戶(hu)代(dai)理(li)標(biao)識(shi)。一(yi)個(ge)精(jing)明(ming)的(de)黑(hei)客(ke)會(hui)配(pei)置(zhi)郵(you)件(jian)係(xi)統(tong)來(lai)添(tian)加(jia)這(zhe)些(xie)頭(tou)信(xin)息(xi)，但(dan)是(shi)許(xu)多(duo)黑(hei)客(ke)並(bing)不(bu)會(hui)這(zhe)樣(yang)做(zuo)。

再有，就是攻擊工具特征了。攻擊工具所能執行的各種操作，都會依據編碼來執行，而一些攻擊工具如在SQL注入時所生成的SQL片段還會產生特定的字符串，借此便可以鑒別惡意流量。

結語

前者像WannaCry這樣的勒索攻擊
，一旦結合了威力強大的自動化攻擊程序如“永恒之藍”等等，便能夠迅速在全球範圍內肆虐起來。當前，自動化、智zhi能neng化hua的de網wang絡luo攻gong擊ji正zheng在zai不bu斷duan讓rang企qi業ye網wang絡luo的de防fang線xian頻pin頻pin失shi守shou，而er這zhe顯xian然ran需xu要yao引yin起qi企qi業ye相xiang關guan負fu責ze人ren的de更geng多duo關guan注zhu。然ran後hou從cong了le解jie自zi動dong化hua網wang絡luo攻gong擊ji特te點dian開kai始shi
，及ji時shi修xiu補bu漏lou洞dong，強qiang化hua安an全quan防fang護hu的de協xie同tong聯lian動dong
，打da造zao出chu一yi套tao響xiang應ying迅xun速su、防禦完備的網絡安全體係，來有效應對後續未知的自動化攻擊態勢。