问题:
什么是撞库?
回答:
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
问题:
常见的撞库有哪些呢?怎么防撞库呢?
回答:
先介绍一下黑客可能怎么攻击网站,黑客可以通过穷举法来穷举用户/管理员的账户/密码,从而获得用户/管理员的权限,所以针对这种情况介绍一下:
用n个密码字典撞m个账号,意思就是,先用一个账号,然后使用大量的密码尝试进行暴力破解。所以就会出现一个账号在某个较短的时间内,可能会有多次密码尝试。所以针对这种情况可以在账号层加限制,比如:在一段时间内,如果一个账号,密码错误次数超过5次时,1天之内禁止登陆。
用几个密码撞n个账号,意思就是,先用一个密码,然后使用大量的账号尝试进行暴力破解。所以会出现在一段时间内一个密码出现的频率会非常高,所以针对这种情况,可以统计一段时间内每个密码的错误次数,超过一定阈值时,这个密码在一段时间内禁止登录。
用n组一一对应的账号密码来再撞库,这个意思就很明显了,就是用字典表中的账号密码去一一的进行尝试。这种情况的撞库单纯从账号、密码的维度来看,是不会有明显的异常的。所以,需要一些其他的应对措施。比如:
1)、IP封禁,如果一段时间内,单个IP地址,密码错误次数超过一个阈值时,则禁止这个IP一段时间不许使用。不过,现在代理IP相当廉价,从IP层面来封禁效果可能不一定很大。
2)、现在比较火的也比较常见的行为验证码,比如:拖条、点选、拼图、图形验证码等各种花样的验证码。
3)、从设备的层面来识别和封禁,通过在客户端植入sdk,收集用户端的设备信息,从设备的层面来做高频策略,或者也可以直接识别出非正常的设备,然后对该设备进行封杀。
4)、建立IP画像库,建立一个IP画像库,对代理IP、IDC IP等高危的IP直接禁止登陆。
5)、从行为的层面来识别和封禁,通过客户端植入sdk,收集用户在登录、验证等相关页面的交互行为,通过机器学习、大数据建模,训练出正常用户、异常用户的行为模型,在交互行为层面,将撞库的行为识别出来。
上面列举的这些措施,没有哪一个是一劳永逸的,都是需要不断对抗升级,毕竟撞库的手段也会不断的进化,我们能做的是不断优化策略,不断提高撞库的成本。当然这里也不建议说只使用一种方法就要去防撞库,这样也是很容易被破解的,建议将多种防撞库处理同时使用,这样也会让黑客撞库方式更加复杂且成本更高,如果攻击你的网站的成本高于预期可能黑客就放弃攻击你的网站了呢!
当然,最好的方案还是采购安全厂商的相关服务,毕竟专业的事情交给专业的人来做嘛。这样也比较省时、省力、省心、省成本!