这是我参与「第五届青训营」伴学笔记创作活动的第 12 天。
今天,我主要学习了Web安全的相关知识,主要是黑灰产的监控与防御的相关知识。
一、什么是黑灰产
在我们的传统印象中,黑客往往是一袭黑衣,待在某个黑暗的房间里,在键盘上敲入若干行代码,轻松黑入政府或者某个大公司的高级服务器,拿到关键数据后悄然而去......
这样的黑客不少,但是他们一般工作于各大安全公司,负责Bug的解决和网络安全相关工作,也就是俗称的“白客”。相反,大多数网络犯罪人员更加依赖于一些工业化的手段,通过广撒网、垃圾邮件与电话、大规模DDOS等方式对网络设施与人员发动或明或暗的攻击,趁机获取利益。
网络黑灰产的种类有很多,有点类似于“黑社会”,他们不依赖于特定技术,从事于一些不为人知的灰色或黑色产业,如诈骗、跑分、刷、黄牛、盗号等,其技术难度不高,但是规模大,利益丰厚,与普通人的生活息息相关。
在我们的日常生活中,这种“黑灰产”随处可见:
- 学校群里突然出现了一些特定信息,例如什么“资料墙”,“输入账户查询成绩”等
- 某个好友突然上线发消息,用很诡异的方式让你向他打钱
- 去网吧玩了会游戏,回宿舍后发现号被盗了
- 在百度上搜东西,到处都是奇奇怪怪的色情和菠菜广告
- 等等
二、常用防御手段
除了请求警方介入,作为Web管理人员的我们,也有很多方式来处理黑灰产的问题:
-
情报监控
安插人员潜伏在各类黑灰产可能聚集的网络站点,收集信息(这种只适合于大型公司,小公司忙不过来)
-
技术安全
对服务器加强安全管控,如只允许指定IP访问,设置强口令,二次验证
-
用户行为分析
如果发现用户行为与现实情况的分歧较大(同一个IP连了两三百个账户,或者行为突然与日常不一致等),直接尝试断开操作,并要求进行进一步验证
