今天咱们想聊一聊网络安全的话题。很多人可能不知道,我们的服务器或者说网络设备,无时无刻都在遭受着来自全球各地的机器人的扫描和攻击。
首先要说的是互联网背景辐射,以及knock-knock项目到底是怎么回事。很多人可能都不相信,服务器明明没有告诉过别人地址,怎么可能会被攻击呢。但只要你的服务器有公网的 IP,哪怕你没有做任何宣传,没有任何人知道,在很短的时间内,通常是四十八小时之内,你一定会被全球的自动化的扫描机器人光顾。它们会不断尝试 SSH 端口、Telnet 端口各种常见的端口,用一些非常简单的用户名和密码,比如 admin、root、password 或者 123456 来尝试登录你的服务器。
为什么这些机器人会持续不断的来尝试连接这些服务器呢,这就引出了一个概念叫互联网背景辐射。就像宇宙的背景辐射一样,互联网上永远都有自动化的扫描,成千上万的机器人在不断的扫遍所有的公网 IP,挨个的试端口试密码。只要有新的服务器一上线,立刻就会被它们发现,成为它们的目标。
knock-knock就是专门来监控这八种最常见的网络协议:SSH、Telnet、FTP、RDP、SMB、SIP、HTTP 还有 SMTP,它会把每一次有人尝试连接你的服务器的行为都记录下来,实时的显示在一个仪表盘上。相当于能看到攻击从哪来,通过一个地球仪的形式来展示。攻击来自哪个国家哪个地区,那个国家就会在地球仪上面点亮。还有一个热力图可以看到哪些地方是攻击最频繁的,还有排行榜告诉你最常被尝试的用户名和密码是什么,还有耻辱榜告诉你哪个 ISP 发出的扫描是最多的。它甚至还有一个声音的模拟,每一次有新的入侵尝试就会有一个滴答声,攻击越频繁这个声音就会越密集。
仪表盘背后揭示了人类的安全习惯,这些密码和用户名透露出了一些什么样的问题。在这个仪表盘上面你会看到大量的弱密码尝试,比如 admin123、password1、letmein、sunshine。全球有太多的设备在使用这些密码,所以它们才会成为机器人不断尝试的目标。不光是密码,用户名也很有意思。比如 pi 经常出现,因为树莓派默认的用户名就是 pi,说明物联网设备一直是被重点关照的。还有 oracle、postgres、mysql 这种数据库的用户名也很常见,说明也有很多人在专门的扫描数据库服务。整个这个仪表盘几乎就是一份实时的人类最差安全习惯报告。
这个报告对于我们这些普通的开发者来讲,意义在于很多安全行业的人天天看这些东西已经没有什么感觉了。但对于普通的开发者来说,你只要打开这个东西,盯着看十分钟,你就会突然意识到,互联网根本不是说偶尔有人来敲你的门。它是无时无刻都有无数的机器人在疯狂的尝试进入每一台连网的设备。你的防线不是说你被攻击的那一刻才需要它,它一直都在承受压力,只不过你以前没有看到而已。
你现在对着公网跑着服务吗?感受过这种"隐形流量"吗?
评论区聊聊,你见过最离谱的攻击尝试是什么。
