阿里云国际如何在 10 分钟或更短的时间内防御数据库命中攻击？

阿里云安全团队最近检测到越来越多的数据库命中攻击。随着大数据看到更多和更广泛的应用，忽视这些攻击的重要性将是愚蠢的。

什么是数据库命中攻击？它有什么负面影响？更重要的是，专注于服务开发的公司如何消除对信息安全的威胁？在本文中，我们将详细讨论这些问题。

I. 懒惰可能是“成功”数据库命中攻击的主要原因。
数据库命中攻击不是很复杂。例如，您可能有一个用户名为 [email protected] 的电子邮件帐户，密码为 x6！00AL5y@（复杂且安全）。但是，为了方便起见，您使用相同的帐户在Facebook，携程，淘宝，微信等上注册了帐户。使用相同的邮箱帐户和密码会带来安全风险。这是一种常见的做法，因为记住不同的帐户/密码组合可能会很烦人。
结果，该帐户被黑客窃取，可能是因为您的邮箱泄露了个人信息或出于粗心大意。黑客可以使用相同的信息登录您的所有帐户。然后，您帐户中的所有信息都将被盗。

二、数据库命中会影响企业吗？
以上后果是从用户的角度出发的。从公司的角度来看，数据库命中的影响要大得多。当数据库发生攻击时，黑客开始维护“社区工作者库”。这些库保存了大量准确且配对的用户名/密码信息。当黑客决定对网站采取行动时，他们会使用库中的每个条目暴力破解登录网站。如果图书馆中的信息足够，从定量到定性变化，那么黑客就可以利用大量的帐户。

遭受数据库攻击的网站经常受到意外打击。特别是对于初创企业来说，他们没有足够的安全准备来应对突然的数据库命中攻击。请考虑以下方案：

一个P2P网站成为数据库攻击的受害者，数以万计的资金通过暗网转移。该公司不想被追究责任并消失了。

一个游戏论坛被数据库点击所害。许多玩家的游戏帐户被盗，他们购买的设备丢失。

尽管数据库命中不会直接影响用户的兴趣，但黑客可以出售他们在网上窃取的帐户和用户信息，例如ID，手机号码和银行卡号。他们还可能利用个人信息通过伪造身份欺骗金融机构。这些损害可能会严重损害公司的声誉、形象和用户体验。

根据我们的安全团队收集的统计数据，每天检测到数百次攻击。每次攻击平均包括数百个数据库命中登录请求。即使在删除重复项后，在这些日常攻击中仍然有数十万个用户名/密码组合。更严重的是，这些帐户和密码的组合就像黑客的“弹药库”。它们通过窃取越来越多的公司数据库来保持更新。

令人尴尬的是，数据库命中攻击的成本和技术门槛很低。黑客只需要从论坛下载社区工作者库并运行脚本。目前，没有法律法规规定惩治这种行为。

III. 有没有一种方法不需要昂贵的安全资源，但仍能让您抵御数据库命中？
是的，您可以使用阿里云安全 Web 应用防火墙 （WAF）。WAF提供“10分钟解决方案”，帮助用户处理数据库命中。首先，WAF 用户需要 5 分钟才能完成在线访问。新配置规则的有效期仅为 2 分钟。Web 应用程序受云安全保护 10 分钟。您只需单击一个按钮，即可防御 SQL 注入、XXS 和特洛伊木马等常见攻击。

WAF 3.0最近开发了一种名为数据风控的新型“黑科技”。它将网络安全防护能力与阿里云安全的服务安全风险控制相结合，轻松解决以下问题。

• 数据库命中攻击和暴力破解导致的用户信息泄露
• 黄牛、假票、假优惠券、假红包等恶意行为
• 恶意冒短信验证码和短信接口
产生的短信费用• 恶意注册垃圾账户
• 狙击机器人的恶意干扰

IV. WAF如何处理数据库命中和类似攻击？
黑客也很懒惰。他们不会手动提交数十亿条数据库命中信息。相反，他们使用自动化工具（如机器人）为他们工作，并雇用大量称为僵尸计算机的代理。为了规避传统的安全设备，一些黑客甚至在攻击期间使用速率限制，以避免被安全策略标记。

从请求访问您网站的那一刻起，WAF就采用复杂的人机识别模型来分析访问者是否符合正常用户的行为。例如，普通用户在没有页面访问或登录门户时不直接提交登录请求，但数据库命中攻击会。除了分析行为，WAF还将流量信息和用户的浏览器信息与阿里云大数据信息（包括僵尸计算机、恶意IP、恶意脚本、恶意软件等）相结合。以最终确定请求是否正常且可靠。

当普通用户访问站点时，他们不知道分析过程。他们像往常一样登录，注册，验证或狙击产品。但是，当用户被怀疑有不自然行为时，WAF会在数据风控的关键接口（如注册和登录）进行人机识别和验证，直到确认用户正常为止。这意味着保护是精确和有针对性的，尽可能避免对普通用户产生负面影响。