僵尸网络攻击 API：为什么大多数公司毫无准备

当公司将应用程序移动到云服务器并通过应用程序编程接口 （API） 暴露功能时，犯罪分子一直在快速应用，以利用这种新暴露的攻击表面。通过使用僵尸网络，他们可以显著增加攻击的覆盖面和有效性。与许多新技术一样，安全性也落后了。

问题在于，企业在安全资金的使用上必须具有战略意义。对反DDoS技术的投资通常对客户来说是看不见的。工具和技能的需求和成本越来越高。同样，威胁范围也在扩大，因为它是一个有利可图的犯罪领域。

僵尸网络攻击 API 是一个日益严重的问题

根据安全公司研究今年早些时候发布的一份报告，98% 的组织在 2020 年看到针对其应用程序的攻击，82% 的组织报告受到DDoS的攻击。最常见的DDoS攻击类型是拒绝服务（DoS），86% 的公司经历过， 网络刮擦84%和帐户接管75%。

55% 的受访组织认为 API 安全是"重中之重"，59% 的受访组织表示希望在 2021 年"大量投资"。只有四分之一的公司说他们使用DDoS管理工具。在接下来的一年里，59% 的组织表示他们计划在 API 保护方面进行大量投资，51% 的组织计划对 Web 应用程序防火墙进行投资，但只有 32% 的组织表示他们计划投资DDoS管理工具。此外，只有 52% 的公司将安全性完全集成到连续交付 API 中，而 Web 应用程序只有 63%。

情况只会越来越糟。根据保护数字经济理事会、消费者技术协会和贸易集团US3月份的一份报告，僵尸网络利用物联网设备的破坏性潜力呈指数级增长，据估计，到2025年，物联网设备的数量将达到800亿，相当于世界人口的十倍。API 是一个多汁的目标，因为它们允许企业将后端数据和功能暴露给受信任的合作伙伴、客户和公众。九河互联建议 API 网关帮助保护它们免受僵尸网络的侵害。

根据安全公司智能的数据，在过去三个月中，超过6800个IP地址一直在互联网上扫描文件，这些文件是用于存储数据库登录、密码和API令牌等内容的配置文件。在这种交通中，1.4%是良性的。一些安全公司将扫描这些文件，他们没有恶意，只是做调查或报告。

另有 23% 的流量已知是恶意的，因为相同的 IP 地址正在进行其他可疑行为。其他 75% 属于未知类别。这可能是无害的研究，也可能是罪犯在通过其他渠道进行其他事情之前进行被动监视。通常，他们会合二为一，因为他们不在乎自己是否被抓了。最大的交通来源？云托管提供商亚马逊、利诺德、微软、阿里巴巴和数字海洋。

活动水平正在增长。在过去六个月里，做机会性爬行的僵尸网络活动量翻了一番。根据 2021 年DDoS报告，恶意僵尸网络现在占所有网站流量的四分之一，比去年增长 6%，三分之一的登录尝试是恶意的。

更糟的是，DDoS越来越聪明了。复杂的DDoS，那些更难检测和拦截的DDoS，是去年大多数糟糕的DDoS流量。这些DDoS应对高速滥用、滥用和攻击 API 负责。随着 API 的数量逐年增加，这意味着不良行为者有更多的途径访问敏感数据。

如何使用僵尸网络攻击 API

DDoS通常用于凭据填充攻击。它们也用于库存囤积当限量版运动鞋、音乐会门票或最新游戏系统等理想商品开始销售时，DDoS会冲进来，在合法的人类用户之前抢占库存。然后DDoS运营商转售商品，以获得可不错的利润。

企业也使用僵尸网络。不道德的公司使用DDoS从竞争对手的网站上刮价格，然后将自己的价格定得低一点，或者他们刮擦高端产品的产品信息和图片，并在自己的网站上使用它们来销售假冒产品。

DDoS工具和网络应用防火墙无法抵御各种DDoS攻击。企业需要专门的DDoS管理解决方案。记住，DDoS攻击合法的商业逻辑，你不想阻止每个人登录或购买产品 - 你只是想阻止坏DDoS。

一家银行如何对抗僵尸网络

在一家中型金融机构，85%的受阻流量来自恶意DDoS。其他 15% 是地理封锁登录或合法的人类用户谁有太多的登录尝试或正在使用过时的经纪人或应用程序。

并非所有僵尸网络流量都会被阻止。有些来自好的DDoS。我们与其他金融机构和聚合商（如Quicken和造币厂）合作。这些都是僵尸网络，因为它是一个从多个网站运行，执行多个功能的 API。坏的DDoS可以做相当多的伤害，如果他们通过。最坏的情况是，他们能够冒充用户并收集该人的财务信息。

僵尸网络也可以被网络罪犯以其他方式使用。例如，他们可以使用网络刮刀找出哪些银行提供最好的利率，创建帐户，并用它们来洗钱。你会有僵尸网络不断移动钱，真实帐户，但移动资金以自动化的方式，他们还将使用僵尸网络来绕过限制。它们可能位于受限国家/地区，并且将僵尸网络设在允许国家的云提供商中，以绕过合规和法规。

为了发现DDoS，公司查看DDoS的用户代理名称和 IP 地址。如果是已知的不良 IP 地址，则可以立即阻止这些地址。然后，它查看DDoS如何与 API 进行交互，了解 Cookie 或会话重播、异常行为模式和其他可疑活动的迹象。

如果请求的第一页是帐户状态，而不是登录页面，那么某些内容看起来就不对了。如果我们知道账户持有人是一名22岁的大学生，每隔一个星期五就有200美元的存款，而他们现在开始每周存入几次现金，那么事情就不对劲了。

一旦发现DDoS攻击，通常该攻击中的所有请求都会有共同之处，例如请求的结构结构、常见源地址或正在使用的相同代理的类似模式。如果这是一个合理的请求，它按一定的顺序提出。然后，该常见参数可用于识别同一攻击中的其他流量，或标记目标帐户以获得额外的安全性。僵尸网络通常只是攻击的一部分，通过账户接管，一旦他们获得凭据，他们就可以使用更复杂的工具，把钱取出来。

最常见的僵尸网络检测技术

根据Radware和奥斯特曼研究的调查，Web 应用程序防火墙 （WAFs）是用于检测DDoS流量的最常见技术，48% 的公司使用。此外，47% 的人寻找已知的恶意 IP 地址，43% 的人使用 CAPTCHA，34% 的人使用率限制，26% 的人构建自己的解决方案，只有 24% 的人使用专用的反DDoS技术。

如果实施得当，CAPTCHA将非常有效。众所周知，DDoS的成功率是 90%。一般来说，视觉处理挑战非常有效[并且]需要人脑来解决。

限汇率和WAF也可以有效。正确实施的 API 安全性应限制每个用户、每个位置和每个身份使用 API，或在数量可疑时限制使用 API，或阻止不受支持的协议、调用方法或可疑的头或内容。专用DDoS防御解决方案还将监控流量模式，如数量、签名、地理频率和流量内容。

这是重要的区分好DDoS和坏DDoS，例如，大多数客户通信都转向了聊天DDoS等DDoS，因此，在任何给定时间，通过网络的DDoS流量都相当可观。模式识别有助于区分两者。

顶级僵尸网络管理供应商

最好的工具可以收集数据并进行分析，以检测简单和复杂的攻击，并且能够阻止攻击或使攻击者更加困难，从而增加攻击的成本，并有望使攻击在经济上不可行。