Question | 网站被黑客扫描撞库该怎么应对防范？

本文来自网易云社区

在安全领域向来是先知道如何攻，其次才是防。针对题主的问题，在介绍如何防范网站被黑客扫描撞库以前，先简单介绍一下什么是撞库。

撞库是黑客经过收集互联网已泄露的用户和密码信息，生成对于的字典表，尝试批量登陆其余网站后，获得一系列能够登陆的用户。由于不少用户在不一样网站使用的帐号密码大可能是相同的，所以黑客能够经过获取用户在A网站的帐户从而尝试登陆B网站。 

 

那么遇见撞库以后，咱们如何防御呢？为此咱们咨询了网易云易盾安全专家。根据他的描述：撞库通常有如下几种形式，每种形式有一些不一样的处置策略。可是实际状况是，被攻击的网站可能会同时面临几种不一样类型的撞库，毕竟你们手里拿到的社工库很是多，撞库的成本也很是低。 

 

社工库是社会工程学数据库的简称，社工库是黑客用来记录攻击手段和方法的数据库，这个数据库中有大量信息，甚至能够找到每一个人各类行为记录（每一个人在每一个网站上的帐号、密码、分享的照片、信用卡记录、通话记录、短信记录、开房记录等等） 

 

最多见的三种撞库方法： 

 

第一种：用n个密码字典撞m个帐号，这个的表象是，一个帐号在某个较短的时间内，可能会有屡次密码尝试。因此，能够在帐号层加限制措施，好比：一天内，一个帐号，密码错误次数超过5次时，1天以内禁止登录（或者校验手机短信/密保问题以后才能登录）。 

 

第二种：用几个密码撞n个帐号，这个的表象是，密码出现的频率会很是高，因此，能够统计一段时间内每一个密码的错误次数，超过必定阈值时，这个密码在一段时间内禁止登陆（或者校验手机短信/密保问题以后才能登录）。 

 

第三种：用n组一一对应的帐号密码来再撞库，这种状况的撞库单纯从帐号、密码的维度来看，不会有明显的异常。

因此，须要一些其余的应对措施。好比： 

 

1. IP封禁，若是一段时间内，单个IP地址，密码错误次数超过阈值，则禁止这个IP一段时间再登陆（或者校验手机短信/密保问题以后才能登录）。不过，如你们所说，如今代理IP至关廉价，从IP层面来封禁基本上没啥做用。 

2. 创建IP画像库，对代理IP、IDC IP等高危的IP直接禁止登录（或者校验手机短信/密保问题以后才能登录）。本身创建IP画像库成本可能会有点高，能够考虑采购安全厂商的相似服务。 

3. 如今比较火的行为验证码，好比：拖条、点选、拼图等各类花样的验证码。只是说，若是以前登陆不须要验证码，如今要加上一个验证码，估计要和产品撕逼。通常来讲最后为了后期的运营，产品也会赞成加上验证码。 

4. 从设备层面来识别和封禁，经过在客户端植入sdk，收集用户端的设备信息，从设备层面来作高频策略，或者，直接识别出非正常的设备，而后对设备进行封杀。 

5. 从行为层面来识别和封禁，和上面一条同样，经过客户端植入sdk，收集用户在登陆页面的交互行为，经过机器学习、大数据建模，训练出正经常使用户、异经常使用户的行为模型，在交互行为层面，将撞库的行为识别出来。这个须要有预先训练好的行为模型，如今机器学习那么好，不说你们也都知道，本身训练一个模型确定须要不少标注数据，这也就意味着成本。因此，仍是建议寻找安全厂商还作，毕竟专业的人作专业的事，靠谱！ 

 

上面列举的这些措施，没有哪个是一劳永逸的，都是须要不断对抗升级，毕竟撞库的手段也会不断的进化，咱们能作的是不断优化策略，不断提升撞库的成本。

因此，最好的方式是采购安全厂商的相关服务（好比：网易云的登陆保护、验证码服务等），把攻防对抗的事交给安全厂商来作，我们专一作本身的业务，这样性价比会更高。 

网易云新用户大礼包：https://www.163yun.com/gift