關於機器人攻擊的七個神話和誤解

儘管機器人攻擊比以往任何時候都更加普遍，但圍繞著它們存在一些未經證實的神話。 

透過了解這些誤解，您將能夠更好地保護您的網站免受潛在損害並讓您的客戶滿意。以下是七個最常見的機器人神話及其真相。

1.防火牆將阻止複雜的機器人攻擊

73%的企業認為遺留 WAF 將保護他們免受機器人攻擊。  

WAF 是保護 Web 應用程式的第一道防線之一。它涵蓋了最關鍵的風險，包括但不限於OWASP Top 10。 WAF 可用於透過建立 WAF 規則來阻止惡意機器人程式。它的基本緩解措施包括應用速率限制來管理可疑的 IP 區塊機器人攻擊。

然而，沒多久。駭客想出了一種繞過 WAF 防禦的方法。 

此外，許多機器人透過針對「業務邏輯」來攻擊網站。 

例如，機器人可以找到商品並將其放入購物車，同時在另一個網站上轉售。一旦另一筆交易完成，銷售就完成了。它沒有利用程式碼中的任何缺陷。 

為了防止機器人攻擊，您需要一個隨著威脅的不斷發展而發展的機器人管理解決方案。 

2.分散式阻斷服務 (DDoS) 保護將保護企業免受機器人攻擊

77%的企業認為這是可能的——然而，這是一個錯誤的假設。當然，自動化是所有自動化攻擊的共通點。 

讓我們看看混淆是從哪裡開始的：DDoS 攻擊涉及殭屍網路（由伺服器組成的連接裝置的集合）。這會使網站不堪重負，並最終使其脫機。 

網站上的機器人攻擊的最終目標不同。他們利用工作場所進行惡意活動。這樣它就不會完全關閉受害系統。大多數 DDoS 保護解決方案都依賴速率限制策略。 

大多數機器人透過進行低速和慢速攻擊來逃避保護。 

3.攻擊機器人主要來自俄羅斯

令人震驚的是， 62%的企業認為與機器人攻擊相關的風險來自俄羅斯。這不是真的。儘管許多攻擊都來自這些地區，但對網站的機器人攻擊來自世界各地。 

超過51%的威脅來自美國。企業需要警覺的bot攻擊，都是以獲利為目的的在地攻擊。從長遠來看，僅僅根據國家來防止交通是不夠的。 Bot 攻擊還可以冒充來自其他國家的合法用戶，從而使限制變得毫無意義。

4.僅驗證碼就足以保護機器人

Captcha 只是增加了一個手動步驟來區分機器人和人類。現今的機器人更加複雜，可以輕鬆繞過傳統的驗證碼。驗證碼存在可訪問性問題，並增加了客戶旅程的摩擦。 

您需要一個強大的爬蟲程式管理解決方案來精確保護您的網站。同時，它必須允許您的用戶在處理您的業務時免去解決驗證碼的麻煩。

5.機器人購買只能在暗網上進行

62%的企業認為機器人只能在暗網等地方購買。然而，今天，我們發現公共網路上的每個人都可以使用機器人程式和使用者名稱和密碼資料庫。

找到要出售的機器人很簡單，特別是如果您想獲得難以找到或限量版的商品，例如珠寶或運動鞋，這些商品是公開出售給消費者的。人們發動機器人攻擊的另一種方式是聘請專業駭客發動機器人攻擊。這意味著更多人將能夠破壞網站、接管帳戶、利用黃牛機器人並擾亂業務。

6.大多數機器人操作員都是罪犯

Bot 開發者不一定是垃圾郵件製造者。一些攻擊者受到經濟利益和報復的驅使。它可能是一個普通人試圖訪問一個非常令人垂涎的線上產品。

購買商品轉售時，使用機器人不是犯罪。然而，在美國和英國，擬議的立法正在發揮作用以禁止它，但尚未獲得批准。 

7.機器人攻擊在假期購物季最為頻繁

假期購物季是電子商務產業的關鍵時期。因此，機器人攻擊在這個季節總是會增加，以破壞零售商的底線。 

但是，同樣重要的是要了解機器人攻擊可以在一年中的任何時候對您的企業造成影響。它可能是由新產品發布所驅動的。 

如何阻止機器人對網站的攻擊？

讓我們來看看您可以實施的一些主動步驟來防止機器人攻擊：

• 評估和監控傳入流量及其來源：您的網站跳出率是否很高？您是否注意到來自單一來源的大量流量？透過複雜的工具和人類專業知識對機器人流量進行識別和分類對於發現不良機器人流量的跡像是必要的。
• 阻止或捕獲過時的用戶代理/瀏覽器：許多工具和腳本的預設配置提供主要是過時的用戶代理字串列表。儘管現代瀏覽器強制自動更新、分析和阻止 CAPTCHA 瀏覽器版本的風險很低，但這一點很重要。
• 監控失敗的登入嘗試：一種方法是設定失敗的登入嘗試基準。然後可以監控此基線是否有任何異常或尖峰。您可以設定警報，以便在它們發生時立即通知您。
• 保護所有機器人存取點：禁止從這些網站存取可能會阻止攻擊者攻擊您的網站、API 和行動應用程式。

結論

對企業來說，了解機器人帶來的最新威脅非常重要。揭穿這些神話有助於清楚了解與惡意機器人行為相關的風險。這將幫助您和您的團隊創建最佳路線圖，幫助您的組織獲得即時可見性以保持無機器人程式。

#

以上是關於機器人攻擊的七個神話和誤解的詳細內容。更多資訊請關注PHP中文網其他相關文章！