Bots自动化攻击的六大警示

警示一：政府、金融、运营商、互联网行业成为Bots攻击重灾区

从Bots攻击来源来看，Bots攻击来源最多的省份是江苏，河南、浙江，广东紧随其后。这和当地的IDC、ISP提供商的营销策略不无关系。而来自境外的攻击中，美国以超过75%的占比高居榜首。

警示二：难以直接封杀的IP秒拨

报告指出，虽然来自IDC机房的IP依然是攻击的主力，但随着对抗的升级，在一些高级别对抗中，IP地址已经在向更为隐蔽、难以直接封杀的家庭IP、基站IP转移。相比传统的IDC代理技术，这些IP地址隐藏在真实的用户中，使得IP信誉检测的效果大打折扣，基于IP的拦截也会投鼠忌器。

警示三：更隐蔽的Bots身份声明

为提高攻击效率，Bots攻击者不断在尝试利用各种各样的手段来绕过检测措施，比如通过修改User-Agent来隐藏自己真实的身份信息。

通过对Bots的UA进行分析，可以发现Windows是半数以上Bots的首选操作系统(52.3%)，而Chrome则是它们最喜欢使用的“马甲”。

警示四：高歌猛进的APBs

随着各种Bots对抗技术的涌现，很多场景下简单的脚本工具已经没有用武之地，为了绕过各种防护手段，Bots也正由简单脚本向高级持续性机器人(APBs)不断演进。根据观察，APBs产生的流量在总Bots流量中的占比已经达到23.16%，随着对抗的升级，这一比例还会继续上升。

相对于普通Bots，APBs具备多种多样的“反反自动化攻击”能力，自动更换IP、特征隐藏、拟人化操作、验证码识别等技术已然成为标配。在一些对抗比较激烈的场景，例如薅羊毛、爬虫、抢报名等，APBs已经大规模应用。

为了绕过客户端的检测，并对网页中JS等程序进行执行，攻击者会通过自动化框架来完全模拟真实浏览器。据瑞数信息监测统计，目前应用最广泛的是WebDriver类框架，Headless Chrome、PhantomJS、NodeJS等也在大量应用。

同时，通过瑞数信息动态安全Botgate对客户端真实环境的验证发现，Chrome内核仍然是APBs的首选。

警示五：更高的0day/Nday漏洞探测利用效率

漏洞的快速曝光和利用给企业带来了极大的威胁。漏洞公布之后，随之而来的漏洞探测会迅速在互联网上批量尝试，几乎所有漏洞利用会在1天之内就被广泛传播。而作为发现后即可立即被利用的安全漏洞，0day漏洞往往具有更大的突发性和破坏性。

警示六：移动端攻击的崛起

随着企业越来越多的业务系统向移动端迁移，黑客的攻击重心也必须向移动端转移，各类改机工具、破解框架、模拟器、群控、云控、IMEI伪造、GPS伪造等攻击手段层出不穷。

目前，Bots自动化攻击正在日益成为攻击者最青睐的攻击形式，免费、简单、高效，是攻击者越来越偏爱自动化的主要原因。