下面是如何检测和反击使用自动化工具来攻击你网站的黑客。
黑客喜欢用自动化SQL注入和远程文件包含攻击的工具。
攻击者使用sqlmap,Havij,或NetSparker这样的软件来发现和利用网站漏洞是非常简单并迅速,甚至不用去专门的学习。

黑客喜欢自动攻击攻击有三个原因。第一个，也是最重要的一个，这些工具的使用，只需要非常少的技术，另外，开发人员通常将这些工具做为合法的渗透测试工具在黑客论坛或他们的网站上免费提供。
此外，它们可以使黑客只学习很少的技术，便可以非常快速的攻击大量的网站。
最后，被雇佣的攻击者使用这些仅仅在一段时间内有效的攻击工具，确实能够使服务器被盗用或遭到破坏。

现有一个好消息：
如果能够找到一种方法来发现和阻止自动攻击，你就可以发现是否有黑客在自动攻击你的站点。在本文中,我们将探索如何识别这些自动攻击工具在你的站点形成的恶意流量。

一.高传入请求率

最关键的一个标志就是，自动化攻击工具传入请求时的速度。根据Security strategy at data security company Imperva负责人 Rob Rachwald的指出，一个正常的用户访问者，不可能5秒内就生成超过1个http请求。相反，自动化攻击工具通常会每分钟产生70个以上—每秒超过1 个请求。正常访问者根本不可能产生这么多的请求。

乍一看,似乎发现一个自动化的黑客攻击事件是很很容易的，只要是达到每5秒超过1个请求的流量，就是自动化黑客攻击事件。但是，事情并没有这么简单。

首先，并不是所有自动化请求的流量都是恶意的：比如Google在索引你的网站以便潜在用户找到你的时候，便会产生大量的自动化请求流量。并不是所 有高速率的流量就是自动化攻击：比如，内容分发的网络或代理服务就可能会引起大量的流量和来源，但可能只是聚集了许多不同的用户。

但更重要的是，许多足够成熟的黑客都知道生成的请求率过高，会很容易被定位，他们有许多攻略来避免发现。Rachwald警告我们说，黑客有很多新的策略可以避免被发现。他们的策略可能包括：

1.有意减缓或暂停攻击工具的请求速率。使它们产生的流量模式看起来更像正常的用户访问。

2.同时攻击其它网站，这包括使用自动化攻击工具将传输请求轮流发送到不同的目标站点。所以，尽管这个工具会生成非常高的请求速率，在单个站点接收的流量上来看，和正常用户访问的速度是一样的。

3.使用多个主机来发动攻击，这是黑客攻击网站更加复杂的手段，没有来自一个单一并且容易辨认的攻击源IP地址。

因此，一个高传入请求率是一条线索，但不是一个确认自动化攻击的绝对的标识。我们还需要寻找更多的线索。

二.HTTP头

HTTP头对传入流量的性质提供了另一种有价值的线索。例如,自动化的SQL注入工具sqlmap,Havij,NetSparker都能在 HTTP请求头中正确地识别出它们自己用于描述性的用户代理字符串。这是因为这些工具是用于合法的渗透测试（尽管恶意的黑客也用它们）。同样，由Perl 脚本发起的攻击（Imperva指出Perl是黑客最喜欢的编程语言之一），可能会被贴上“libwww-perl”的用户代理标识。

显然，任何含有这些工具产生的用户代理字符串的流量都应该被阻止。当然，这些字符串是可以被改变的，但是非熟练的“新手”黑客客往往没有意识到这种诡计的方法。甚至这些字符串存在于首位。

既然工具不包含能够立即被识别的字符串，Imperva的研究已经发现，许多工具不会像常规浏览器的web请求中发送多种头信息。这些头信息包括： Accept-Language 和 Accept-Charset headers.

一个精明的黑客会配置他们的系统来添加这些头信息，但是许多黑客都不会这样做。没有这些Accept标头信息我们当然应该提高警惕。如果同时又存在高请求率，这便 提供了一个非常强烈的迹象证明这些流量是恶意的。

三.攻击工具特征

攻击工具所能执行的各种操作，是根据他们已被编码的功能，并且有一个有限的范围。Imperva发现，通过分析后来已经证实的自动攻击产生的流量记 录，有时候可以找到一些模型，如在SQL注入时在生成的SQL片段中产生的特定的字符串，可以识别唯一的一个在攻击中产生这些字符串的工具。（有时这些字 符串可能在工具的源代码中发现）。

这些特征可以制定防火墙阻止策略的基础规则，但需要注意的是，它们可能会在随后的版本的工具中改变这些特征。

四.异常的地理位置

Imperva发现约30%的高速自动化SQL注入攻击源自中国,其他攻击源自“异常”的国家如印度尼西亚和埃及。Rachwald表明可疑的访问量是来自任何一个不是你期望的访问者的国家。他说“如果你是一个在伦敦小型零售商店,为什么会有来自中国访问者?”。

在流量高峰期，从遥远地域而来的流量，就其本身而言，并不能证明什么。但结合一些其它的迹象，如缺失的Accept标头或一个高传入的请求速率，这就需要你更仔细的检查甚至完全阻止这些流量。

五.IP地址黑名单

当一个攻击被检测到时，它的源IP地址便能够记录下来。Imperva的研究小组发现,自动攻击通常都出自一个独特的IP，,单地址的平均时间为3 至5天。也有一些IP地址做为攻击源，产生持续恶意的自动化攻击流量达几周，甚至几个月。这意味着IP地址黑名单非常有利于防止从这个源继续进行恶意的自 动化攻击。云安全提供者可以利用这些有价值的黑名单来保护网站，这些能够用来保护用户的IP址黑名单来自受到自动攻击的客户所提供的信息。