在安全牛之前發佈的文章《Prolexic發佈2014年第一季度全球DDoS攻擊報告》中,我們瞭解到採用“反射放大”技術發起的攻擊流量比上一季度增加了39%,同時攻擊者也在不斷髮掘利用其他一些互聯網基礎服務來發動DDoS攻擊,例如今年3月安全公司Sucuri發現黑客利用超過16.2萬WordPress網站的Pingback功能進行大規模DDoS放大攻擊。
近日,新的研究表明,假冒谷歌爬蟲已經成爲第三大DDoS攻擊工具,詳情如下:
Incapsula研究人員在調查了搜索引擎在1萬家網站上的4億次搜索訪問後,發現超過23%的假冒谷歌爬蟲被用於DDoS攻擊,10.8%被用於竊取數據的惡意軟件、垃圾郵件和掃描器。
分析結果中的一些亮點對於很多對於SEO專業人士和網站運營者來說非常有趣:
谷歌的web爬蟲比其競爭對手(如MSN/Bing、百度和Yandex bots)的要活躍深入得多。
被谷歌爬蟲訪問次數多的網站,其自然流量份額並不會隨之增長,這意味着谷歌對網站並沒有特殊關照。
平均每個網站每天會被谷歌爬蟲訪問187次,每次訪問平均抓取深度是4頁。內容密集型以及頻繁更新的網站,例如論壇、新聞站點、大型電商網站被爬蟲光顧的次數較多。
由於谷歌依然是全球第一搜索引擎,因此絕大多數網站運營者都不會屏蔽谷歌爬蟲,但遺憾的是,這也導致假冒谷歌爬蟲得以大行其道,發起DDoS攻擊、剽竊內容、發送垃圾信息甚至入侵系統。
假冒的谷歌爬蟲能以谷歌的身份獲取網站信息,它們利用了谷歌爬蟲的HTTP(S)用戶代理——功能相當於一個訪客的ID。根據Incapsula收集的數據,超過4%的使用用戶代理的爬蟲都不是真正的谷歌爬蟲。
通過分析5000萬個假冒谷歌爬蟲會話數據,Incapsula發現高達34.3%的假冒爬蟲都是惡意的,其中23.5%被用於7層DDoS攻擊。
假冒谷歌爬蟲發起的DDoS攻擊讓網站經營者非常難辦:要麼屏蔽所有谷歌爬蟲,從搜索引擎中消失,要麼購買更多帶寬來防範DDoS。
假冒谷歌爬蟲的訪問通常來自殭屍網絡,排名靠前的流量大國依次是美國(25.2%)、中國(15.6%,編者按:多麼諷刺),土耳其(14.7%),巴西(13.49%)和印度(8.4%),而正牌的谷歌爬蟲則98%都來自美國。
好消息是,人們如今可以通過一系列安全手段精確識別假冒谷歌爬蟲,包括IP和ASN覈對——一種通過來源地識別爬蟲的技術流程,但遺憾的是,中小網站通常不掌握這些手段。