盡管機器人攻擊比以往任何時候都更加普遍，但圍繞它們存在一些未經(jīng)證實的神話。 

通過了解這些誤區(qū)，您將能夠更好地保護您的網(wǎng)站免受潛在損害并讓您的客戶滿意。以下是七個最常見的機器人神話及其真相。

1.防火墻將阻止復雜的機器人攻擊

73%的企業(yè)認為遺留 WAF 將保護他們免受機器人攻擊。  

WAF 是保護 Web 應用程序的第一道防線之一。它涵蓋了最關鍵的風險，包括但不限于OWASP Top 10。 WAF 可用于通過創(chuàng)建 WAF 規(guī)則來阻止惡意機器人程序。它的基本緩解措施包括應用速率限制來管理可疑的 IP 塊機器人攻擊。

然而，沒過多久。黑客想出了一種繞過 WAF 防御的方法。 

此外，許多機器人通過針對“業(yè)務邏輯”來攻擊網(wǎng)站。 

例如，機器人可以找到商品并將其放入購物車，同時在另一個網(wǎng)站上轉售。一旦另一筆交易完成，銷售就完成了。它沒有利用代碼中的任何缺陷。 

為了防止機器人攻擊，您需要一個隨著威脅的不斷發(fā)展而發(fā)展的機器人管理解決方案。 

2.分布式拒絕服務 (DDoS) 保護將保護企業(yè)免受機器人攻擊

77%的企業(yè)認為這是可能的——然而，這是一個錯誤的假設。當然，自動化是所有自動化攻擊的共同點。 

讓我們看看混淆是從哪里開始的：DDoS 攻擊涉及僵尸網(wǎng)絡（由服務器組成的連接設備的集合）。這會使網(wǎng)站不堪重負，并最終使其脫機。 

網(wǎng)站上的機器人攻擊的最終目標不同。他們利用工作場所進行惡意活動。這樣它就不會完全關閉受害系統(tǒng)。大多數(shù) DDoS 保護解決方案都依賴于速率限制策略。 

大多數(shù)機器人通過進行低速和慢速攻擊來逃避保護。 

3.攻擊機器人主要來自俄羅斯

令人震驚的是， 62%的企業(yè)認為與機器人攻擊相關的風險來自俄羅斯。這不是真的。盡管許多攻擊都來自這些地區(qū)，但對網(wǎng)站的機器人攻擊來自世界各地。 

超過51%的威脅來自美國。企業(yè)需要警惕的bot攻擊，都是以盈利為目的的本地攻擊。從長遠來看，僅僅根據(jù)國家來防止交通是不夠的。Bot 攻擊還可以冒充來自其他國家/地區(qū)的合法用戶，從而使限制變得毫無意義。

4.僅驗證碼就足以保護機器人

Captcha 只是增加了一個手動步驟來區(qū)分機器人和人類。今天的機器人更加復雜，可以輕松繞過傳統(tǒng)的驗證碼。驗證碼存在可訪問性問題，并增加了客戶旅程的摩擦。 

您需要一個強大的爬蟲程序管理解決方案來準確保護您的站點。同時，它必須允許您的用戶在處理您的業(yè)務時免去解決驗證碼的麻煩。

5.機器人購買只能在暗網(wǎng)上進行

62%的企業(yè)認為機器人只能在暗網(wǎng)等地方購買。然而，今天，我們發(fā)現(xiàn)公共網(wǎng)絡上的每個人都可以使用機器人程序和用戶名和密碼數(shù)據(jù)庫。

找到要出售的機器人很簡單，特別是如果您想獲得難以找到或限量版的商品，如珠寶或運動鞋，這些商品是公開出售給消費者的。人們發(fā)起機器人攻擊的另一種方式是聘請專業(yè)黑客發(fā)起機器人攻擊。這意味著更多人將能夠破壞網(wǎng)站、接管帳戶、利用黃牛機器人并擾亂業(yè)務。

6.大多數(shù)機器人操作員都是罪犯

Bot 開發(fā)者不一定是垃圾郵件制造者。一些攻擊者受到經(jīng)濟利益和報復的驅使。它可能是一個普通人試圖訪問一個非常令人垂涎的在線產(chǎn)品。

購買商品進行轉售時，使用機器人不是犯罪。然而，在美國和英國，擬議的立法正在發(fā)揮作用以禁止它，但尚未獲得批準。 

7.機器人攻擊在假日購物季最為頻繁

假日購物季是電子商務行業(yè)的關鍵時期。因此，機器人攻擊在這個季節(jié)總是會增加，以破壞零售商的底線。 

但是，同樣重要的是要了解機器人攻擊可以在一年中的任何時候對您的企業(yè)造成影響。它可能是由新產(chǎn)品發(fā)布驅動的。 

如何阻止機器人對網(wǎng)站的攻擊？

讓我們看一下您可以實施的一些主動步驟來防止機器人攻擊：

• 評估和監(jiān)控傳入流量及其來源：您的網(wǎng)站跳出率是否很高？您是否注意到來自單一來源的大量流量？通過復雜的工具和人類專業(yè)知識對機器人流量進行識別和分類對于發(fā)現(xiàn)不良機器人流量的跡象是必要的。
• 阻止或捕獲過時的用戶代理/瀏覽器：許多工具和腳本的默認配置提供主要是過時的用戶代理字符串列表。盡管現(xiàn)代瀏覽器強制自動更新、分析和阻止 CAPTCHA 瀏覽器版本的風險很低，但這一點很重要。
• 監(jiān)控失敗的登錄嘗試：一種方法是設置失敗的登錄嘗試基線。然后可以監(jiān)控此基線是否存在任何異常或尖峰。您可以設置警報，以便在它們發(fā)生時立即通知您。
• 保護所有機器人訪問點：禁止從這些站點訪問可能會阻止攻擊者攻擊您的網(wǎng)站、API 和移動應用程序。

結論

對于企業(yè)來說，了解機器人帶來的最新威脅非常重要。揭穿這些神話有助于清楚地了解與惡意機器人行為相關的風險。這將幫助您和您的團隊創(chuàng)建最佳路線圖，幫助您的組織獲得實時可見性以保持無機器人程序。