撞库攻击在网络安全领域虽然是一件很常见的事情，但要成功实施一次攻击却不是一件容易的事情，毕竟如果要实现撞库，首先必须成功入侵一个网站，并获取到这个网站的所有用户的用户名和密码，然后再拿这些用户名、密码到另一个同类型的网站进行登录尝试，登录成功了才行。之所以说撞库攻击是一种常态，那是因为有不少用户习惯在不同的网站使用相同的用户名和密码，这就给黑客大开方便之门。

事件回顾

某天下午2点左右，网安信安全团队突然接到某企业报警，说他们APP平台突然出现了大量异常流量请求，怀疑是黑客攻击。经该企业允许后，网安信安全工程师第一时间登录该企业服务器进行查看，发现确实有接近平时200倍的异常登录请求。初步看了下，发现这些异常请求的IP来源非常分散，特征是在不断的尝试用户名、密码登录，并且已经破解了该企业APP平台的图形验证码，成功登录了几百个账号。种种迹象表明，这是一次典型的黑客撞库攻击行为。

解决过程

确定是黑客的撞库攻击后，网安信安全工程师首先想到的是如何禁止黑客的暴力登录，经过分析，网安信安全工程师发现黑客是通过某种比较高级的恶意工具在进行批量登录，请求来源IP非常分散，且每次都尝试不同的用户名和密码，想简单的采用封IP的方案行不通。

网安信安全工程师又对所有已发现的异常请求进行综合分析，发现它们具有相同的特征，就果断决定在nginx中对具有上述相同特征的请求进行拦截。整个过程大概花费了1个半小时，nginx策略生效后确实有效的把所有异常流量给封住了，又观察了半个小时，最终没有发现黑客有新的撞库动作。

这事到这里，你以为已经结束了吗？但并非如此。

当网安信安全工程师刚松口气的时候，突然发现该企业APP上有十几笔提币请求比较奇怪，它直接绕过了用户的Google身份验证码成功提币。这说明虽然以后不会再有新的撞库威胁，但之前已经有用户被黑客成功撞库了，黑客还通过用户的使用习惯成功绕过了用户的Google身份验证码，成功进行提币。

这就非常危险了，由于不知道具体有多少用户被成功撞库，最终带来的损失也无法估算。为此，网安信安全工程师立即调出该企业被攻击时间段内的所有登录请求日志进行分析，尝试找出哪些用户被黑客撞库成功了。

但单从登录日志并不能准确判断哪些用户是恶意登录，最后把在该企业遭受攻击的时间段内，所有成功登录过的用户信息全部调出，并假设这些用户都被成功撞库，然后批量给这些用户发短信进行提醒，并且第一时间把这些账号的密码置空，提醒用户马上登录平台修改密码。

提醒完用户后，网安信安全工程师还不放心，又对黑客异常登录请求日志进行了更加仔细的分析，最终发现：黑客在撞库成功后立刻就把该用户的个人信息全部用脚本保存了下来，显然是为了以后实施恶意攻击做准备，为安全起见，网安信安全工程师再次提醒该企业的用户在修改密码时，务必使用强密码。

事件总结

经过这次撞库攻击可以看出，黑客对该企业的情况非常清楚，证明发起攻击前做了很多准备工作，对该企业进行了比较周密的调查。同时也说明，黑客的攻击是无处不在的，攻击的手段也是无法想象的，只有事先做好了防护策略，才有可能降低攻击的风险。

因此，网安信安全团队提醒您：1、网站HTTP协议务必进行加密处理，否则容易被黑客拿到协议的内容，进行模拟。2、普通的图形验证码比较容易被破解，有必要改为语音验证或者滑动验证。3、增加更多风控模型，比如用户突然调换地点登录，需要进行异常标记或告警。4、最后建议借助第三方安全服务公司的力量，例如部署网安信达尔文云WAF服务，对各种撞库恶意工具进行自动识别，对所有恶意流量进行有效清洗。