来自 CC防护 2021-04-05 08:55 的文章

接入高防ip_简述_给自己的服务器加防御

接入高防ip_简述_给自己的服务器加防御

广告欺诈是当今导致广告业负面形象的诸多问题之一。与通过感染恶意软件影响最终用户的恶意广告不同,广告欺诈使广告商损失了数十亿美元的广告,而这些广告是真实人类从未见过的。我们今天所描述的案例展示了一些有趣的技巧,让人们在认为自己是在点击视频的播放按钮时点击伪装广告。最终目标是从看起来干净可信的流量中产生按印象付费和按点击付费的收入。此外,当用户在欺诈页面上时,骗子会跟踪鼠标的移动和点击,以便能够判断受害者是真人还是机器人。如果检测到后者,页面将自动重定向到谷歌为了防止任何意外和"污染"点击广告。很明显,当广告欺诈对他们很重要的时候,坏人也很关心…不同的手段,相同的目标犯罪分子从广告欺诈中获利的方式有很多种,最常见的是通过那些在用户不知情的情况下查看或点击广告的受损电脑(bot)。像Bedep这样的恶意软件可以在隐藏的桌面上模拟真实的用户活动,每天诈骗数百万的广告效果。去年底,一家专门从事广告欺诈研究的公司White Ops揭露了一个名为Methbot的大型运营,涉及一种不同的方法来产生数百万的欺诈广告收入。骗子们没有依赖终端用户机器,而是利用数据中心创建机器人农场。当你可以创建一支训练有素的广告欺诈机器人大军,在服务器机架上以最佳速度运行时,为什么还要为不可靠的消费PC而烦恼呢?有许多其他的方式来游戏广告生态系统,它们并不总是涉及感染机器或使用机器人农场。有时,广告欺诈可以以一种非常透明的方式进行,这种方式依赖于真实的人来执行一种行为,这使得反欺诈系统更难发现。例如,clickjacking,一种诱使用户点击某个实际上产生隐藏恶意行为的东西的技术,cc防御是什么,过去曾被用于进行点击欺诈。今天我们要看的这个案例实际上与我们之前写的一个点击劫持攻击有关。我们发现这一广告欺诈活动是通过一个高知名度的恶意广告链发现的,这个链通常会重定向到漏洞工具包。高流量成人网站的访问者会自动重定向到另一个成人流媒体视频页面。他们不知道的是,它完全是假的,在它的下面是网站显示付费广告,并为骗子的每一个印象和点击产生金钱。盖茨这里的情况是,一些流行的成人网站的流量将通过恶意广告被重定向到几个虚假博客中的一个,这些博客的主题从婚礼小贴士、病虫害防治或家用电器等无所不包。重定向链包括通过我们称之为"门"的强制通道,其目标通常是检查传入的流量并采取措施。在其中一个关卡中,我们注意到了一些有趣的代码,这些代码是为了在最初从malvertising重定向时,通过POST请求"指纹"访问者来收集他们的IP地址、用户代理和屏幕分辨率。图1:大门处的指纹代码(点击放大)这些信息通常是由大多数网站收集的,用于统计和优化目的,但是如果显式使用适当命名的获取指纹.php文件,我们可以假设欺诈者试图识别真实用户,而不是爬虫或重复访问同一页面。图2:从malvertising到gate的Web流量(单击放大)表面:成人画廊隐藏假博客内容对于搜索引擎和其他爬虫来说是非常重要的,因为它最终会给网站带来更多的价值。很久以前,ddos能防御的了吗,黑帽SEO罪犯使用了一种称为关键字填充的技术,目的是使网站在搜索引擎结果页面(SERP)中排名靠前,但现在很容易被发现。剽窃仍然是非常有效的,复制和粘贴从来没有这么简单。这是一种不费吹灰之力就能得到一些像样内容的廉价方法。在这个特别的活动中,我们看到了一些最近创建并充满了新博客条目的网站。没过多久,就发现了这些文章的来源:主要是像Ezine或Pinterest这样的网站。盗贼们甚至懒得修改任何措辞,waf防火墙能防御cc吗,他们只是复制/粘贴,在每个欺诈网站上填充几十个条目。图3:一个关于婚礼的虚假博客,内容被盗(点击放大)图4:Ezine上发现的假博客使用的原始内容(单击放大)如果你直接访问其中的一个网站,你会看到一个似乎是一个提供婚礼建议的网站,同时还附带了一些由谷歌DoubleClick提供支持的广告,这对于任何需要支付运营成本的网站来说都是很典型的。然而,只有爬虫最有可能直接访问这些网站,因为建立这些网站的动机非常明确:通过劫持流量欺骗广告商。一个包含成人图像的层被叠加,这样两个内容都显示在浏览器中,但是只有顶层(成人素材)对眼睛可见。图5:婚礼博客由于覆盖而变成了一个成人门户(点击放大)这一点很重要,因为骗子们想加载博客的底层内容,包括付费广告,这样他们就可以从广告印象中获利,同时诱使访问者认为他们还在访问他们的成人视频。图6:通过成人页面覆盖的广告印象欺诈图(点击放大)图7:从gate到假博客,再到广告(点击放大)窃取(真实)用户的点击这场广告欺诈活动的第一阶段是在展示隐藏广告的同时展示成人视频的缩略图,防御ddos攻击最好,但这还不是全部。用户被诱使点击来实际观看任何特定的视频,这将带我们进入第二部分,即点击付费(PPC)欺诈。用户只看到一个成人视频页面,但没有实际的视频可以播放,因为它只是一个屏幕截图,用播放按钮和时间条来模拟视频播放器。目标是让用户点击一个隐藏的广告,但必须经过一些验证检查,以确保点击来自真正的人类。这有点讽刺欺诈者检查机器人。图8:欺骗用户点击播放按钮的假视频页面示意图(点击放大)图9:隐藏的广告显示在视频的播放按钮上(点击放大)实际上,只需在浏览器的地址栏中单击即可显示隐藏的广告(如图9所示),这将导致横幅位于最前面。类似地,通过单击页面中的任何位置将焦点放回页面,将再次将横幅置于隐藏模式。骗子们使用JavaScript代码来检查用户的活动,特别是鼠标的移动和点击。实际上,机器人通常会执行非常程序化和可预测的操作,这些行为可以被检测为非真实人类活动的模式探测器.js谷歌会立即尝试从网页中检测出任何虚假的行为。图10:检查鼠标活动以确保单击是合法的(单击以放大)例如,如果检测到一个点击,但鼠标根本没有移动,这是一个可疑的行为。鼠标在特定时间帧移动到特定屏幕坐标也是如此。试图模拟用户活动的恶意软件通常会在屏幕上滚动或单击,但这些通常不是非常随机或足够独特的,它们会在受感染的机器之间重复出现。网络罪犯通过利用系统和人员的弱点赚钱,这些弱点使他们非常清楚需要避免的某些陷阱。我们已经看到在过去的恶意软件关闭了安全漏洞,允许它进入,甚至删除以前的感染。同样地,网吧防御ddos,当涉及到广告欺诈时,坏人非常清楚如何确保他们得到报酬,并减少被抓的机会。它还会清除浏览器后退按钮的URL历史记录,以便用户无法再次访问同一页面:图11:根据鼠标活动更改"backurl"(单击以放大)如果一个真正的人点击观看不存在的视频,他们实际上点击了隐藏的广告,从而为骗子们赚钱。不管是谁被骗了,很快就会意识到这只是浪费时间,而且没有真正加载视频。由于用户试图查看的内容的性质,用户不太可能举报这种欺诈行为。与此同时,这一行动背后的欺诈者正在为每一次浏览和点击赚钱。考虑到他们只需为便宜的流量付费,而不是更昂贵的谷歌广告,这是一个有利可图的商业模式。图12:从假博客到点击欺诈的网络流量(点击放大)与上一个活动的链接2016年1月,我们报道了一个利用新的欧洲浏览器cookie法律进行的点击劫持攻击。同样,用户被诱骗点击"我接受cookies",这实际上是点击了广告横幅,欺骗了合法的广告商。当时和现在使用的域名与"webhosting"这个词有着相似的模式,这当然是巧合,但值得注意的是,这两个活动都使用了clickjacking来滥用googleadsense。图13:来自欧洲cookie点击劫持活动的流量捕获另一个有趣的方面是过滤器的使用(即。过滤器.php, 进程.php)清除已经被列入黑名单的机器人或机器。这并不是我们在最初的博客文章中提到的,但是通过与过去的对比,我们可以看出这个想法非常相似,