網站每日除了會獲得用戶的到訪,亦會接收不同機械人發出的流量。有調查發現,機械人程式在 2016 年發出的流量較人類的多,達 51.8%。該些機械人有好有壞,除了大家熟識的網站爬蟲程式,還有手機的內容擷取程式以及偽裝正當用戶的 DDoS 程式。
互聯網安全公司 Inperva 分析 100,000 個網站 167 億個流量,發表年度互聯網機械人流量報告。結果發現機械人流量佔 51.8%,用戶到訪的流量佔 48.2%。
眾多機械人程式之中有 28.9% 為惡意,當中以偽裝正當用戶的程式佔最多,達 24.3%。該些程式利用假的 User-agent 冒充正當機械人或者用戶,企圖繞過網絡保安進行 DDoS 等惡意活動。以近期廣為人知的惡意程式 Mirai 為例,它利用假的 User-agent 來冒充 Chrome 和 Safari 發出的流量。其它惡意機械人程式還包括黑客工具和垃圾留言生產器。
正當的機械人程式流量佔 12.2%,當中以內容擷取程式佔最多,達 12.2%。Facebook 等程式擷取網站內容後會把資料傳回手機程式內。其次就是為人熟識的網站爬蟲程式。
Inperva 又表示,該 100,000 個網站之中有 94.2% 在 90 日內經歷過機械人攻擊,反映自動程式的網站攻擊已成常態,不法分子企圖以漁翁撤網的方法入侵不受保護的網站。
Source : Inperva
