搜索引擎的普及

　　網(wǎng)絡(luò )上信息量非常巨大，如果沒(méi)有搜索引擎，用戶(hù)將很難找到自己需要的東西。從第一個(gè)互聯(lián)網(wǎng)搜索工具Archie出現以來(lái)，我們走過(guò)了很漫長(cháng)的路，早期的搜索引擎隨后讓路給“爬行式”類(lèi)型的搜索引擎，而爬行式搜索引擎從最開(kāi)始的WebCrawler，然后再到Magellan、Excite、AltaVista和Yahoo!。而自2000年以來(lái)，谷歌從開(kāi)始統領(lǐng)搜索行業(yè)，雖然最近谷歌受到微軟Bing的挑戰，但似乎也未能撼動(dòng)谷歌在搜索界的地位。

　　有了所有這些搜索引擎，以及每天返回數百萬(wàn)搜索結果，這也成為攻擊者誘人的攻擊目標。其中攻擊者發(fā)動(dòng)攻擊或者傳播惡意軟件所使用的最普遍的方法就是引誘不知情的網(wǎng)絡(luò )用戶(hù)到包含惡意代碼的網(wǎng)站。除了能夠將用戶(hù)直接帶到惡意網(wǎng)站外，SEO中毒攻擊還能夠在受歡迎的合法網(wǎng)站使用跨站腳本攻擊技術(shù)。攻擊者如何為他們的惡意網(wǎng)站獲取更多的流量而不是通過(guò)操作搜索引擎，以讓攻擊者的網(wǎng)址來(lái)替代位于搜索結果前列的合法網(wǎng)站的網(wǎng)址》

　　搜索引擎優(yōu)化的工作原理

　　SEO技術(shù)是指合法網(wǎng)站為了增加其網(wǎng)站流量和使用的搜索引擎優(yōu)化技術(shù)。當用戶(hù)使用搜索引擎搜索某關(guān)鍵字或者短語(yǔ)時(shí)，他通常只會(huì )看搜索結果的第一頁(yè)或者前兩頁(yè)，所以說(shuō)，網(wǎng)站在搜索結果中的排列名次越靠前，搜索者就越可能訪(fǎng)問(wèn)你的網(wǎng)站。SEO這個(gè)詞最早出現在90年代后期，當時(shí)網(wǎng)絡(luò )設計師剛開(kāi)始注意到他們如何才能夠讓他們的網(wǎng)站排在搜索引擎的前幾頁(yè)。在早期，可以簡(jiǎn)單地通過(guò)在網(wǎng)頁(yè)的元數據插入熱門(mén)關(guān)鍵字來(lái)操控搜索結果，但是現在搜索引擎算法變得越來(lái)越復雜以避免這種問(wèn)題。

　　現在，很多搜索引擎將他們的排名標準當作最高的機密，據稱(chēng)，谷歌使用了超過(guò)200個(gè)因素，而搜索引擎優(yōu)化者則使用很多不同的方法，例如：

　　1、橫向鏈接相同網(wǎng)站的頁(yè)面。

　　2、關(guān)鍵字堆砌：在meta標簽中或者網(wǎng)頁(yè)內容中反復使用熱門(mén)關(guān)鍵字，通常是通過(guò)將字體顏色融合到背景中或者放在圖片后面，讓網(wǎng)站訪(fǎng)問(wèn)者無(wú)法看到。被“塞滿(mǎn)”的網(wǎng)頁(yè)有時(shí)候被稱(chēng)為“中毒”網(wǎng)頁(yè)。

　　3、“垃圾評論”或者“垃圾索引”：在很多博客的評論中粘貼網(wǎng)站鏈接。

　　4、“鏈接養殖場(chǎng)”：網(wǎng)站集群，所有集群中的網(wǎng)站都互相鏈接。

　　搜索引擎也發(fā)布了改善網(wǎng)站排名的可行方法的指導，而使用這些指導以外的方法將會(huì )被認為是不合理的，而試圖“戲弄”搜索引擎算法的技術(shù)一般被稱(chēng)為“黑帽SEO”，通常使用卑鄙的技術(shù)來(lái)獲取更多的流量，而當網(wǎng)站是惡意網(wǎng)站時(shí)，就變成了SEO中毒攻擊。

　　攻擊2.0

　　SEO中毒攻擊可以說(shuō)是攻擊2.0的一部分，也就是說(shuō)，它屬于日益復雜化攻擊的一部分，攻擊者們開(kāi)始使用越來(lái)越復雜的技術(shù)。這些中毒攻擊者通常都會(huì )瞄準最受歡迎的搜索條件以攻擊最大數量的受害者。據估計，在谷歌搜索結果中排名最高的網(wǎng)站中有超過(guò)十分之一為惡意網(wǎng)站。最近，SEO攻擊開(kāi)始攻擊的是關(guān)于蘋(píng)果公司iPad和iPhone4的信息，因為這兩個(gè)都是最熱門(mén)的話(huà)題。但是由于這些攻擊慢慢被大家所了解，SEO攻擊者將會(huì )很快轉移到下一個(gè)熱門(mén)話(huà)題，這種快速轉移的能力就是他們成功的關(guān)鍵。

　　攻擊者現在正在使用自動(dòng)化工具，使他們能夠更簡(jiǎn)單地使用黑帽SEO技術(shù)來(lái)利用現在最熱門(mén)的信息，而且通常都會(huì )與某些悲劇結合：地震、莫斯科自殺爆炸時(shí)間、名人死亡等等，任何能夠獲取大量點(diǎn)擊的信息都成為惡意攻擊者的棋子。

　　攻擊者使用的很多搜索引擎優(yōu)化工具(應用程序，通常作為PHP腳本編寫(xiě)，能夠生成中毒網(wǎng)頁(yè)以重定向訪(fǎng)問(wèn)者到惡意網(wǎng)站)都能夠對用戶(hù)進(jìn)行區分，直接訪(fǎng)問(wèn)網(wǎng)站的一般用戶(hù)，和從搜索引擎或搜索引擎抓取工具訪(fǎng)問(wèn)網(wǎng)站的用戶(hù)。然后，用戶(hù)會(huì )被重定向到惡意網(wǎng)站。Sophos公司的最新研究報告就分析了自動(dòng)化的過(guò)程，請點(diǎn)擊此處下載。

　　攻擊者如何破壞合法網(wǎng)站來(lái)插入他們的重定向工具呢?在某些情況下，他們是利用內容管理系統中的漏洞。而在其他情況下，他們可能是通過(guò)利用托管網(wǎng)絡(luò )服務(wù)器中的漏洞來(lái)攻擊網(wǎng)站。當攻擊者能夠滲透網(wǎng)站后，他們就會(huì )上傳并安裝SEO應用程序，該應用程序能夠動(dòng)態(tài)生成SEO頁(yè)面并從搜索結果中提取文本，使用任何主流搜索引擎。最新熱門(mén)關(guān)鍵詞都能夠在網(wǎng)上找到，例如Google Trends。元數據從搜索引擎結果中被提取出來(lái)并添加到SEO頁(yè)面的鏈接中，被生成的內容同樣可以由SEO工具進(jìn)行緩存。

　　SEO頁(yè)面鏈接到其他SEO頁(yè)面，這樣他們就會(huì )被搜因，和/或鏈接到張貼在其他合法網(wǎng)站的論壇、博客評論、留言薄、社交網(wǎng)絡(luò )狀態(tài)更新等中的SEO頁(yè)面。這樣就能讓攻擊者的SEO頁(yè)面被搜索引擎賺取工具進(jìn)行索引。

　　當用戶(hù)點(diǎn)擊中毒搜索結果時(shí)，請求就會(huì )被重定向到惡意網(wǎng)站。實(shí)現重定向的一種方式就是使用PHPheader()函數來(lái)發(fā)送重定向狀態(tài)代碼給用戶(hù)的網(wǎng)絡(luò )瀏覽器。JavaScript或者其他主動(dòng)內容也能夠用來(lái)重定向用戶(hù)。

　　如何保護企業(yè)免受SEO攻擊

　　如何保護企業(yè)免受SEO中毒攻擊呢?最大的問(wèn)題在于，抵御基于網(wǎng)絡(luò )攻擊的傳統保護措施，例如URL過(guò)濾，都會(huì )變得無(wú)效，因為攻擊者使用的是合法網(wǎng)站來(lái)重定向訪(fǎng)問(wèn)者。而內容檢查和過(guò)濾以及有效載荷檢測則更加有效，以防止惡意內容攻擊用戶(hù)。

　　教育用戶(hù)是很好的辦法，告訴他們SEO攻擊者常用的一些攻擊技術(shù)。例如中毒網(wǎng)頁(yè)可能會(huì )重定向用戶(hù)到“惡意門(mén)戶(hù)網(wǎng)站”，在這些網(wǎng)站中用戶(hù)會(huì )看到很多病毒攻擊警報和安全提示，提示用戶(hù)要安裝假的殺毒軟件，而其實(shí)是惡意代碼。還應該提醒用戶(hù)，當搜索有關(guān)人們話(huà)題的新聞時(shí)，不要依賴(lài)于搜索引擎的結果，而應該通過(guò)向瀏覽器輸入可靠新聞網(wǎng)站的網(wǎng)址來(lái)直接查看新聞。其他方法還包括啟用瀏覽器的安全功能，特別是當用戶(hù)訪(fǎng)問(wèn)未知或者不可信任的網(wǎng)站時(shí)，并且當突然提示要求安裝殺毒軟件或者惡意軟件防御工具時(shí)永遠不要點(diǎn)“Yes”或者“確認”。管理員應該確保用戶(hù)的操作系統安裝了所有安全更新，并且所有用戶(hù)都運行著(zhù)殺毒軟件和防惡意軟件。