Content Component

三、垃圾信攻擊實錄：從每日 300 封開始的網站垃圾信攻防戰

當網站聯絡表單在短時間內大量湧入垃圾信，這已不僅是信箱干擾問題，同時也是一場明確的機器人填表攻擊。

若未即時處理，網站垃圾信可能持續放大，影響表單安全性，甚至拖累主機效能。

在本次案例中，客戶網站於高峰時期每日收到超過 300 封聯絡表單垃圾信。

我們並未立即全面封鎖，而是先進行網站垃圾信來源與攻擊模式分析，

從主機紀錄、表單資料與請求封包行為，拆解這場機器人填表攻擊的邏輯。

唯有理解攻擊行為，才能真正提升表單安全，而不是讓網站防護持續落後。

3.1 攻擊特徵分析：辨識俄羅斯垃圾信的關鍵指標

透過後台日誌與主機流量紀錄，我們確認這波網站垃圾信屬於高度集中、具規模性的攻擊行為。

其核心特徵如下：

① 俄羅斯來源 IP（Russian-Origin Traffic）

超過 90% 的異常請求來自特定區域。

這種俄羅斯垃圾信具有地域性集中特徵，即使部分 IP 透過 VPN 轉換，

整體流量仍呈現高度聚集狀態，顯示攻擊並非零散個體行為。

② Cyrillic 俄文字元（斯拉夫語系內容）

網站垃圾信內容大量出現 Cyrillic 字元，如「Ура」「Супер」「Отличные」等。

對台灣本地企業網站而言，這類語系內容屬於極低機率事件，

因此可作為辨識俄羅斯垃圾信的重要依據。

③ Zoomberep 重複填寫特徵

Zoomberep 為本次機器人填表攻擊的固定識別字串。

攻擊程式反覆使用此名稱測試網站對關鍵字的防禦規則，

屬於自動化腳本常見的試探型行為。

當「俄羅斯來源 + Cyrillic 字元 + 固定關鍵字重複」三項特徵同時出現，

便可高度確認網站垃圾信屬於機器人填表攻擊，而非單一誤填。

3.2 機器人填表攻擊模式拆解：為何傳統防火牆難以因應？

這波網站垃圾信並非低階群發，而屬於具備動態調整能力的機器人填表攻擊，

其策略包括：

① 關鍵字變異（Keyword Polymorphism）

當特定單字遭到封鎖，攻擊腳本會迅速產生變異字串，

以測試表單安全機制的更新速度。

單純以關鍵字為核心的防護，難以長期有效。

② 欄位隨機填寫

攻擊內容會隨機散佈於不同表單欄位，

包括姓名、公司名稱、地址與需求說明。

這種填寫策略專門針對只檢查單一欄位的網站防護設計。

③ 自動重試邏輯（Auto Retry）

當網站防火牆回傳 403 或提交失敗，

機器人會自動等待數秒並更換請求特徵再次提交。

這也是網站垃圾信在短時間內快速倍增的原因。

由於此類機器人填表攻擊具備自動調整與偵測能力，

傳統單層 CAPTCHA 或單一防火牆規則難以全面提升表單安全。

若主機層級未同步加強防護，垃圾信將持續消耗網站資源。

四、階段性防禦升級全紀錄（2/5 - 2/25）

面對持續進化的機器人填表攻擊，我們採取漸進式強化策略，非一次性修補。

網站垃圾信防護必須從基礎驗證到主機層級同步加壓，透過多層次架構逐步壓縮攻擊空間。

以下為三週內完成的網站垃圾信防護升級路徑。

4.1 第一階段：基礎門檻建立（CAPTCHA + 格式驗證）

📅 日期：2/5 - 2/6

首先，在聯絡表單加裝 CAPTCHA 驗證碼，建立最基本的人機辨識門檻。

可以有效過濾低階群發腳本，減少初期垃圾信流量。

同時強化欄位格式驗證規則，包括：

• Email 必須符合 RFC 格式
• 電話欄位需符合數字邏輯
• 必填欄位不得為隨機亂碼

這一步提升了表單安全基準，讓最低階的網站垃圾信無法成功提交。

4.2 第二階段：Honeypot 蜜罐機制 + IP 流量控管

📅 日期：2/9

針對能繞過 CAPTCHA 的機器人填表攻擊，我們部署了 Honeypot 蜜罐機制。

在 HTML 中新增對人類使用者不可見、但機器人會自動填寫的隱藏欄位。

只要該欄位被填入資料，即判定為機器人攻擊並直接中止處理流程。

• 封鎖高風險地區來源 IP
• 限制異常重複請求
• 強化主機層級流量過濾

此階段有效降低機器人填表攻擊的提交成功率。

4.3 第三階段：前端 Javascript 即時監控

📅 日期：2/11 - 2/12

攻擊腳本開始模擬真人行為，試圖避開後端攔截。

為提升表單安全等級，我們導入前端即時監控機制：

• 即時偵測 Zoomberep 等攻擊特徵字串
• 監控 Cyrillic 語系輸入
• 異常內容自動清空並阻止送出

此階段的效果十分顯著，

網站垃圾信數量從每日約 300 封快速下降至約 15 封，攻擊壓力明顯降低。

4.4 第四階段：PHP 全欄位深度掃描（伺服器端強化）

📅 日期：2/23

為防止機器人將垃圾內容轉移至不同欄位，我們升級伺服器端防火牆邏輯。

系統改為對整個 $_POST 資料進行全欄位掃描，不再僅檢查單一輸入欄位。

• 黑名單關鍵字
• 異常字元模式
• 語系特徵判斷

一旦觸發規則，伺服器直接中止請求並回傳錯誤碼，阻止垃圾信進入郵件寄送流程。

此步驟同時減輕主機負擔，提高整體網站穩定性。

4.5 第五階段：Cyrillic 語系特徵封鎖

📅 日期：2/23

由於俄羅斯垃圾信會持續更換關鍵字，我們改為從語系層級進行辨識。

透過正則表達式偵測 Cyrillic 字元範圍（\x{0400}-\x{04FF}）。

只要提交資料包含斯拉夫字母，即視為高風險垃圾信並直接攔截。

此方法有效解決關鍵字變異問題，降低機器人填表攻擊成功機率。

4.6 成效結果：

2/24 起，網站聯絡表單垃圾信成功歸零（0 封）。

防護升級後，網站垃圾信量從每日 300 封降至 0 封，下表為實際數據紀錄。

五、為什麼語系偵測比關鍵字黑名單更有效？

在網站垃圾信防護實務中，許多管理者第一時間會建立「關鍵字黑名單」，

例如封鎖 Zoomberep 或特定俄文單字。

然而，單純依賴關鍵字比對，防禦效果短暫且被動。

當機器人填表攻擊具備動態調整能力時，防禦策略必須升級至語言結構層級。

5.1 關鍵字比對的致命弱點

關鍵字封鎖看似直觀，但存在幾個結構性問題：

① 容易被變異字串繞過

例如 Zoomberep 可變更為 Zoomberep1、Zoom-berep、Zo0mberep 等形式，

只需一個字母差異，即可避開黑名單規則。

② 維護成本高

每當出現新關鍵字，就必須手動更新規則。

這種方式屬於被動式追逐攻擊模式。

③ 無法處理語意變化

機器人可隨機生成不同字串，若沒有固定特徵，單一黑名單機制難以長期穩定運作。

這也是為何許多網站即使不斷更新黑名單，垃圾信仍反覆出現。

5.2 語言字元級別封鎖原理

相較於封鎖「單字」，語系偵測是封鎖「字元集合」。

以本次俄羅斯垃圾信為例，所有攻擊內容皆包含 Cyrillic（斯拉夫字母）字符。

這類字元在 Unicode 編碼中具有明確範圍：

\x{0400} - \x{04FF}

透過正則表達式比對字元範圍，而非單一單字，即可達成以下效果：

• 不需關心對方使用哪個俄文單字
• 不需逐一新增黑名單
• 直接針對語言結構進行判斷

這屬於語言層級的機器人填表攻擊阻斷機制，也是提升表單安全性的關鍵步驟。

5.3 如何阻止變異型垃圾訊息？

變異型垃圾信的核心策略，在於快速生成不同字串來逃避偵測。

語系特徵封鎖可有效解決這個問題，因為：

• 無論關鍵字如何改變
• 無論攻擊腳本如何混淆拼法
• 只要包含 Cyrillic 字元

系統即視為高風險提交並進行攔截。

這種防護方式，從「追關鍵字」轉變為「判斷語言結構」，攻擊者的變異空間將大幅縮小。

5.4「物理層級封鎖」的概念解析

所謂物理層級封鎖，並非實體硬體操作，是指：

在資料尚未進入應用層邏輯之前，於伺服器層級直接中止請求。

流程為：

1. 表單送出
2. 伺服器接收 $_POST
3. 進行字元集判斷
4. 若符合俄文語系範圍
5. 立即回傳錯誤碼並終止流程

此時：

• 郵件不會寄出
• 資料不會寫入資料庫
• 主機資源消耗降至最低

這類封鎖方式比單純前端驗證更具穩定性，也更符合網站垃圾信防護的長期策略。

參考文章：Unicode Block: Cyrillic

七、垃圾信歸零背後的關鍵成功因素

在實務上，多數網站管理者面對網站垃圾信時，往往採取「新增黑名單 → 等待繞過 → 再新增規則」的循環模式。

這種見招拆招的方式，難以從根本提升聯絡表單防護與整體網站安全。

本次專案能將每日 300 封網站垃圾信成功降至 0 封，關鍵在於以下三項核心策略。

7.1. 從關鍵字封鎖，升級為攻擊邏輯封鎖

傳統垃圾信防護多以單一關鍵字為核心，例如封鎖 Zoomberep 或特定俄文字串。

機器人填表攻擊具備動態變異能力，單純字串封鎖難以長期穩定。

我們改採「特徵辨識」思維：

• 分析機器人提交資料的語言結構
• 辨識高風險字元集
• 從 Unicode 編碼層級進行判斷

透過 Cyrillic Blocking（斯拉夫字母辨識），將防禦從單字層級提升至語系層級。

當防護邏輯鎖定底層字元結構時，單字變形與拼法混淆將不再構成威脅。

這種策略讓網站垃圾信防護從被動追逐轉為主動阻斷。

7.2. 持續監控與動態規則優化

網站安全並非一次性設定，而是持續觀察與調整的過程。

在 2/5 至 2/25 期間，我們透過主機日誌與表單紀錄，進行滾動式優化：

• 每日分析殘留垃圾信內容
• 比對攻擊來源與特徵
• 觀察機器人是否更換欄位填寫策略
• 追蹤 403 回應比例與提交變化

這種資料導向的調整模式，使聯絡表單防護能隨著攻擊行為演進，而非停留在固定規則。

最終在語系層級封鎖機制導入後，網站垃圾信穩定歸零。

7.3. 控制誤判風險，維持表單安全與轉換率平衡

在提升網站防護強度的同時，另一項關鍵任務是避免誤判（False Positive），確保正常客戶諮詢不受影響。

我們進行了多輪驗證：

• 模擬正常中文與英文填寫流程
• 測試境外合法使用者提交
• 分析主機錯誤碼與阻斷比例
• 觀察實際成功送達率

俄文語系封鎖僅應用於聯絡表單提交流程，不影響網站瀏覽與其他功能模組。

這種精準分流策略，使網站在達成高強度垃圾信防護的同時，仍維持良好的使用者體驗與轉換效率。

7.4 最終成果

經過三週分階段升級：

• 每日網站垃圾信從 300+ 封降至 0 封
• 主機負載明顯下降
• 聯絡表單成功送達率提升
• 行政處理效率恢復正常

聯絡表單重新回到其本質——接收真正的客戶需求。

如果您的網站近期出現：

• 大量境外垃圾信
• Zoomberep 或俄文字元填表
• CAPTCHA 形同虛設
• 表單提交量異常增加

根據 OWASP 指出，單純以黑名單與靜態規則阻擋機器人，

在面對變異型攻擊時通常難以長期有效。 （來源： OWASP – Blocking Bots in Web Applications）

八、常見問題 FAQ（網站垃圾信防護專區）

Q1：為什麼封鎖俄羅斯 IP 還是沒用？

A：現代的垃圾信機器人常使用代理伺服器（Proxy）或虛擬私人網路（VPN）來跳轉 IP。

即使您封鎖了整個俄羅斯 IP 段，機器人仍能透過美國、日本或台灣本地的 IP 進行攻擊。

因此，單純靠 IP 封鎖仍不足，必須結合「語系特徵辨識」與「行為監控」才能從根本阻斷。

Q2：語系封鎖會誤判嗎？

A：我們的防護機制是針對「特定字元集（如俄文 Cyrillic）」進行精準辨識。

除非您的客戶群確實會使用俄文填寫表單，否則對於繁體中文、簡體中文、英文的正常諮詢，

這套系統完全不會造成誤判。

Q3：網站使用 Joomla / WordPress 可以做嗎？

A：可以。

無論您是使用 Joomla 的 RSForm、或是 WordPress 的 Contact Form 7、Elementor Form，

這套三層式防禦邏輯都能透過後端腳本（PHP）或外掛程式進行客製化部署， 並不侷限於單一網站系統。

Q4：這套防護是否會影響正常使用者體驗？

A：不會。

所有的監控與攔截過程都在背景執行，速度極快。

正常的訪客在填表時完全感覺不到防線的存在，

只有當系統偵測到黑名單關鍵字或非正規字元時才會觸發攔截。

Q5：網站被攻擊會影響 SEO 排名嗎？

A：會。

如果網站持續發送或接收大量垃圾郵件，

伺服器可能被列入黑名單，導致網站信譽下降。

此外，頻繁的機器人請求會消耗伺服器資源，降低網頁載入速度，

進而對 Google 的搜尋排名產生負面影響。