建站者必须知道的常见网络安全攻防知识

本文是笔者在2018-09-13撰写的文章，原文请点击“查看原文”。

网络攻击的方式要分为四类：

• 第一类是服务拒绝攻击，包括死亡之ping(ping of death)、泪滴(teardrop)、UDP洪水(UDP flood)、SYN洪水（SYN flood）、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。
• 第二类是利用型攻击，包括口令猜测、特洛伊木马、缓冲区溢出。
• 第三类是信息收集型攻击，包括地址扫描、端口扫描、反响映射、慢速扫描、体系结构探测、DNS域转换、Finger服务、LDAP服务等。
• 第四类是假消息攻击，主要包括：DNS高速缓存污染、伪造电子邮件。

DOS攻击

攻击描述

DOS攻击通过协议方式，或抓住系统漏洞，借助代理服务器模拟多个用户不停的对网站进行访问请求，集中对目标进行网络攻击，让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，例如疯狂Ping攻击。

危害说明：

服务器资源耗尽，停止响应；技术门槛较低，效果明显。

处理方法：

1. 扩展访问列表是防止DOS攻击的有效工具，例如Show IP access-list。
2. 让路由器具备TCP拦截功能，在对方发送数据流时可以很好的监控和拦截。
3. 防止DOS攻击的根本是利用设备规则来合理的屏蔽持续的、高频度的数据冲击。
4. 对用户操作进行记录，高于一定频率则禁封访问ip。

ARP攻击

攻击描述：

通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

危害说明：

攻击者计算机不堪重负，网段中其他计算机联网时断时续（因为有时能收到真实的网关ARP信息）。网段所属的交换机不堪重负，其他计算机完全无法上网。

处理方法：

1. 安装ARP防火墙：360安全卫士（内置）、金山贝壳ARP专杀、金山卫士
2. 安装专门的杀毒软件: 利用局域网ARP欺骗检测工具来确定ARP攻击源，然后利用ARP专杀工具进行杀毒。
3. 通过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址，在局域网中的每台电脑中实现静态ARP绑定。

XSS攻击

攻击描述：

攻击者通过在链接中插入恶意代码，用户一旦点开链接，攻击着能够盗取用户信息。攻击着通常会用十六进制链接编码，提高可信度。网站在接收到包含恶意代码的请求之后会产成一个看似合法实则包含恶意代码的页面。

危害说明：

攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦得手，他们可以盗取用户名，修改用户设置，盗取/污染cookie，做虚假广告等。

处理方法：

1. 网站开发者：验证所有输入数据，检测攻击；对所有输出数据进行适当的编码。
2. 用户：在浏览器设置中关闭JavaScript。如果使用IE浏览器，将安全级别设置到“高”。

在防护时应在客户端、服务器均做防护，因为客户端很容易绕过，攻击者找到后台接口之后任然可以进行XSS注入。防护时要么对<、>、script、div等等字符直接屏蔽,要么将其进行编码转换。（PS：这次我就是被XSS注入了 o(╥﹏╥)o ）

SQL注入

攻击描述：

通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，“#”、“'”、“--”、“' or 1=1 ' ” 等sql注入最常见。

危害说明：

数据库入侵，用户信息泄露，数据表被篡改，数据库被篡改比网页文件被篡改危害大得多。

处理方式：

1. 在客户端、服务器、数据库均进行SQL铭感字符过滤；
2. 限制 Web 应用程序所用的数据库访问帐号权限。

在做防护时同样可以有直接屏蔽和sql转码两种方式，要么直接屏蔽掉含有sql敏感字符的输入并予以警告，要么对其sql敏感字符进行转码，用 &+自定义字母 等字符进行替换。

域名攻击

攻击描述：

通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址，使得域名被盗或DNS域名劫持。

危害说明：

失去域名控制权，域名会被绑定解析到黑客网站，被泛解析权重会分散，引起搜索引擎、安全平台不信任从而降权标黑。

处理方法：

1. 选择大型知名域名注册商，填写真实信息，锁定域名禁止转移；
2. 保证域名注册邮箱安全；
3. 选择大型稳定域名解析商：锁定解析。

PS：这种攻击如果是选用亚马逊、阿里云、腾讯云等知名云计算服务平台的云主机一般不会出现域名攻击，因为这些公司都把这些安全措施做好了，但是如果是自己搭建云服务器那就得注意了，特别是学校、企业等。

嗅探扫描

攻击描述:

网络嗅探也叫网络监听，是将网络上传输的数据未经用户许可进行捕获并进行分析的一种行为。许多网络入侵往往伴随着网络嗅探行为，许多网络攻击也都借助于网络嗅探，如著名的会话劫持。

危害说明:

攻击者窃取数据包，而数据包中一般会包含很多重要的隐私信息。这些信息主要包括帐号名称、口令密码信息、捕获专用的或者机密的信息、 私人信息数据 等。

处理方法:

1. 探测网卡是否处于混杂模式；通过防火墙，实时观看目前网络带宽的分布情况。
2. 数据加密技术：对帐号、口令和那些敏感私密数据进行加密传输,网站中使用https最好。
3. 使用安全拓扑结构，但花销很大。

PS: 这种攻击方式也是经常出现的，之前在信息安全课上黄教授布置了一个作业：自己搭建一个WiFi让室友连上，让室友登录学校教务网试图获取他的教务网账号密码。其实这个就属于嗅探扫描，它属于在网络传输过程中劫持信息的一种攻击方式。所以平时商场WiFi、车载WiFi、家用WiFi等使用时一定要谨慎，最好是使用数据流量，防止个人信息泄露，家用WiFi最好设置安全性高一点的WiFi防火墙，防止第三者侵入家庭网络。

病毒攻击

攻击描述

黑客向宿主计算机中插入病毒，病毒通过复制对系统进行破坏，计算机病毒有许多感染方式，可以通过文件（宏病毒）、硬盘和网络等。

危害说明：

被攻击计算机直接被病毒侵害，系统无法正常运行甚至直接宕机。如果中了蠕虫病毒危害将会更大，同一个域的计算机或与被攻击计算机有数据交易的计算机都将可能被入侵，并且传播迅速不可控。

处理方法：

1. 开启网络防火墙；
2. 关闭不常用端口，只开启平时使用的端口，减少病毒攻击的可能；
3. 定时打补丁，修复计算机漏洞。

参考资料：

• https://blog.csdn.net/lovely_girl1126/article/details/52586828