网络安全与攻防-常见网络安全攻防
目录
攻击手段&防御策略
阻断服务攻击(DoS)
地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing)
跨站脚本攻击(XSS)
SQL注入
跨站请求伪造(csrf)
HTTPS中间人攻击
小结
攻击手段&防御策略
阻断服务攻击(DoS)
- 阻断服务攻击(Denial-of service attack),想办法将目标网络资源用尽(自己的服务发出流量消耗你的资源,容易被抓到)
- 变种:分布式阻断服务攻击DDOS(Distributed Denial-of service)(肉鸡:被病毒控制的计算机,控制大量远程的肉鸡耗你的资源,给你发HTTP封包,找你的服务器TCP/IP握手、给你发HTTP请求;所有的队列都被阻塞,正常用户无法访问)
- 带宽消耗型(消耗目标的带宽)
- 资源消耗型(消耗目标的计算资源)
- 购买防火墙(ip加黑名单)
- 交换机(路由器)(高端产品也有防火墙功能)
- 流量清洗
DDOS通常是临时增加带宽,保证用户使用
地址解析欺骗(ARP攻击)(Address Resolution Protocol spoofing)
局域网调试手段
局域网中有很多主机、路由器、网线连接为一个局域网,主机在内网里有自己的ip,ip相当于门牌号,mac相当于身份证。
一个主机会定期发ARP Request
路由器/网关会收到请求,会把其他的主机的IP和MAC返给对方
这个时候就给了攻击者有机可乘,
它可以用自己的mac+其他人的IP,在它们通信中间做篡改,截取数据
目前商业级别的机房都有防御手段,防住了。
所以目前都是做分包监听手段,作为一种调试方法。
跨站脚本攻击(XSS)
原理:将跨站脚本(Cross Site Scripting)注入到被攻击的网页上,用户打开网页会执行跨站脚本。(被别人挂码了)
服务端可以转义单引号和尖括号
网页展示时候也做转义
JQ编码时若没有转义,可能就会被这种攻击
SQL注入
提醒后端做 输入过滤,转义
跨站请求伪造(csrf)
转账https://a.com/transfer?money=10000&to=123456
点击下载有趣内容
// 防范手段
<form method="post"><input type="hidden" name="csrf" value="123adfaef234af" />
</form>HTTPS中间人攻击
小结
- 加强安全意识
- 安全是高压线,遵循公司SOP(安全指南,定期更换密钥,密码不要给同事,离开工位扣上笔记本)