请问网络安全的攻击主要都有哪些？

Posted 2023-03-28

请举例。

网络安全攻击形式
一般入侵 网络攻击 扫描技术 拒绝服务攻击技术 缓冲区溢出 后门技术 Sniffer技术 病毒木马
网络安全技术，从代理服务器、网络地址转换、包过滤到数据加密 防攻击，防病毒木马等等。
实际工作中我们的结论，10%数据配置错误，30%线路质量差或者用户把断线自己接驳了。60%是路由惹的事儿，师傅哼哧哼哧上门了，去掉路由一试都是正常的。
主要是造成个人隐私泄露、失泄密、垃圾邮件和大规模拒绝服务攻击等，为了我们能顺利的遨游网络，才有了360、kav等杀软。人不裸跑，机不裸奔。来自：求助得到的回答 参考技术A 最常见的10种网络安全攻击方式：
1、DoS和DDoS攻击
DoS是Denial of
Service的简称，即拒绝服务。单一的DoS攻击一般是采用一对一方式的，通过制造并发送大流量无用数据，造成通往被攻击主机的网络拥塞，耗尽其服务资源，致使被攻击主机无法正常和外界通信。
DDos全称Distributed Denial of Service，分布式拒绝服务攻击。攻击者可以伪造IP 地址，间接地增加攻击流量。通过伪造源 IP
地址，受害者会误认为存在大量主机与其通信。黑客还会利用IP 协议的缺陷,对一个或多个目标进行攻击,消耗网络带宽及系统资源,使合法用户无法得到正常服务。
2、MITM攻击
中间人类型的网络攻击是指网络安全漏洞，使得攻击者有可能窃听两个人、两个网络或计算机之间来回发送的数据信息。在MITM攻击中，所涉及的两方可能会觉得通信正常，但在消息到达目的地之前，中间人就非法修改或访问了消息。
3、网络钓鱼攻击
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的一种攻击方式。
攻击者可能会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。最常见的是向用户发送链接，通过欺骗用户下载病毒等恶意软件，或提供私人信息来完成诈骗。在许多情况下，目标可能没有意识到他们已被入侵，这使得攻击者可以在没有任何人怀疑恶意活动的情况下获取同一组织中更多的相关信息。
在打开的电子邮件类型和单击的链接时要格外留意电子邮件标题，检查回复和返回路径的参数。不要点击任何看起来可疑的东西，也不要在网上留下可以证明自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。
4、鲸鱼网络钓鱼攻击
之所以如此命名，是因为它针对的是组织的大鱼。通常包括最高管理层或其他负责组织的人，这些人掌握着企业或其运营的专有信息，更有可能为了买断信息而支付赎金。
鲸鱼网络钓鱼攻击可以通过采取相同的预防措施来避免攻击，例如仔细检查电子邮件及其随附的附件和链接，留意可疑的目的地或参数。
5、鱼叉式网络钓鱼攻击
鱼叉式网络钓鱼攻击是指一种有针对性的网络钓鱼攻击，攻击者花时间研究他们的预期目标，通过编写与目标相关性极强的消息来完成攻击。通常鱼叉式网络钓鱼攻击使用电子邮件欺骗，电子邮件发送人可能是目标信任的人，例如社交网络中的个人、密友或商业伙伴，使得受害者难以发觉。
6、勒索软件
勒索软件是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。
7、密码攻击
密码是大多数人访问验证的工具，因此找出目标的密码对黑客来说非常具有吸引力。攻击者可能试图拦截网络传输，以获取未经网络加密的密码。他们通过引导用户解决看似重要的问题来说服目标输入密码。
一些安全性较低的密码很容易被攻击者获取，例如“1234567”。此外，攻击者还经常使用暴力破解方法来猜测密码，即使用有关个人或其职位的基本信息来尝试猜测他们的密码。例如，通过组合用户的姓名、生日、周年纪念日或其他个人信息破译密码。
8、SQL注入攻击
SQL注入攻击是指后台数据库操作时，如果拼接外部参数到SQL语句中，就可能导致欺骗服务器执行恶意的SQL语句，造成数据泄露、删库、页面篡改等严重后果。按变量类型分为：数字型、字符型;按HTTP提交方式分为：GET注入、POST注入、cookie注入;按注入方式可分为：报错注入、盲注、堆叠注入等等。
9、语义URL攻击
通过URL解释，攻击者可以更改和伪造某些URL地址，来访问目标的个人和专业数据，这种攻击也称为URL中毒。攻击者知道需要输入网页的URL信息的顺序，攻击者解释这个语法，用它来弄清楚如何进入他们无权访问的区域。
为了执行URL解释攻击，黑客可能会猜测站点管理员权限或访问站点后端以进入用户帐户的URL。一旦他们到达他们想要的页面，他们就可以操纵网站本身或访问有关使用它的人的敏感信息。
10、DNS欺骗
DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。通过冒充域名服务器，把用户想要查询的IP地址设为攻击者的IP地址，用户就直接访问了攻击者的主页，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的黑掉了对方的网站，而是冒名顶替、招摇撞骗罢了。
通过域名系统欺骗，黑客可以更改DNS记录从而将流量发送到虚假或欺骗网站。一旦进入欺诈网站，受害者可能会输入敏感信息，黑客还可能构建具有贬义或煽动性内容的劣质网站，以此来抹黑竞争对手。
更多网络安全相关技术，可以来老男孩教育哦~

有效防范CSRF攻击的手段都有哪些？

参考技术A 　　此前，我为大家介绍过SSRF攻击、XSS攻击以及SQL注入攻击的原理及防范手段，本篇文章我将为大家介绍一下CSRF攻击-跨站请求伪造。那么CSRF攻击是什么?防范手段有哪些?具体内容请看下文。

　　CSRF攻击是什么?

　　CSRF，全拼为Cross-site request forgery，也被称为one-click attack或者session

riding，中文名称叫跨站请求伪造。一般来说，攻击者通过伪造用户的浏览器的请求，向访问一个用户自己曾经认证访问过的网站发送出去，使目标网站接收并误认为是用户的真实操作而去执行命令。常用于盗用账号、转账、发送虚假消息等。

　　攻击者利用网站对请求的验证漏洞而实现这样的攻击行为，网站能够确认请求来源于用户的浏览器，却不能验证请求是否源于用户的真实意愿下的操作行为。

　　CSRF攻击防范手段有哪些?

　　第一、验证HTTP Referer字段

　　HTTP头中的Referer字段记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求来自于同一个网站，而如果黑客要对其实施CSRF攻击，他一般只能在他自己的网站构造请求。因此，可以通过验证Referer值来防御CSRF攻击。

　　第二、使用验证码

　　关键操作页面加上验证码，后台收到请求后通过判断验证码可以防御CSRF。但这种方法对用户不太友好。

　　第三、在请求地址中添加token并验证

　　CSRF攻击之所以成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于cookie中，因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie来通过安全验证。要抵御CSRF，关键在于在请求中放入黑客所不能伪造的信息，并且该信息不存在于cookie中。可以在HTTP请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token或者token内容不正确，则认为可能是CSRF攻击而拒绝该请求。这种方法要比检查Referer要安全，token可以在用户登陆后产生并放于session中，然后在每次请求时把token从session中拿出，与请求中的token进行比对，但这种方法的难点在于如何把token以参数的形式加入请求。

　　对于get请求，token将附在请求地址之后，这样URL就变成：http://url?csrftoken=tokenvalue。

　　对于post请求，要在form的最后加上<input

type="hidden" name="csrftoken" value="tokenvalue"/>，这样就把token以参数的形式加入请求了。

　　第四、在HTTP头中自定义属性并验证

　　这种方法也是使用token并进行验证，和上一种方法不同的是，这里并不是把token以参数的形式置于HTTP请求中，而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类，可以一次性给所有该类请求加上csrftoken这个HTTP头属性，并把token值放入其中。这样解决了上种方法在请求中加入token的不便;同时，通过XMLHttpRequest请求的地址不会被记录到浏览器的地址栏，也不用担心token会透过Referer泄露到其他网站中去。