网络安全攻防常见攻击手段与防范策略网络安全攻防常见攻击手段与防范策略‍安全无小事。2016年DNS提供商Dyn遭遇大规模DDoS分布式拒绝服务攻击14000个网站域名受影响。2020年7月Twitter遭大规模攻击黑客控制马斯克、盖茨、奥巴马等人的Twitter账号诱导用户买比特币骗取11万美元。2021年4月黑客利用Github的Actions一种CI/CD方案诱导用户进行git操作时触发恶意比特币矿机。在中国这样人口基数大、互联网发达的国家互联网公司安全出问题影响巨大。如某知名技术社区曾出现用户用户名和密码大规模泄露事件。我们应吸取教训以“如何抵御SYN拒绝攻击”为引了解网络安全常见攻防手段。一、拒绝服务攻击Dos拒绝服务攻击Denial-of-Service AttackDoS是常见攻击手段即便互联网日益正规化黑产间仍有利用DoS攻击黑吃黑的现象。比如热血传奇私服搭建私服可获非法收入但也常遭黑客攻击黑客攻击后向管理员邮箱索钱威胁不打款就持续攻击。过去黑产攻阀中DoS常被用作武器。其原理是利用大量流量迅速向网站发送流量可能是应用层的如大量HTTP请求也可以是传输层的如大量TCP请求。2018年2月18日Github遭受超大规模DoS攻击瞬间流量峰值达1.35Tbps之后黑客还攻击了Google、亚马逊等网站。为形成强大流量攻击者常利用中病毒、木马的机器组织流量攻击这些机器俗称“肉鸡”。顶级黑客往往控制大量肉鸡一声令下肉鸡就向目标疯狂发送网络封包直至打垮目标。因肉鸡分散世界各地这种攻击也称为分布式拒绝服务攻击Distributed Denial-of-Service AttackDDoS。DDoS的种类种类繁多且手段复杂。直接不停发送Ping消息的利用底层ICMP协议称为ICMP攻击走UDP协议的称为UDP洪水UDP Flood不停利用TCP协议发送SYN消息的也叫SYN攻击模拟用户行为不停发帖、浏览帖子、浏览网页、加购物车等称为挑战黑洞攻击Challenge Collapsar。防范措施遇到DDoS攻击若有所准备可做到有备无患。购买防火墙可根据特征识别攻击行为并过滤防止系统因DDoS过载崩溃。若纯粹是流量攻击仅靠防火墙不够。大型互联网公司通常进行多活建设如两地三机房包括日常生产环境、同城灾备环境和异地灾备环境遇DDoS可考虑切换流量。CDN在解决DDoS时也常有好效果毕竟CDN是大量缓存节点DDoS攻击时用不上力。资金不足的小团队可自己实现软件防火墙设计一台吞吐量极高的代理服务器作为反向代理挡在所有服务前面遇DDoS可识别特征并丢弃部分流量。遇攻击时对服务适当降级有必要甚至可牺牲部分用户保全另一部分用户正常使用。防火墙基于特征识别有一定误杀现象被攻击时可降低判定攻击行为门槛允许防火墙造成部分误伤以识别更多攻击流量。二、跨站脚本攻击XSS接着讨论另一种攻击——跨站脚本攻击。2021年2月印度一名测试工程师在苹果iCloud官网发现跨站脚本攻击漏洞并向苹果公司提交漏洞说明和触发操作步骤事后获5000美金奖金。跨站脚本Cross Site Scripting即利用漏洞将脚本注入网页。如提交个人信息的输入框服务端处理不好就可能触发跨站脚本。假设个人签名多行文本输入框黑客可能输入。若这段话显示在用户个人主页访问该用户空间的其他用户会被攻击黑客可拿走Cookie关键信息。XSS攻击模式就是想办法向网站页面注入脚本输入框是重灾区。虽目前用前端框架如React或Vue开发的页面已杜绝被XSS的可能但工作疏漏仍可能导致其发生。正确做法是上线前请安全部门同学协助进行XSS漏洞扫描。三、中间人攻击再来聊聊中间人攻击。我国打击网络电信诈骗案中有这样一种形式不法分子利用伪基站在人多的地方伪装成基站向用户提供网络附近用户手机可能连接上伪基站。连接后不法分子的伪基站成为用户上网代理可进行非法操作。不懂技术的犯罪分子买伪基站设备就能充当中间人。遇中间人攻击时互联网信用体系、操作系统、浏览器等会把好最后一关。如访问淘宝购物中间人投放假网页浏览器会验证网页证书是否为淘宝证书。去年Github在国内疑似被中间人攻击案例中国内很多用户看到浏览器提示浏览的网站不安全就是浏览器在校对证书时发现疑点。遇此情况应立即关闭网页不进行后续操作防被骗。生活在当今时代个人要重视网络安全。购票信息、出行记录、账号密码、位置信息等都需有防范意识防止被不法分子拿走。工作时要保管好账号远离非正规渠道软件。工作计算机中木马成肉鸡不法分子可借此登录公司服务器。公司和团队也要有强安全意识。安全领域有专业知识和人才。互联网产品初期可能承担不起昂贵防火墙和雇佣安全专家的费用此时开发者要主动学习安全知识提升被攻破的成本。业务发展到一定程度需雇佣安全专家并购买网络安全设备。最后说说如何抵御SYN拒绝攻击。SYN攻击是DDoS攻击的一种形式攻击者伪装成终端不停向服务器发起SYN请求肉鸡发送SYN后不等服务端ACK就下线导致服务端积累大量连接对象。可实现一个TCP代理防火墙发现发送SYN但不给ACK的行为就对目标IP地址禁用一段时间此策略平时可配置成开关被攻击时打开。另一方面可适当提升连接数支持。《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取/i-blog.csdnimg.cn/direct/92a6ab8e26034045b97ae8ac36b2a650.png)以上资料如何领取文章来自网上侵权请联系博主