常见攻击手法原理

文章目录

一、DoS攻击防护概述

DoS攻击是指，攻击者在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息，而无法为合法用户提供正常服务，即发生拒绝服务。
当前支持对以下四种攻击进行有效防范：

1. SYN Flood攻击 由于资源的限制，TCP/IP协议栈只能允许有限个TCP连接。SYN Flood攻击者向服务器发送伪造源地址的SYN报文，服务器在回应SYN ACK报文后，由于目的地址是伪造的，因此服务器不会收到相应的ACK报文，从而在服务器上产生一个半连接。若攻击者发送大量这样的报文，被攻击服务器上会出现大量的半连接，耗尽其系统资源，使正常的用户无法访问，直到半连接超时。
2. ICMP Flood攻击 ICMP Flood攻击是指，攻击者在短时间内向特定目标发送大量的ICMP请求报文，使其忙于回复这些请求，致使目标系统负担过重而不能处理正常的业务。
3. UDP Flood攻击 UDP Flood攻击是指，攻击者在短时间内向特定目标发送大量的UDP报文，致使目标系统负担过重而不能处理正常的业务。
4. DNS Flood攻击 DNS Query Flood 攻击采用的方法是向被攻击的DNS 服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络上根本不存在的域名。被攻击的DNS 服务器在接收到域名解析请求时，首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析时，DNS 服务器会向其上层DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成DNS 服务器解析域名超时。

5、常见测试攻击工具（注意不用在内网测试,会断网,设备CPU飙升）（推举fw）
hping3
hping3 -c 10000 -d 120 -S -w 64 -p 443 --flood --rand-source 192.168.65.54（syn_flood攻击测试）
hping3 --icmp -d 2000 --flood 192.168.65.54 (icmp_floof攻击测试)
hping3 --udp -s 5060 -d 20000 -p 5060 -flood 192.168.65.54 (udp_flood攻击测试)
hping3 --udp -s 6666 -p 5556 -a 8.8.8.8 --flood 192.168.1.107

二、ARP攻击

在IPv4局域网中，通过ARP协议将IP地址转换为MAC地址。ARP协议对网络安全具有重要的意义，但是当初ARP方式的设计没有考虑到过多的安全问题，留下很多隐患，使得ARP攻击成为当前网络环境中遇到的一个非常典型的安全威胁。
通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存，造成网络中断或中间人攻击。

受到ARP攻击后会出现无法正常上网、ARP包爆增、不正常或错误的MAC地址、一个MAC地址对应多个IP、IP冲突等情况。ARP攻击因为技术门槛低，易于实现，在现今的网络中频频出现，有效防范ARP攻击已成为确保网络畅通的必要条件。

设备的防ARP/ND攻击功能有效识别ARP/ND欺骗攻击和ARP/ND flood攻击，对疑似攻击的行为告警，并配合IP-MAC绑定、主动保护发包及关闭ARP/ND学习等，有效防范ARP/ND攻击造成的损害。

在内网中广播风暴也会造成大量ARP
如下以华为交换机ARP安全加固可低于部分泛洪:
仅供参考
一、配置基于源MAC地址的arp报文限速，防止设备收到不断变化的源ip地址的arp攻击时被耗尽cpu资源
[Huawei]arp speed-limit source-mac maximum 100 限制所有MAC地址报文100个/s
[Huawei]arp speed-limit source-mac 0001-0002-0003 maximum 10 限制单个MAC地址报文10个/s

二、配置基于源ip地址的arp报文限速
[Huawei]arp speed-limit source-ip maximum 100 限制所有ip地址报文100个/s
[Huawei]arp speed-limit source-ip 0001-0002-0003 maximum 10 限制单个ip地址报文10个/s

三、基于端口、vlan或全局的arp限速
1、基于接口的arp限速
[Huawei]arp anti-attack rate-limit enable 全局下开启arp限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable 接口下开启arp限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 200 10 block timer 60 限速10s内允许通过最大200个arp报文，超过丢弃，持续60s（默认是1s）
[Huawei-GigabitEthernet0/0/1]quit

2、基于vlan的arp限速
[Huawei]arp anti-attack rate-limit enable
[Huawei-Vlanif2]arp anti-attack rate-limit enable
[Huawei-Vlanif2]arp anti-attack rate-limit 200 10
[Huawei-Vlanif2]quit

3、基于全局的arp限速
[Huawei]arp anti-attack rate-limit enable
[Huawei]arp anti-attack rate-limit 200 10

4、限速之QOS上下行限速
qos car inbound destination-ip-address range 192.168.5.3 to 192.168.5.254 per-address cir 2048 pir 40000 cbs 20000 pbs 40000 green pass yellow pass red discard 基于IP段限速cir 2048 pir 40000 cbs 20000 pbs 40000

5、华为三层接口（阻止风暴）
unicast-suppression cir 1000 cbs 188000 单播流量抑制
unicast-suppression 80 单播流量抑制80%
multicast-suppression cir 1000 cbs 188000 组播流量抑制
multicast-suppression 80 组播流量抑制80%
broadcast-suppression cir 1000 cbs 188000 广播流量抑制
broadcast-suppression 80 广播流量抑制80%
storm-control interval 90 风暴控制的检测时间间隔
storm-control action block 风暴控制的动作为阻塞报文
storm-control enable log 风暴控制时记录日志的功能
display flow-suppression interface gigabitethernet 2/0/12 流量抑制配置情况测试查看
qos lr outbound cir 819200 cbs 8192000 上下行接口限速800M
qos lr inbound cir 819200 cbs 8192000

6、接口案例
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
arp anti-attack rate-limit enable
arp anti-attack rate-limit packet 5000 interval 20 block-timer 60
unicast-suppression cir 1000 cbs 188000
multicast-suppression cir 1000 cbs 188000
broadcast-suppression cir 1000 cbs 188000
storm-control interval 90
storm-control action block
storm-control enable log
port-mirroring to observe-port 1 inbound
port-mirroring to observe-port 1 outbound

三、扫描攻击防护概述（推举FW）

扫描攻击是指，攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和启用的服务类型，为进一步侵入目标系统做准备。设备可以有效防范以上攻击，从而阻止外部的恶意攻击，保护设备和内网。

四、防暴力破解（推举FW）

暴力破解是指攻击者通过穷举的方法登录相应服务从而获得可以登录的用户名密码对。通过检测出流量中的暴力破解行为并进行阻断。用户可配置是否开启暴力破解防御，服务类型，支持的服务类型包括ftp、telnet、smtp、http、imap、mssql、mysql、oracle、pop3、postgres，各个服务单独配置暴力破解检测时长和阈值，配置是否把攻击者加入黑名单。

五、CC攻击（推举WAF）

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来消耗服务器资源的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

六、SQL注入攻击（SQL Injection）（推举WAF）

简称注入攻击，是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。
如何预防SQL注入
也许你会说攻击者要知道数据库结构的信息才能实施SQL注入攻击。确实如此，但没人能保证攻击者一定拿不到这些信息，一旦他们拿到了，数据库就存在泄露的危险。如果你在用开放源代码的软件包来访问数据库，比如论坛程序，攻击者就很容易得到相关的代码。如果这些代码设计不良的话，风险就更大了。目前Discuz、phpwind、phpcms等这些流行的开源程序都有被SQL注入攻击的先例。
这些攻击总是发生在安全性不高的代码上。所以，永远不要信任外界输入的数据，特别是来自于用户的数据，包括选择框、表单隐藏域和 cookie。就如上面的第一个例子那样，就算是正常的查询也有可能造成灾难。
SQL注入攻击的危害这么大，那么该如何来防治呢?下面这些建议或许对防治SQL注入有一定的帮助。
1、严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害。

2、检查输入的数据是否具有所期望的数据格式，严格限制变量的类型，例如使用regexp包进行一些匹配处理，或者使用strconv包对字符串转化成其他基本类型的数据进行判断。

3、对进入数据库的特殊字符（'"\尖括号&*;等）进行转义处理，或编码转换。Go 的text/template包里面的HTMLEscapeString函数可以对字符串进行转义处理。

4、所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中，即不要直接拼接SQL语句。例如使用database/sql里面的查询函数Prepare和Query，或者Exec(query string, args …interface{})。

5、在应用发布之前建议使用专业的SQL注入检测工具进行检测，以及时修补被发现的SQL注入漏洞。网上有很多这方面的开源工具，例如sqlmap、SQLninja等。
避免网站打印出SQL错误信息，比如类型错误、字段不匹配等，把代码里的SQL语句暴露出来，以防止攻击者利用这些错误信息进行SQL注入。

七、爬虫

网络爬虫（又被称为网页蜘蛛，网络机器人）就是模拟客户端发送网络请求，接受请求响应，一种按照一定规则，自动抓取互联网信息的程序。
通俗来讲就是：通过编写程序，模拟浏览器上网，然后让其去互联网上抓取数据的过程。

用爬虫：抓取系统中重要组成部分，抓取的是一整张页面的数据
聚焦爬虫：建立在通用爬虫基础之上，爬取到的是啥页面中特定爬取内容
增量式爬虫：检测网站中数据更新情况，只会抓取网站中最新更新出的数据
注：目前大多接触到的是聚焦爬虫，如果在百度可能会接触到通用爬虫

八、盗链

盗链，从字面上理解，就是盗取他人链接的行为。假设蔚可云不是云服务提供商，而是一家下载站，用户点击下载按钮，会跳转到下载地址，下载百度APP。有一家网站既想提供下载服务，又不想付出太多的资源，于是盗取了蔚可云官网上下载百度APP的链接，放到了自己的网站上。

防盗链方式

1. 时间戳防盗链 在url链接中加入时间戳信息，来防止盗链。当盗链者没有及时更新url链接时，便会无法访问。这是一种常规方式，假如盗链者比较勤奋，经常更新url链接，则时间戳的方法会失效。
2. 中心鉴权 中心鉴权等于在源站加一层验证，对防盗链有效，但是用户请求时间会增加，影响体验，最好搭配CDN使用，先让终端用户的请求通过CDN节点，再通过鉴权服务器鉴权，降低请求时间。
3. Referer防盗链 Referer是http一个标记，它会告诉服务器该网页是从哪里来的，通过设置Referer黑白名单来防止被盗链。

九、跨站请求伪造防护（CSRF）

跨站请求伪造（Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

构造链接，黑客在自己的网站或邮箱等引诱已登录用户点击按钮等，来请求想要攻击的网站，浏览器会携带已登录用户的Cookie去访问黑客想要攻击的网站。CSRF攻击利用网站对于用户网页浏览器的信任。

十、XML攻击

XML注入攻击和SQL注入攻击的原理一样，利用了XML解析机制的漏洞，如果系统对用户输入"<“,”>"没有做转义的处理，攻击者可以修改XML的数据格式，或者添加新的XML节点，就会导致解析XML异常，对流程产生影响。

十一、社工

举例
一、比如:金某某酒驾,罚款5000元未缴纳，被定刑事案（人品是否有问题）
1、只需筛选姓名 案件类型，模糊搜索
备注：要知道对方生日大概范围，家庭住址范围

二、比如袁某某驾车造成人员死亡，定刑事案件，判刑
备注：要知道对方生日大概范围，家庭住址范围

https://wenshu.court.gov.cn/website/wenshu/181029CR4M5A62CH/index.html
中国裁判文书网，免费合法的查人犯事没犯事，酒驾罚款不交都有

校验姓名+身份证
下载12306APP添加人员信息，撞库姓名身份证，免费核验。