精华内容
下载资源
问答
  • 常见网络攻击类型

    千次阅读 2017-09-14 11:40:23
    常见网络攻击类型  SQL注入:    所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码...
    常见网络攻击类型
     SQL注入:
        
        所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击    根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致 地过滤,从而执行了非法的数据查询。基于此,SQL注入的产生原因通常表现在以下几方面:①不当的类型处理;②不安全的数据库配置;③不合理的查询集处 理;④不当的错误处理;⑤转义字符处理不合适;⑥多个提交处理不当。
        -    防护  - 归纳一下,主要有以下几点:
    1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和
    双"-"进行转换等。
    2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
    3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
    4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
    5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
    6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。


    XSS(
    Cross-site scripting):
         
    服务器对客户端的输入检测不严格 ,导致客户端输入的恶意JAVASCRIPT代码被植入到HTML代码中,这些JAVASCRIPT代码得以执行,实现一些特殊的目的.

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。

    XSS防御

           我们是在一个矛盾的世界中,有矛就有盾。只要我们的代码中不存在漏洞,攻击者就无从下手,我们要做一个没有缝的蛋。XSS防御有如下方式。

    完善的过滤体系

           永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。

    Html encode

           假如某些情况下,我们不能对用户数据进行严格的过滤,那我们也需要对标签进行转换。 
    CSRF(Cross-site request forgery): 
         
    跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。


    XSS 与CSRF的区别:
        
    XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

    CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:
           攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。
     
    CSRF攻击介绍及防御


            CSRF攻击攻击原理及过程如下:

           1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

           2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

           3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

           4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;


           5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户CCookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。 

           CSRF攻击实例


           受害者 Bob 在银行有一笔存款,通过对银行的网站发送请求http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可以使 Bob 把 1000000 的存款转到 bob2 的账号下。通常情况下,该请求发送到网站后,服务器会先验证该请求是否来自一个合法的 session,并且该 session 的用户 Bob 已经成功登陆。

            黑客 Mallory 自己在该银行也有账户,他知道上文中的 URL 可以把钱进行转帐操作。Mallory 可以自己发送一个请求给银行:http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。但是这个请求来自 Mallory 而非 Bob,他不能通过安全认证,因此该请求不会起作用。

            这时,Mallory 想到使用 CSRF 的攻击方式,他先自己做一个网站,在网站中放入如下代码: src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ”,并且通过广告等诱使 Bob 来访问他的网站。当 Bob 访问该网站时,上述 url 就会从 Bob 的浏览器发向银行,而这个请求会附带 Bob 浏览器中的 cookie 一起发向银行服务器。大多数情况下,该请求会失败,因为他要求 Bob 的认证信息。但是,如果 Bob 当时恰巧刚访问他的银行后不久,他的浏览器与银行网站之间的 session 尚未过期,浏览器的 cookie 之中含有 Bob 的认证信息。这时,悲剧发生了,这个 url 请求就会得到响应,钱将从 Bob 的账号转移到 Mallory 的账号,而 Bob 当时毫不知情。等以后 Bob 发现账户钱少了,即使他去银行查询日志,他也只能发现确实有一个来自于他本人的合法请求转移了资金,没有任何被攻击的痕迹。而 Mallory 则可以拿到钱后逍遥法外。 

          

           CSRF漏洞检测:
           检测CSRF漏洞是一项比较繁琐的工作,最简单的方法就是抓取一个正常请求的数据包,去掉Referer字段后再重新提交,如果该提交还有效,那么基本上可以确定存在CSRF漏洞。

           随着对CSRF漏洞研究的不断深入,不断涌现出一些专门针对CSRF漏洞进行检测的工具,如CSRFTester,CSRF Request Builder等。

           以CSRFTester工具为例,CSRF漏洞检测工具的测试原理如下:使用CSRFTester进行测试时,首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息,然后通过在CSRFTester中修改相应的表单等信息,重新提交,这相当于一次伪造客户端请求。如果修改后的测试请求成功被网站服务器接受,则说明存在CSRF漏洞,当然此款工具也可以被用来进行CSRF攻击。


            防御CSRF攻击:

           目前防御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。

          (1)验证 HTTP Referer 字段

            根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory,用户必须先登陆 bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的 Referer 值就会是转账按钮所在的页面的 URL,通常是以 bank.example 域名开头的地址。而如果黑客要对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行时,该请求的 Referer 是指向黑客自己的网站。因此,要防御 CSRF 攻击,银行网站只需要对于每一个转账请求验证其 Referer 值,如果是以 bank.example 开头的域名,则说明该请求是来自银行网站自己的请求,是合法的。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。

            这种方法的显而易见的好处就是简单易行,网站的普通开发人员不需要操心 CSRF 的漏洞,只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查 Referer 的值就可以。特别是对于当前现有的系统,不需要改变当前系统的任何已有代码和逻辑,没有风险,非常便捷。

            然而,这种方法并非万无一失。Referer 的值是由浏览器提供的,虽然 HTTP 协议上有明确的要求,但是每个浏览器对于 Referer 的具体实现可能有差别,并不能保证浏览器自身没有安全漏洞。使用验证 Referer 值的方法,就是把安全性都依赖于第三方(即浏览器)来保障,从理论上来讲,这样并不安全。事实上,对于某些浏览器,比如 IE6 或 FF2,目前已经有一些方法可以篡改 Referer 值。如果 bank.example 网站支持 IE6 浏览器,黑客完全可以把用户浏览器的 Referer 值设为以 bank.example 域名开头的地址,这样就可以通过验证,从而进行 CSRF 攻击。

    即便是使用最新的浏览器,黑客无法篡改 Referer 值,这种方法仍然有问题。因为 Referer 值会记录下用户的访问来源,有些用户认为这样会侵犯到他们自己的隐私权,特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此,用户自己可以设置浏览器使其在发送请求时不再提供 Referer。当他们正常访问银行网站时,网站会因为请求没有 Referer 值而认为是 CSRF 攻击,拒绝合法用户的访问。

           (2)在请求地址中添加 token 并验证

             CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。

            这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于 session 之中,然后在每次请求时把 token 从 session 中拿出,与请求中的 token 进行比对,但这种方法的难点在于如何把 token 以参数的形式加入请求。对于 GET 请求,token 将附在请求地址之后,这样 URL 就变成 http://url?csrftoken=tokenvalue。 而对于 POST 请求来说,要在 form 的最后加上 <input type=”hidden” name=”csrftoken” value=”tokenvalue”/>,这样就把 token 以参数的形式加入请求了。但是,在一个网站中,可以接受请求的地方非常多,要对于每一个请求都加上 token 是很麻烦的,并且很容易漏掉,通常使用的方法就是在每次页面加载时,使用 JavaScript 遍历整个 dom 树,对于 dom 中所有的 a 和 form 标签后加入 token。这样可以解决大部分的请求,但是对于在页面加载之后动态生成的 html 代码,这种方法就没有作用,还需要程序员在编码时手动添加 token。

             该方法还有一个缺点是难以保证 token 本身的安全。特别是在一些论坛之类支持用户自己发表内容的网站,黑客可以在上面发布自己个人网站的地址。由于系统也会在这个地址后面加上 token,黑客可以在自己的网站上得到这个 token,并马上就可以发动 CSRF 攻击。为了避免这一点,系统可以在添加 token 的时候增加一个判断,如果这个链接是链到自己本站的,就在后面添加 token,如果是通向外网则不加。不过,即使这个 csrftoken 不以参数的形式附加在请求之中,黑客的网站也同样可以通过 Referer 来得到这个 token 值以发动 CSRF 攻击。这也是一些用户喜欢手动关闭浏览器 Referer 功能的原因。

          (3)在 HTTP 头中自定义属性并验证

            这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去。


            然而这种方法的局限性非常大。XMLHttpRequest 请求通常用于 Ajax 方法中对于页面局部的异步刷新,并非所有的请求都适合用这个类来发起,而且通过该类请求得到的页面不能被浏览器所记录下,从而进行前进,后退,刷新,收藏等操作,给用户带来不便。另外,对于没有进行 CSRF 防护的遗留系统来说,要采用这种方法来进行防护,要把所有请求都改为 XMLHttpRequest 请求,这样几乎是要重写整个网站,这代价无疑是不能接受的。
    URL跳转:
        借用URL跳转漏洞来欺骗安全意识低的用户,从而导致“中奖”之类的欺诈,这对于一些有在线 业务的企业如淘宝等,危害较大,同时借 助URL跳转,也可以突破常见的基于“白名单方式”的一些安全限制,如传统IM里对于URL的传播会进行安全校验,但是对于大公司的域名及URL将直接允 许通过并且显示会可信的URL,而一旦该URL里包含一些跳转漏洞将可能导致安全限制被绕过。

    果引用一些资源的限制是依赖于“白名单方式”,同样可能被绕过导致安全风险,譬如常见的一些应用允许引入可信站点如youku.com的视频,限 制方式往往是检查URL是否是youku.com来实现,如果youku.com内含一个url跳转漏洞,将导致最终引入的资源属于不可信的第三方资源或 者恶意站点,最终导致安全问题。

    E.g. http://hi.baidu.com/breachme/item/c227a49c9019d4d97a7f0179

    网络钓鱼(http://baike.baidu.com/view/77554.htm):
        
    网络钓鱼(Phishing?,与钓鱼的英语fishing?发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。
    展开全文
  • 常见的网络攻击类型

    万次阅读 2019-02-20 12:23:46
    常见的网络攻击类型 一、拒绝服务攻击 1.拒绝服务攻击 Dos(Denial of Service)是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。 被DOS攻击时的现象大致: 被...

    常见的网络攻击类型

    一、拒绝服务攻击

    1.拒绝服务攻击

    Dos(Denial of Service)是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。

    被DOS攻击时的现象大致有:

    • 被攻击主机上有大量的TCP连接;
    • 被攻击的主机的系统资源被大量占用,造成系统停顿;
    • 网络中充斥着大量无用的数据包,源地址是假地址;
    • 高流量无用数据使得网络拥塞,受害主机无法正常与外界主机通讯;
    • 利用受害主机提供的服务或传输协议上的缺陷,反复告诉的发出特定的服务请求,使受害主机无法及时处理所有正常请求;
    • 严重时会造成系统死机。

    2.分布式拒绝服务攻击DDoS

    DDoS则是利用多台计算机,采用了分布式对单个或者多个目标同时发起DOS攻击。其特点是:目标“瘫痪敌人”,而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击,难于追踪。

    DDoS攻击由三部分组成:

    • 客户端程序(黑客主机)
    • 控制点(master)
    • 代理程序(Zombie),或者成为攻击点(daemon)

    DDoS攻击示意图:

                          

    3.常见的攻击手段

    • 死亡之ping(ping of death)
    • 泪滴(teardrop)
    • UDP洪水(UDP flood)
    • SYN洪水(SYN flood)
    • Land攻击
    • Smurf攻击

    4.SYN洪水攻击演示

    • 是利用TCP协议的缺陷,发送大量伪造的TCP协议请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式;
    • SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way HandShake),而SYN Flood拒绝服务攻击就是通过三次握手而实现的。
    • 三次握手简介:
      • 1.首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端2.使用的端口及TCP连接的初始序号;
      • 2.服务器在接收到客户端的SYN的报文之后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(acknowledgement)。
      • 3.最后,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。
      • 正常三次握手建立通讯的过程:

                     

    攻击者伪造源地址进行SYN请求

                          

    二、利用型攻击

    1.特洛伊木马(木马)

            概览:木马目前一般可以理解为“为进行非法目的的计算机病毒”,在电脑中潜伏,以达到黑客目的。木马一般伪装成一个实用工具或者一个游戏甚至一个位图文件,这会诱使用户将其安装在pc或者服务器上。一旦安装成功并取得管理员权限,攻击者就可以远程控制目标系统进行非法操作。

    Windows下:

            Netbus、subseven、BO2000、冰河、网络神偷

    UNIX下:

            Rhost++、Login后门、rootkit等

    2.缓冲区溢出

            概览:由于在很多服务器程序中大意的程序员使用strcpy()等不进行有效位检查的函数,最终可能导致恶意用户通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。

    三、.信息收集攻击

    1.扫描技术

    • 地址扫描:运用ping这样的程序探测目标地址,对此作出相应的表示其存在;
    • 端口扫描:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功建立了连接的主机所开的端口;
    • 反向映射:黑客向主机发送虚假消息,然后根据返回的消息特征判断出哪些主机是存在的;
    • 慢速扫描:由于一般扫描侦测器的实现是通过监视某个时间一台特定主机发起的连接数目来决定是否在被扫描,这样黑客可以使用扫描速度慢一些的扫描软件进行扫描。

    2.体系结构探测

           概览:攻击者使用具有已知相应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的相应进行检查。由于每种操作系统都有其独特的操作方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的相应与数据库中的已知相应进行对比,攻击者经常能够确定出目标主机所运行的操作系统。

    3.利用信息服务

    • DNS域转换:DNS协议不对转换或信息性的更新进行身份验证,这使得该协议被人以不同的方式加以利用。
    • Finger服务:使用finger命令来刺探一台finger服务器以获取关于该系统的用户信息。
    • LDAP:使用LDAP协议窥探网络内部的系统和它们的用户信息。

    四、假消息攻击

    1.DNS高速缓存污染

            概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得攻击者可以将不正确的信息参进来并把用户引向自己的主机。

    2.伪造电子邮件

           概览:由于SMTP服务并不对邮件发送者的身份进行鉴定,因此恶意的电子邮件往往正好是攻击者攻击用户的有效措施。常见的攻击方法有:发送垃圾信件、通过电子邮件执行恶意的代码、使用用户关系亲密者的电子邮件地址骗取用户的信任。

    五、口令攻击

          概述:几乎所有的多用户系统都要求用户不但提供一个名字或标识符(ID),而且要提供一个口令。口令用来鉴别一个注册系统的个人ID。在实际系统总,入侵者总是试图通过猜测或获取口令文件等方式来获取系统认证的口令,从而进入系统。入侵者登录后,便可以查找系统的其他安全漏洞,来得到进一步的特权。

         不安全的口令类型有:

    • 用户名或者用户名的变形;
    • 电话号码、执行号码等;
    • 一些常见的单词;
    • 生日;
    • 长度小于5的口令;
    • 空口令或者默认口令;
    • 上述词后加上数字;

     

    展开全文
  • 初期的比特币只能用于在线电子支付或跨境支付,但是现在了各种各样的智能合约以及链上的运行逻辑,大家可以轻松地在以太坊以及其他区块链平台上进行编程和运算。 如上图,大家可以看到不同的节点目前其实是蕴含...

    本文整理自Parity亚洲技术总监贾瑶琪先生在万向区块链蜂巢学院直播间进行的Web 3.0训练营公开课。

    过去几年,从比特币到以太坊,区块链系统从最初的分布式账本功能,慢慢进化到现在类似于分布式计算机。初期的比特币只能用于在线电子支付或跨境支付,但是现在有了各种各样的智能合约以及链上的运行逻辑,大家可以轻松地在以太坊以及其他区块链平台上进行编程和运算。

    如上图,大家可以看到不同的节点目前其实是蕴含对智能合约等其他程序的处理能力。左边的用户可以使用密钥进行数据签名,然后发送交易给节点,节点处理这些交易之后会更新对应的状态生成区块广播给其他节点,其他节点会进行运算和验证然后写入本地的区块链。这样的分布式系统环环相扣,保证了不同国家、地区的用户可以在这台世界计算机上面进行操作和运算。

    功能这么强大的分布式计算机听起来很酷,但是从安全角度来看,当一个系统支持的逻辑功能越多,其实它的安全隐患是越多的,这也是为什么比特币系统的安全性相对以太坊要好很多的一个原因。

    参见以太坊的重大安全事件,大家可以发现,如果一个区块链平台上的安全问题频频曝出,也会打击大量的开发者以及一些创业公司在平台上部署商业应用的信心。

    当我们去看另一个区块链平台EOS,明显可以感觉到对应的安全事件,其实是跟对应的价值关联度更高。不管是链本身还是智能合约层出不穷的安全问题,整体使得大家更加倾向于选择去中心化程度高,以及更加安全的区块链平台去部署自己的商业逻辑。

    过去一年有各种各样的DeFi攻击事件,为大量的区块链开发者敲醒了警钟,当上线各种新功能之前一定要做好安全审计,尽量保证自己上线的功能是没有较大的安全问题。

     

    下面我们就来认识一下区块链中常见的攻击类型。

    第一类:恶意攻击

     

    (1)重入攻击
     

    2016年的DAO问题以及最近的DeFi问题,都是由类似攻击导致的。攻击者编写了对应的恶意智能合约,调用受害者的合约,同时利用自己的回调函数,循环地调用受害者合约的代码。由于是重复进入受害者合约执行对应的一段代码导致漏洞,所以把它叫做“重入攻击”。

    如上图,右边是恶意智能合约,左边是正常的智能合约。正常的智能合约如果按照左边的逻辑,其实应该从上到下进行withdrawBalance,然后以太坊转账,最后更新对应用户的余额。

    然而,恶意合约的执行逻辑则是,首先发起Withdrawal的函数,调用withdrawBalance函数,之后左边正常的智能合约会调用对应的withdrawBalance,以太坊转账,当转账一旦完成,由于以太坊本身的特性,就会调用恶意智能合约里面的回调函数,回调函数就会进一步的调用左边的withdrawBalance。

    整体来看,按照这个箭头一二三四,形成了一个循环。导致的后果就是恶意合约在发起调用之后,可以一直不断、如此往复地进行转账,把左边智能合约里的余额源源不断地转到攻击者的地址,只要左边智能合约的燃料费是足够的以及还有余额,最终会把所有余额转给对应的攻击者。

    这是一个简略的流程图,大家可以看一下实际代码,左边是正常的智能合约,右边是攻击者的智能合约。攻击者智能合约,在右上角进行发起,调用左边withdrawBalance函数,之后调用call.value(),call.value()就触发了恶意智能合约的默认payable的回调函数,默认回调函数会进一步的再触发循环,直至整个左边智能合约所有余额都转给恶意攻击者。

    由于重入攻击,The DAO的合约在当时损失了超过6000万美金的ETH。区块链有不可篡改的特性,这样的交易是不能撤回的,因而造成了永久性损失。当时一部分社区成员想修复这样一个漏洞来退回对应损失的以太,但也有一些社区成员不赞同这样的作法,最终导致以太坊分叉,出现了大家熟知的ETC/以太经典。

    前事不忘后事之师,然而很多时候大家都会遗忘历史,即使是涉及到安全问题。最近的DeFi或者LendF.me的攻击中,我们又见到了类似2016年的重入攻击。由于过程其实比之前2016年攻击要复杂很多,这里就简化说明一下。

    Lendf.me押金函数被回调函数中的withdraw反复调用,导致了智能合约中的攻击者抵押的总额是在没有足够抵押金的情况下持续上升的。相当于通过一直调用这样的循环,让攻击者本身的抵押总额一直上升,即使他没有对应的抵押物,最终导致攻击者积攒了足够多imBTC对应的抵押金额。之后攻击者借出所有可用的资产,超过2500万美金。当然,比较幸运的是通过一些方法攻击者返回对应的资产,也是不幸中的万幸。

    哪些措施可以预防如此严重的重入攻击呢?其实在做转账之前可以先把内部的状态设置好,例如当智能合约要给某个用户转10个ETH,在转账之前提前把用户对应的余额变量,减掉对应的10个ETH再做交互转账,就可以避免这样的攻击了。这就是一个比较好的规范,先去检查,然后执行,最后再做交互。

     

    (2)溢出攻击

    程序员们都清楚,不管是用C++还是JavaScript,当开发者操作算术运算不当就会出现越界,特别是整数溢出。当超出整数类型的最大范围的时候,数字会由极大值变为极小值或者直接归零,叫做“上溢”;相反的超出最小值范围叫做“下溢”。

    从上图的样例可以看出攻击者发起了多笔交易,其中_value的对应值特别大。具体到257行,当_value特别大的时候,cnt如果大于2,amount就直接向上溢出为零,导致之后的安全检查全部通过。259行的第二个检查正常来说是不应该通过的,但是由于溢出的amount变成0了,左边balances[msg.sender]的数值肯定大于等于零,导致第二部分的安全检查也通过了。最终攻击者成功获取超大数目的数字资产,即使他本身的余额可能会极其小。

    其他的一些例子大家可以查看multiOverflow (CVE-2018-10706),transferFlaw (CVE-2018–10468), proxyOverflow (CVE-2018-10376)。攻击者通常都是利用智能合约的溢出漏洞,制作出可以造成溢出的交易,之后通过溢出的变量来通过智能合约的安全检查,最终获取巨大的资产。作为防御措施,开发者尽量使用保证计算安全的库,比如SafeMath。

     

    (3)所有权攻击


    所有权攻击是指智能合约的函数的所有权被攻击者篡改。在一些攻击中,有些函数设置了只有Owner才能看的访问控制。然而,谁可以作为Owner呢?这个函数没有实施访问控制,任何人可以发送交易给智能合约把自己设置成Owner,然后就可以操纵其他函数。

    还有一个例子是任何人可以通过调用公开函数,然后将自己的地址设置为CEO的地址,一旦你的地址变为CEO地址,你就可以进行CEO对应权限的操作,也就可以有很高的权限进行任何操作了。所有权攻击利用了程序开发时访问控制设计的漏洞,进行对应的攻击。

     

    (4)拥塞攻击


    除了利用智能合约漏洞的攻击外,还有些攻击其实是利用区块链本身的特性进行攻击。其中最有意思的一类攻击叫做“拥塞攻击”。比如Fomo 3D,前几年Fomo 3D是很流行的彩票游戏,最终获得钥匙的人可以获得该合约的几乎所有ETH。游戏规则是怎样的?在每一轮限定时间内大家都可以买钥匙,每轮钥匙价格会持续增高。如果在限定时间内有用户参与买钥匙,那么下一轮就会继续进行。直至当前轮在限定时间内没有人买钥匙,那么上轮的买到钥匙的用户就是最终赢家。

    Fomo3D的第一轮赢家也是攻击者,他获得了超过1万以太的奖励。正常情况下,游戏规则是挺公平的,最后一轮用户获得最终奖励。然而,攻击者发现了以太坊本身的拥塞问题,通过自己的操作获得了更高的成功空间,让自己变成了最终的赢家。

    这是以太坊什么样的漏洞呢?其实这个也不算以太坊的漏洞,是它的特性。

    首先,以太坊本身的吞吐量不是特别高,每秒只能处理10到20个交易,当然现在相对高一点,未来以太坊2.0可能会更高。

    然后,每一个区块都有对应的燃料限制,为了保证以太坊的节点不受拒绝服务攻击。赢家、攻击者利用了这两个特性:吞吐量低、有燃料限制。他制作了大量高手续费和可以消耗尽燃料的交易,使得其他对手交易不能被智能合约处理,最终只处理自己超高手续费的交易,保证自己在最后一轮拿到钥匙,接下来一轮别人的交易进不去,在限定时间内他就变成了最终赢家。

    攻击者在自己拿到钥匙以后就发送大量消费燃料和高手续费的交易,导致接下来的区块只处理很少的交易。超高的手续费使得赢家可以让自己的交易被节点进行打包,当节点只处理超高手续费交易的时候,燃料也耗尽了,其他交易进不来了。最终攻击者就变成了最后一轮获胜的赢家。

    如果增加平台吞吐量会不会有改进?攻击者会不会完全没办法进行攻击?其实不然。大家可以看另一个区块链平台EOS,EOS上有一款EOSPlay游戏。这款游戏利用未来区块的哈希值进行随机数计算。通常情况下用户是不清楚未来有哪些交易放入区块链的,然而在拥塞的情况下,攻击者是可以操作未来区块包含的交易,提前计算出随机数。实际攻击中,攻击者在CPU价格很低的时候买入大量的CPU资源,生成大量交易,让对应的智能合约处理交易。

    由于攻击者购买大量运算资源,导致当时的EOS平台有比较大的拥塞,最终导致智能合约和节点在进行运算时只有攻击者交易是被写到对应的区块里的。这些区块里的交易由于是攻击者制作的,攻击者可以进行简单的排列组合,然后对排列组合里交易进行计算,提前算出可能出现的随机数,之后获得远超于其他正常用户的优势。最终攻击者花费了大约21万EOS,但是获得了超过24万EOS,收益大约2.8万EOS。

    针对这些恶意攻击,有哪些防范措施?

    1、在开发链上逻辑的时候按照一定的安全范式,比如先改变变量再调用外部智能合约。

    2、使用成熟的安全库,例如SafeMath库,尽量不要自己造一些不太熟悉的底层库轮子。

    3、对关键业务操作要使用加锁机制,设置暂停开关。好处是即使未来发生黑天鹅事件或者被攻击,可以暂停自己的智能合约,减少经济损失。

    4、不要使用链上数据做随机数,因为攻击者很可能对未来区块里的信息做文章,导致随机数可以被操纵。

    5、在上线任何功能之前做第三方安全审计(至少两家)。

    6、当部署自己的链上逻辑后,需要对对应的智能合约进行链上监控。这样可以及时发现问题,尽早解决。

    上面提到的攻击,不管是重入攻击、溢出攻击、网络拥塞攻击,攻击者的意图是恶意的。然而,还有一些攻击是非恶意的,只是想把自己的利益最大化。这也是区块链系统本身特有的攻击发展方向,有点像传统经济学、金融学上的博弈论。
     

    第二类:理性攻击
     

    (1)区块扣押攻击

    先从挖矿说起,大家都知道比特币本身是使用工作量证明挖矿的。通过计算哈希值,看前面有多少位是“0”,如果前若干位是“0”那么矿工就挖出了新的区块。如果矿工想独自挖出新的区块,硬件投入是相当大的,可能要有超过上亿美金的投资去买矿机。

    不同的矿工由于不能确定自己能独立挖到区块,就会联合起来形成不同的矿池。矿池的优势是会把难度进行分解,把大问题分解成小问题。

     

    像Nonce,可以把“11”开头的分给一个矿工,把“10”开头的分给另一个矿工,每个矿工完成对应的计算后,把对应的结果返回给矿池的管理人。目前超过90%的矿工加入矿池,矿池的存在使得矿工收入更加稳定。例如你这边有90个矿工,其中1个矿工挖到了最终区块,那其他90个矿工可以按照自己的算力拿到对应的奖励。

    比特币联合挖矿协议看起来特别合理,矿工的算力高,拿的奖励就高。对于矿工来说,遵守协议,直观来说收益应该是最高的。

    针对这样的协议有没有方式进行攻击呢?这里就要提到区块扣押攻击。在最初提出“区块扣押攻击”的时候,大家都不以为然,很多矿池运营人员都感觉不是一个大的问题。然而,之后却发生了矿池受到扣押攻击,造成了超过20万美元的损失,让大家意识到原来区块扣押攻击是真实存在的。

    图中大致介绍了矿工是可以参与到不同的矿池里,可以参加左边的矿池,也可以参加右边的矿池,不同的矿池有不同的收益,根据你的算力获得对应的奖励。矿工其实可以把自己的算力资源分配给不同矿池,最终想要达到的效果就是利益最大化。那么,如何将整个算力资源进行合理分配,然后利益最大化?

    刚刚提到扣押攻击就是一个例子。作为一个正常矿工,只要按照矿池分发不同的任务进行运算,把结果提交给矿池就可以了。然而区块扣押攻击是即使挖到获得比特币的区块也不汇报给矿池,只是将之前算力算出来无效的结果给矿池进行汇报。由于矿工把之前算出来结果都给矿池进行分享,矿池还是按照矿工的算力支付对应的奖励。

    比特币是零和游戏,这样做会不会让其他矿池获利更多,自己有损失呢?

    现在请大家拿出纸和笔计算一个很简单的例子,攻击者拥有全网25%的算力,受害者矿池有75%的算力,对自己的算力进行分配,将5%的算力分配给矿池,剩下的20%自己挖矿。接下来开始区块扣押攻击,攻击者在矿池占了5%的算力,但是5%的算力其实是磨洋工,即使算到了对应的区块,也不告诉矿池,所以矿池拿到的结果都是无效的。由于按照目前的协议,矿工只要算出来对应的结果给矿池,就可以拿到对应的奖励,所以矿池还是会按照5%的算力分发奖励。

    但是由于这5%是磨洋工,全网的真实算力只有95%,对应的攻击者占了21%,矿池占了79%。按照协议,右边矿池拿79%奖励,其中79%*5%=4.9%会分发给磨洋工的攻击者。攻击者本身正常挖矿也获得了21%的奖励,加起来25.9%。总结起来,如果攻击者正常按照协议运行,25%的算力只能获得25%的奖励,但是如果实施区块扣押攻击,他就可以获得25.9%的奖励。

    对区块扣押攻击进行进一步分析,例如考虑不同的情况,单一攻击者,单一矿池;单一攻击者,多个矿池;多个攻击者,多个矿池。当进行大量运算后,我们发现如果攻击者算力越高,获得的奖励越高。同时,如果只是单独攻击一个矿池,奖励没有攻击多个矿池结果高。这和我们平时的直觉不太一样,我们通常会感觉严格地遵循游戏规则会获利最大化。但是在这里大家可以看到,矿工稍微改变挖矿方式实施区块扣押攻击,可以获得更多的收益。

    针对扣押攻击,有哪些解决方案?其中一个方法是将同一任务分给多个矿工,一个矿工作弊,另一个矿工如果挖到比特币的区块会向矿池汇报。也可以改变偿付计划或者方式,例如给挖到比特币区块的矿工更多的奖励,鼓励矿工按照协议进行挖矿。当然,也可以改变比特币的协议,使得原生挖矿可以支持矿池挖矿。

     

    (2)验证者两难问题


    曾经有一段时间,比特币5%的矿工开采了无效区块。大家发现原来很多矿工在没有验证区块的情况下进行挖矿,导致越来越多人在无效区块上建设新区块,浪费了对应的算力,更容易导致51%攻击。

    像比特币、以太坊,矿工的奖励大部分是通过工作量证明获得的,只有很少一部分是打包交易中的手续费。然而在做哈希运算之前一个矿工要验证对应每个区块是否正确、交易是否正确,矿工作为验证者是没有任何奖励的。这导致了矿工在进行挖矿时认为做哈希运算是更重要的。资源枯竭攻击又加强了矿工的这种想法。

    在资源枯竭攻击中,攻击者将一些消耗大量运算资源的交易发送给矿工,使得按照协议进行正常验证交易的矿工花费大量时间进行验证,而没有验证这些交易同时直接打包交易计算哈希挖下一个区块的矿工有了巨大的时间优势(例如之前攻击中验证需要超过3分钟)。

    这就导致了“验证者两难问题”。如果矿工按照协议验证交易和区块,那么他可以保证自己挖的区块是没有问题的,但同时可能由于验证的时间过长,导致自己的挖矿时间晚于没有做验证的矿工,处于挖矿劣势;而没有做验证的矿工,会提前打包交易有时间上的优势挖下一个区块,但是自己的区块可能存在问题,问题区块未来会被其他矿工或者节点丢弃造成自己算力的浪费。两难选择导致了矿工验证者困境,到底应该验证还是不验证,如果大家都不验证,那么系统更容易受到51%攻击。如果有些人验证,有些人不验证,不验证的人会有更大的优势去寻找下一个区块。目前对于验证两难问题,还没有比较好的解决方案。
     

    第三类:隐私攻击

    匿名性是指在一组对象(匿名组)里不能很好地单独区分对应的对象。在比特币的交易中,A转账给B,大家可以很明显地看出来这笔交易的接收者是B。我们可以通过一些手段对接收者进行隐藏,例如Monero可以将A发给B的交易和其他交易(“Mixins”)进行混合,那么大家就不能明确地区分出接收者是B还是CDE。通过将不同的交易进行混淆,让大家不清楚到底A是发给B还是CDE。

    早期Monero没有强制每个发送者都设置安全条件保护用户隐私。这导致有些粗心的用户以为Monero的隐私性是默认的,但实际没有。而且由于匿名组不够大,通过一些简单的推算分析可以很快推算出很多交易的接收者。如图最下面的紫色箭头,C只混合了两笔交易,由于上面绿色箭头A已经发给B了,接下来C就不可能发给B,肯定是发给D。中间的黑色箭头虽然混淆了很多交易,但是由于之前的几笔交易已经暴露出来,我们可以推算出最终的接收者是E。

    在过去一段时间里,特别是早期Monero系统里,有超过64%的发送者没有使用Mixins设置多个接收者,超过63%的发送者即使设置了多个,但是可以根据刚刚的方法推算出接收者。当然,随着Monero隐私保护功能的逐步增强,用已有的攻击方法是更难推算出来接收者的。

    大家都知道Monero本身的隐私性不是特别好,在区块链世界里谁的隐私性相对最好?就是Zcash,Zcash是使用零知识证明来保护发送者和接收者的身份以及发送金额。

    图中有几种特殊交易:透明交易,A发给B,大家知道数目,也知道发送者、接收者。之后B发给C,进行匿名化。由于有匿名池,C再发给DEFG的匿名交易,大家都分辨不出来到底谁是真正的接收者。但是,DEFG有时候可能要去匿名化,把匿名身份转为非匿名身份。

    有意思的是Zcash里超过85%的交易都是透明的,入金/出金很容易推算出来的。有少于1%的交易是匿名交易的,Zcash本身使用零知识证明,目前来讲零知识证明是比较安全的匿名化方法。

    很多研究者、攻击者会把精力放在怎么通过匿名化、去匿名化交易推断出地址关联性。有哪些人在使用匿名交易池呢?

    1、矿工,分独立矿工和矿池。由于Zcash每个区块有10ZEC的奖励,那么很容易区分出区块的奖励者、接收者的地址。

    2、创始人。每个区块有2.5ZEC奖励,地址是公开的,大家也可以区分出来。

    3、个人用户等。看入金进入匿名交易池的地址是很容易区分的,有大于80%的入金匿名化交易来自矿工,创始人也有很清晰的交易步骤。矿工直接从区块拿到奖励,地址相对容易暴露出来。从匿名交易池出来的地址不容易区分,大于90%去匿名化的交易地址很难区分。

    通过一些分析,攻击者发现大家使用Zcash匿名化的过程中有一些很有意思的操作,例如创始人行为。很多情况下创始人入金都是249.999ZEC,出金是250.001ZEC。如果仅从对应的数值来看,大家很容易区别出哪些地址在进行匿名化操作时候是来自创始人的,哪些去匿名化的地址也是来自于创始人的,因为数值可以进行绑定。

    矿池也有一个很有意思的行为,矿池会把资金转入匿名交易池,然而在分给矿工奖励的时候最终还会有自己的地址。这导致了很容易辨认的模式,攻击者可以分析出已知矿池地址,同时还有上百个其他地址,那么这笔交易肯定是属于矿池和矿工的。

    不管是Zcash还是Monero,很少人能够很好地使用隐私保护系统以及手段。很多时候大家觉得自己用了隐私保护系统,那么保护效果就应该很好。但其实不是的,每个系统都有一些对应的设置,如果你作为用户没有设置好的话,那对应的交易是不能被很好地保护起来的。

    针对Zcash有69%的匿名化交易是可以根据刚刚的模式区分出来,但是Zcash的底层密码学技术是安全的,可以提供很高的匿名性以及隐私性。前提是大家能够比较正确地进行匿名化操作,保证自己没有使用那些明显的模式,而被攻击者、研究者发现出来。

    在区块链的世界里,除了有破坏规则的恶意攻击者,还有很多利用规则的利益最大化者。

    例如区块扣押攻击以及利用区块链平台的拥塞攻击。大家没有破坏规则,只是利用区块链本身的规则/平台特性来达到利益最大化。我们在设计区块链系统和应用时,最好能够兼顾自己的系统或者程序是没有漏洞给恶意攻击者进行破坏,同时尽量防止利用协议/规则的损人利己的利益最大化行为。

    最后,希望与大家一起创造出更好的方法,共建安全的Web3.0生态。

    展开全文
  • 常见黑客攻击类型

    万次阅读 2006-11-19 14:23:00
     1.5.2 常见黑客攻击类型虽然黑客攻击的手法多种多样,但就目前来说,绝大多数中初级黑客们所采用的手法和工具仍具有许多共性。从大的方面来划分的话,归纳起来一般不外乎以下几种:1. 网络报文嗅探网络嗅探其实...
     
    

    以下内容摘自笔者编著图书《网管员必读——网络安全》一书。

     

    1.5.2 常见黑客攻击类型

    虽然黑客攻击的手法多种多样,但就目前来说,绝大多数中初级黑客们所采用的手法和工具仍具有许多共性。从大的方面来划分的话,归纳起来一般不外乎以下几种:

    1. 网络报文嗅探

    网络嗅探其实最开始是应用于网络管理的,就像远程控制软件一样,但随着黑客们的发现,这些强大的功能就开始被客们利用。最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁。其中网络嗅探对于安全防护一般的网络来说,使用这种方法操作简单,而且同时威胁巨大。很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。

    嗅探器是利用计算机的网络接口,截获目的计算机数据报文的一种技术。不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高,尽管它不是一个广播型网络,但带有令牌的那些数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易的截获。

    嗅探器工作在网络的底层,把受影视的计算机的网络传输全部数据记录下来。虽然嗅探器经常初网管员用来进行网络管理,可以帮助网络管理员查找网络漏洞和检测网络性能、分析网络的流量,以便找出所关心的网络中潜在的问题。但目前却在黑客中的应用似乎更加广泛,使人们开始对这类工具敬而远之。

    2. IP地址欺骗

    IP地址欺骗攻击是黑客们假冒受信主机(要么是通过使用你网络IP地址范围内的IP,要么是通过使用你信任,并可提供特殊资源位置访问的外部IP地址)对目标进行攻击。在这种攻击中,受信主机指的是你拥有管理控制权的主机或你可明确做出信任决定允许其访问你网络的主机。通常,这种IP地址欺骗攻击局限于把数据或命令注入到客户/服务应用之间,或对等网络连接传送中已存在的数据流。为了达到双向通讯,攻击者必须改变指向被欺骗IP地址的所有路由表。

    IP地址攻击可以欺骗防火墙,实现远程攻击。

    以上介绍的报文嗅探,IP欺骗的攻击者不限于外部网络,在内部网络中同样可能发生,所以在企业网络内部同样要做好相关防御措施。 

    3. 密码攻击

    密码攻击通过多种不同方法实现,包括蛮力攻击(brute force attack),特洛伊木马程序,IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕获用户账号和密码,但密码攻击通常指的反复的试探、验证用户账号或密码。这种反复试探称之为蛮力攻击。

    通常蛮力攻击使用运行于网络上的程序来执行,并企图注册到共享资源中,例如服务器。当攻击者成功的获得了资源的访问权,他就拥有了和那些账户被危及以获得其资源访问权的用户有相同的权利。如果这些账户有足够夺得特权,攻击者可以为将来的访问创建一个后门,这样就不用担心被危及用户账号的任何身份和密码的改变。

    4. 拒绝服务攻击

    拒绝服务Denial of ServiceDoS攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝你的服务访问,破坏组织的正常运行,最终使你的网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。

    DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DoS攻击的基本过程:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。

    这类攻击和其他大部分攻击不同的是,因为他们不是以获得网络或网络上信息的访问权为目的,而是要使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃,不能为其他正常其他用户提供服务为目标。这就是这类攻击被称之为拒绝服务攻击的真正原因。 
      当涉及到特殊的网络服务应用,象HTTPFTP服务,攻击者能够获得并保持所有服务器支持的有用连接,有效地把服务器或服务的真正使用者拒绝在外面。大部分拒绝服务攻击是使用被攻击系统整体结构上的弱点,而不是使用软件的小缺陷或安全漏洞。然而,有些攻击通过采用不希望的、无用的网络报文掀起网络风暴和提供错误的网络资源状态信息危及网络的性能。

    DDoSDistributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的分布、协作式的大规模拒绝服务攻击。也就是说不再是单一的服务攻击,而是同时实施几个,甚至十几个不同服务的拒绝攻击。由此可见,它的攻击力度更大,危害性当然也更大了。它主要瞄准比较大的网站,象商业公司,搜索引擎和政府部门的Web站点。

    要避免系统遭受DoS攻击,从前两点来看,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞;而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击,同时强烈建议网络管理员定期查看安全设备的日志,及时发现对系统存在安全威胁的行为。

    具体的防火墙如何防御拒绝服务攻击的方法将在本书第三章详细介绍。

    5. 应用层攻击

    应用层攻击能够使用多种不同的方法来实现,最平常的方法是使用服务器上通常可找到的应用软件(如SQL ServerSendmailPostScriptFTP)缺陷。通过使用这些缺陷,攻击者能够获得计算机的访问权,以及该计算机上运行相应应用程序所需账户的许可权。

    应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括JAVA appletActive X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。虽然微软公司前段时间提供的代码验证技术可以使用户的Active X控件因安全检查错误而暂停这类攻击,但攻击者已经发现怎样利用适当标记和有大量漏洞的Active X控件使之作为特洛伊木马实施新的攻击方式。这一技术可使用VBScript脚本程序直接控制执行隐蔽任务,如覆盖文件,执行其他文件等,预防、查杀的难度更大。

    在应用层攻击中,容易遭受攻击的目标包括路由器、数据库、WebFTP服务器和与协议相关的服务,如DNSWINSSMB
     
    展开全文
  • 网络常见攻击类型

    千次阅读 2017-04-12 10:11:17
    一 密码暴力破解攻击 “密码暴力破解”攻击的目的是破解用户的...现在网络上很多类似这种暴力破解密码的软件。如果密码设置过于简单,那么黑客可以再几分钟内获取系统密码。密码是登录系统的第一防线,如果密码破
  • 常见的网站攻击类型

    千次阅读 2018-05-08 16:43:49
    以下是最常见的几种: 一、流量攻击 我们常说的DDOS和DOS攻击,一般黑客使用大量数据包淹没一个或多个路由器、服务器和防火墙,使你的网站处于瘫痪状态无法正常打开。 二、CC攻击 也是流量攻击的...
  • 网络安全常见攻击形式

    千次阅读 2019-08-20 11:32:07
    这篇文章主要的内容就是分析几种常见攻击类型以及防御的方法。 服务器 之前听说朋友公司服务器使用windows系统,我大吃一惊,因为windows是用户交互系统,图形界面就需要占很多内存,而且稳定性不足,你...
  • 常见的web网站攻击类型

    千次阅读 2018-09-16 23:38:15
    **1,SQL注入 2,命令注入 3,任意文件上传 4,任意文件下载 5,反序列化漏洞 6,远程命令执行 7,已知的探测器扫描行为 8,文件包含 9,XXE 10,XSS 11,任意文件遍历 12,SSRF ...等**...
  • 常见的DDOS攻击类型总结

    千次阅读 2014-10-28 09:54:05
    常见的DDOS攻击类型总结 [复制链接] 主 DDoS是作为黑客、政治黑客行为和国际计算机恐怖分子可选择的一种武器而出现。由于很容易对有限的防御发起进攻,DDoS攻击目标并不仅仅...
  • 网络安全常见攻击方式

    万次阅读 2019-02-25 22:03:36
    参与后台开发,回想起来,也好几年,但对网络安全,一直没有放在心上。 后来参与公司上线项目接口安全的开发,才渐渐意识到网络安全的重要性。 高可用的接口安全规范 下面总结常见的网络攻击方式 二、客户端攻击...
  • DDOS攻击类型攻击类型有哪些

    千次阅读 2020-04-02 10:40:19
    DDoS攻击是目前最常见的一种网络攻击手段,DDOS攻击类型有以下几种。 1、TCP洪水攻击(SYN Flood) TCP洪水攻击是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷...
  • web开发常见安全问题(SQL注入、XSS攻击、CSRF攻击
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,...这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。希望文章对您有所帮助~
  • DDOS攻击常见类型

    2019-08-13 17:52:06
    “互联网”指的是全球性的信息系统,是能够相互交流,相互沟通,相互参与的互动平台。随着互联网的飞速发展,越来越多的网站应运而生,...其中最严重的莫过于网络安全问题,应该象每家每户的防火防盗问题一样,做到防...
  • 网站安全之几种常见的网络攻击方式
  • 一.客户端攻击 1.XSS攻击 XSS攻击即跨站点脚本攻击(Cross Site Script),为不和层叠样式...这种类型的XSS攻击是最常见的。 持久型XSS攻击 服务端已经接收了,并且存入数据库,当用户访问这个页面时,这段XSS代
  • 常见加密类型及通信安全

    万次阅读 2016-11-05 22:13:24
    1 中间人攻击 2 机密性 3 完整性 4 身份验证 5 抗抵赖性 6 怎么样才算安全的通信 单向加密 1 特征 2 常见算法 3 满足哪些安全特性 对称加密 1 特征 2 常见算法 3 满足哪些安全特性 IKE 1 秘钥交换过程 2 特征 非对称...
  • 常见的DoS攻击

    万次阅读 多人点赞 2019-01-26 17:06:24
    拒绝服务攻击DoS(Denial of Service):使系统过于忙碌而不能执行有用的业务并且占尽关键...实现Dos攻击常见的方式:TCP SYN泛洪(SYN Flood),ping泛洪(ping-Flood),UDP泛洪(UDP-Flood),分片炸弹(fragmentat...
  • 常见的网络攻击有哪些?

    千次阅读 2019-04-13 16:17:50
    有些病毒攻击不在我们的解决范围内,今天墨者安全主要针对DDOS攻击,CC攻击防御的等给大家分享一些常见的网络攻击类型。 CC攻击:CC = Challenge Collapsar,意为“挑战黑洞”,其前身名为Fatboy攻击,是利用不断对...
  • 钱包 Wallet 钱包(Wallet)是一个管理私钥...据 SlowMist Hacked 统计,仅 2018 年因“钓鱼”、“第三方劫持”等原因所造成的钱包被黑损失总金额就达 69,160,985 美元,深究根本,除了部分钱包本身对攻击防御的不全面...
  • 分布式拒绝服务攻击(Distributed Denial of Service)简称DDoS,亦称为阻断攻击或洪水攻击,是目前互联网最常见的一种攻击形式。DDoS攻击通常通过来自大量受感染的计算机(即僵尸网络)的流量,对目标网站或整个...
  • 常见网络攻击原理

    千次阅读 2018-02-09 21:58:17
    通常我们常见的网络攻击类型有以下几种:IP欺骗,ARP欺骗,TCP欺骗,DNS欺骗。1.IP欺骗原理 2.ARP欺骗原理3.TCP欺骗原理4.DNS欺骗原理
  • 6个常见的 PHP 安全攻击

    千次阅读 2018-05-04 11:58:04
    一:SQL注入 SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。 $username = $_POST...
  • 6个常见的php安全攻击

    千次阅读 2013-07-31 22:07:25
    SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。 $username = $_POST['username']; ...
  • 网络安全的7种攻击类型

    千次阅读 2014-03-10 13:24:58
     SQL注入是最常见攻击方式,它的主要原理是:攻击者通过改变WEB页的参数(如GET/POST数据或是URLS)直接将SQL片断提交到服务器,并在服务器端执行。 Cross-Site Scripting (XSS):(跨站点脚本攻击)  XSS定义...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 65,391
精华内容 26,156
关键字:

常见的安全攻击类型有