最常见的 10种网络安全攻击类型

专注IP定位
• 阅读 669

网络攻击是指旨在针对计算机或计算机化信息系统的任何元素更改、破坏或窃取数据以及利用或损害网络的行为。随着近年来越来越流行的业务数字化,网络攻击一直在增加。虽然有几十种不同类型的攻击,但网络攻击列表包括 10 个最常见的例子。

最常见的 10 种网络安全攻击类型 1. DoS 和 DDoS 攻击 DoS是Denial of Service的简称,即拒绝服务。单一的DoS攻击一般是采用一对一方式的,通过制造并发送大流量无用数据,造成通往被攻击主机的网络拥塞,耗尽其服务资源,致使被攻击主机无法正常和外界通信。 DDos全称Distributed Denial of Service,分布式拒绝服务攻击。攻击者可以伪造IP 地址,间接地增加攻击流量。通过伪造源 IP 地址,受害者会误认为存在大量主机与其通信。黑客还会利用IP 协议的缺陷,对一个或多个目标进行攻击,消耗网络带宽及系统资源,使合法用户无法得到正常服务。 最常见的 10种网络安全攻击类型 DoS 和 DDoS 攻击与其他类型的网络攻击不同,后者能够使黑客获得对系统的访问权限或增加他们当前拥有的访问权限。而仅就 DoS 和 DDoS 网络攻击而言,目标只是中断目标服务的有效性。DoS 攻击还可用于为另一种类型的攻击创建漏洞:在完成DoS 或 DDoS 攻击后,系统很可能处于离线状态,这会使其容易受到其他类型的攻击。 防止 DoS 攻击的一种常见方法是使用防火墙来检测请求是否合法,及时拒绝冒名顶替者的请求,允许正常流量不间断地流动。

2. MITM 攻击 中间人 (MITM) 类型的网络攻击是指网络安全漏洞,使得攻击者有可能窃听两个人、两个网络或计算机之间来回发送的数据信息。在MITM 攻击中,所涉及的两方可能会觉得通信正常,但在消息到达目的地之前,中间人就非法修改或访问了消息。 可以通过在接入点上使用强加密或使用虚拟专用网络 (VPN)来避免 MITM 攻击。 最常见的 10种网络安全攻击类型 3. 网络钓鱼攻击 网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息的一种攻击方式。 攻击者可能会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。最常见的是向用户发送链接,通过欺骗用户下载病毒等恶意软件,或提供私人信息来完成诈骗。在许多情况下,目标可能没有意识到他们已被入侵,这使得攻击者可以在没有任何人怀疑恶意活动的情况下获取同一组织中更多的相关信息。 最常见的 10种网络安全攻击类型 在打开的电子邮件类型和单击的链接时要格外留意电子邮件标题,检查“回复”和“返回路径”的参数,不要点击任何看起来可疑的东西,也不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。

4.鲸鱼网络钓鱼攻击 之所以如此命名,是因为它针对的是组织的“大鱼”,通常包括最高管理层或其他负责组织的人。这些人掌握着企业或其运营的专有信息,更有可能为了买断信息而支付赎金。 鲸鱼网络钓鱼攻击可以通过采取相同的预防措施来避免攻击,例如仔细检查电子邮件及其随附的附件和链接,留意可疑的目的地或参数。

5. 鱼叉式网络钓鱼攻击 鱼叉式网络钓鱼是指一种有针对性的网络钓鱼攻击,攻击者花时间研究他们的预期目标,通过编写与目标相关性极强的消息来完成攻击。通常鱼叉式网络钓鱼攻击使用电子邮件欺骗,电子邮件“发件人”可能是目标信任的人,例如社交网络中的个人、密友或商业伙伴,使得受害者难以发觉。 最常见的 10种网络安全攻击类型 6. 勒索软件 勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。 勒索软件的传播手段与常见的木马非常相似,主要有以下几种:1.借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行。2. 与其他恶意软件捆绑发布。3. 作为电子邮件附件传播。4. 借助可移动存储介质传播。 影响多台计算机的方法通常是在恶意软件初始渗透后数天甚至数周后才开始启动。该恶意软件可以通过内部网络或连接到多台计算机的通用串行总线 (USB) 驱动器将 AUTORUN 文件从一个系统发送到另一个系统。当攻击者启动加密时,它会同时作用于所有受感染的系统。 最常见的 10种网络安全攻击类型 在某些情况下,勒索软件作者设计代码来逃避传统的防病毒软件。因此,对于用户来说,保持对网站和点击的链接保持警惕是很重要的。也可以通过使用下一代防火墙来防止许多勒索软件攻击。

7.密码攻击 密码是大多数人访问验证的工具,因此找出目标的密码对黑客来说非常具有有吸引力。 攻击者可能试图拦截网络传输,以获取未经网络加密的密码。他们通过引导用户解决看似“重要”的问题来说服目标输入密码。 一些安全性较低的密码很容易被攻击者获取,例如“1234567”。此外,攻击者还经常使用暴力破解方法来猜测密码,即使用有关个人或其职位的基本信息来尝试猜测他们的密码。例如,通过组合用户的姓名、生日、周年纪念日或其他个人信息破译密码。 在设置密码时,尽量避免与个人信息相关度高的密码或简单密码,来保证个人账号安全。此外,可以通过设置锁定策略防止暴力破解和字典密码攻击,攻击者在被禁止访问之前只有几次尝试的机会,且在一定次数的失败尝试后自动锁定对设备、网站或应用程序的访问。 最常见的 10种网络安全攻击类型 8. SQL注入攻击 SQL注入攻击是指后台数据库操作时,如果拼接外部参数到SQL语句中,就可能导致欺骗服务器执行恶意的SQL语句,造成数据泄露、删库、页面篡改等严重后果。按变量类型分为:数字型、字符型;按HTTP提交方式分为:GET注入、POST注入、Cookie注入;按注入方式分为:报错注入、盲注(布尔盲注、时间盲注)、堆叠注入等等。

如果 SQL 注入成功,可能会导致敏感数据的释放或重要数据的修改或删除。此外,攻击者可以执行诸如关闭命令之类的管理员操作,中断数据库的相关功能。 可以通过使用最低权限模型来预防 SQL 注入攻击,即只允许绝对需要访问关键数据库的人进入。应用最低权限策略不仅可以防止不良行为者访问敏感区域,还可以避免某些人员不小心留下登录凭据,从而留下攻击隐患。

9.语义 URL攻击 通过URL解释,攻击者可以更改和伪造某些 URL 地址,来访问目标的个人和专业数据,这种攻击也称为 URL 中毒。攻击者知道需要输入网页的URL信息的顺序,攻击者“解释”这个语法,用它来弄清楚如何进入他们无权访问的区域。 为了执行 URL 解释攻击,黑客可能会猜测站点管理员权限或访问站点后端以进入用户帐户的 URL。一旦他们到达他们想要的页面,他们就可以操纵网站本身或访问有关使用它的人的敏感信息。 例如,如果黑客试图进入名为 GetYourKnowledgeOn.com 的网站的管理部分,他们可能会输入 http://getyourknowledgeon.com/admin,这会将他们带到管理员登录页面。在某些情况下,管理员用户名和密码可能是默认的“admin”和“admin”。攻击者也可能已经找出了管理员的密码或将其缩小到几种可能性,通过破解密码,获得访问权限,并可以随意操纵、窃取或删除数据。 对站点的敏感区域使用安全的身份验证避免URL 解释攻击,例如多因素身份验证 (MFA) 或由随机字符组成的安全密码。 最常见的 10种网络安全攻击类型 10. DNS 欺骗 DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。通过冒充域名服务器,把用户想要查询的IP地址设为攻击者的IP地址,用户就直接访问了攻击者的主页,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。 通过域名系统 (DNS) 欺骗,黑客可以更改 DNS 记录从而将流量发送到虚假或“欺骗”网站。一旦进入欺诈网站,受害者可能会输入敏感信息,黑客还可能构建具有贬义或煽动性内容的劣质网站,以此来抹黑竞争对手。

DNS欺骗攻击是很难防御的,因为这种攻击大多数本质都是被动的。在很多针对性的攻击中,用户都无法知道自己已经将网上银行帐号信息输入到错误的网址,直到接到银行的电话告知其帐号已购买某某高价商品时用户才会知道。 使用最新版本的DNS服务器软件,并及时安装补丁来避免DNS攻击;关闭DNS服务器的递归功能,DNS服务器利用缓存中的记录信息回答查询请求或是DNS服务器通过查询其他服务获得查询信息并将它发送给客户机,这两种查询成为递归查询,这种查询方式容易导致DNS欺骗。

点赞
收藏
评论区
推荐文章
美味蟹黄堡 美味蟹黄堡
2年前
DDOS怎么防?
什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。而DdoS(DistributedDenialofService,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛
李志宽 李志宽
3年前
什么是XSS攻击?XSS攻击有哪几种类型?
前言:网络安全攻击方式有很多种,其中包括XSS攻击、SQL注入攻击、URL篡改等。那么XSS攻击到底是什么?XSS攻击有哪几种类型?今天小编为大家讲解一下。  什么是XSS攻击?XSS攻击又称为跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的,它
专注IP定位 专注IP定位
3年前
FBI 警告称,网络犯罪分子可能以 2021 年东京奥运会为目标!
美国联邦调查局(FBI)已就威胁行为者可能试图扰乱即将到来的2021年东京夏季奥运会发出警告。它继续警告说,网络犯罪分子可以利用各种类型的网络犯罪,例如分布式拒绝服务(DDoS)攻击、勒索软件或社会工程来破坏奥运会。但是,就目前而言,还没有迹象表明针对这项受欢迎的体育赛事进行了攻击。联邦调查局表示:“迄今为止,联邦调查局并未发现针对这些奥运会的
李志宽 李志宽
3年前
电脑关机了,内存就没数据了吗?
前言:大家好,我是周杰伦。提到网络攻击技术,你脑子里首先想到的是什么?是DDoS?是SQL注入、XSS?还是栈溢出、RCE(远程代码执行)?这些最常见的网络攻击技术,基本上都是与网络、软件、代码、程序这些东西相关。这也好理解,计算机网络安全,不跟这有关,还与什么有关系?今天跟大家介绍一下,攻击技术,除了这些,还有一些脑洞大开的方式,它们可能跟时间、震动、频率
李志宽 李志宽
3年前
电脑关机了,内存就没数据了吗?
大家好,我是周杰伦。提到网络攻击技术,你脑子里首先想到的是什么?是DDoS?是SQL注入、XSS?还是栈溢出、RCE(远程代码执行)?这些最常见的网络攻击技术,基本上都是与网络、软件、代码、程序这些东西相关。这也好理解,计算机网络安全,不跟这有关,还与什么有关系?今天跟大家介绍一下,攻击技术,除了这些,还有一些脑洞大开的方式,它们可能跟时间、震动、频率、温度
Wesley13 Wesley13
3年前
20179311《网络攻防实践》第六周作业
网络安全是指网络系统的硬件、软件及其系统受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄漏,系统连续可靠正常运行,网络服务不被中断。网络安全的三个基本属性:机密性、完整性和可用性。国际电信联盟在X.800安全体系标准中还定义了网络安全的其他两个属性:真实性和不可抵赖性。在网络通信中,攻击者可采取如下四种基本攻击模式:截获(被动,具体攻击技术为嗅探与
Wesley13 Wesley13
3年前
DDoS的攻击方法
DDoS攻击DDoS攻击的方法攻击网络带宽资源我们可以采用对目标的网络带宽资源进行攻击,目的就是浪费对方有限的网络带宽资源,使得目标服务出现网络滞缓直至网络带宽资源匮乏,无法访问或访问速度慢。直接攻击直接攻击,使用大量的受控主机直接向被攻击目标发送大量的网络数据包,占用目标的网络
专注IP定位 专注IP定位
3年前
网络安全—如何从IP源地址角度,预防DDoS攻击?
从1966年分布式拒绝服务(DDoS)攻击诞生至今,便一直困扰着网络安全,尤其是随着新技术的不断催生,导致DDoS攻击结合新技术演变出多种类型。DDoS攻击作为黑灰产的手段之一,使许多企业与国家蒙受巨大损失。爱沙尼亚网络战2007年4月,爱沙尼亚遭受了大规模DDoS攻击,黑客目标包括国会、政府部门、银行以至媒体的网站,其攻击规模广泛而且深纵,这次袭击是
专注IP定位 专注IP定位
2年前
网络攻击中常见掩盖真实IP的攻击方式及虚假IP地址追踪溯源方法
前言:在网络取证领域,网络攻击溯源一直是一个重要的追踪方式。近年来,网络安全事件层出不穷,各种网络攻击给国家、社会和个人带来了严重的危害,如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的高级可持续攻击(APT)、利用远程控制木马的信息窃取等。在这些攻击方法中,攻击者会向目标主机,也就是受害主机,发送特定的攻击数据包。从受害主机的角度来看,能够
一种产生DSN放大攻击的深度学习技术
Citadel的研究人员最近开发了一种深度神经网络(DNNs),可以检测一种称为分布式拒绝服务(DDoS)DNS放大的网络攻击,然后使用两种不同的算法生成可以欺骗DNN的对抗性示例。近年来,深度学习已证明自己是网络安全中非常有价值的工具,因