网络安全应用题3:网络攻击与防范
一、常见网络攻击类型及防范措施
| 攻击类型 | 特征码/关键词 | 原理简述 | 防范思路 |
|---|---|---|---|
| SQL注入 | select, 1=1, union | 攻击者通过在输入框中插入恶意SQL语句(如 ' OR '1'='1),绕过认证或获取数据库内容。 | - 对用户输入进行严格过滤与参数化查询 - 使用WAF防火墙自动拦截可疑请求 - 部署数据库审计系统监控异常操作 |
| XSS跨站脚本攻击 | script, alert, < > | 攻击者将恶意脚本注入网页,当其他用户访问时,脚本在浏览器中执行,窃取Cookie或跳转到钓鱼页面。分为存储型、反射型、DOM型。 | - 输入转义:对 <, >, ", ' 等字符进行HTML编码- 使用内容安全策略(CSP)限制脚本来源 - WAF可自动识别并阻断攻击 |
| 木马 | 传统:c&c, trojan/troy一句话木马: eval | 木马伪装成正常程序,运行后连接控制服务器(C&C),实现远程控制、数据窃取等。一句话木马常用于Web Shell,仅用一行代码即可执行命令。 | - 安装杀毒软件(如卡巴斯基、火绒)并更新病毒库 - 定期扫描系统漏洞 - 启用防火墙、IDS/IPS实时监控流量 - 禁止U盘等移动设备接入(防止“摆渡”传播) |
| DoS/DDoS攻击 | Flood, Flooding | DoS(拒绝服务):单台机器发起大量请求瘫痪目标;DDoS(分布式拒绝服务):利用僵尸网络(Botnet)多点同时攻击。常见类型: - SYN Flood:伪造TCP连接请求,耗尽服务器资源 - CC攻击:模拟真实用户发送HTTP请求,消耗带宽和服务能力 | - 部署流量清洗设备(如阿里云DDoS高防) - 使用CDN分散流量压力 - 限制单IP连接数、会话频率 - 关闭不必要的服务端口 - ✅ 考试建议写具体攻击方式(如SYN Flood) |
| 暴力破解 | acces, failed, success, password | 通过穷举法尝试所有可能的密码组合,直到成功登录。常见于SSH、FTP、数据库等弱口令场景。 | - 设置复杂密码(大小写+数字+符号,≥8位) - 启用账户锁定机制(如5次失败后锁定) - 使用双因素认证(2FA) - 部署IPS检测异常登录行为 |
| 勒索病毒 | .locky, .locked, .crypt, .aes, .cry | 加密用户文件,要求支付赎金解锁。常见加密算法为AES/RSA。例如:WannaCry、Emotet。 | - 及时打补丁(如Windows MS17-010修复SMB漏洞) - 关闭445端口(SMB协议默认端口) - 使用EDR工具主动防御 - 定期备份重要数据(3-2-1原则:3份副本,2种媒介,1份异地) - 感染后优先隔离设备,避免横向传播 |
| APT攻击(高级持续性威胁) | 横向移动、潜伏、有组织、长期、高危 | APT是国家级或高级黑客组织发起的攻击,具有隐蔽性强、持续时间长、目标明确等特点。典型流程:初始入侵 → 持久驻留 → 横向渗透 → 数据窃取。 | - 建立APT威胁监测系统(如SIEM、SOAR) - 强化日志审计(记录登录、文件访问、进程变化) - 实施零信任架构:最小权限、身份验证、动态授权 - 内网分段(Network Segmentation)减少扩散风险 - 定期开展红蓝对抗演练 |
二、DNS劫持 / DNS污染 —— 扩展解析
🔍 什么是DNS劫持?
- 当用户访问某个域名时,DNS解析返回的是攻击者指定的错误IP地址,导致用户被引导至钓鱼网站或广告页。
- 常见于公共Wi-Fi、路由器被篡改、恶意软件修改本地DNS设置。
🔍 DNS污染(DNS Cache Poisoning)
- 攻击者伪造DNS响应包,使DNS服务器缓存错误信息,影响多个用户。
- 例如:将
www.bank.com解析为黑客控制的IP。
✅ 防范措施详解
启用 DNSSEC(Domain Name System Security Extensions)
- 作用:通过数字签名验证DNS响应的真实性,防止中间人篡改。
- 原理:每个DNS记录都有一个签名,接收方验证签名是否匹配,确保数据未被篡改。
使用 DoH(DNS over HTTPS)
- 作用:加密DNS查询过程,防止监听和劫持。
- 原理:将DNS请求封装在HTTPS协议中传输,隐藏原始域名信息。
- 示例:Google Public DNS (8.8.8.8) 支持DoH,Firefox、Chrome已支持。
PC端防护
- 安装杀毒软件检查是否有恶意程序修改了本地hosts文件或DNS设置。
- 推荐使用360安全卫士、火绒等国产安全软件,具备DNS保护功能。
交换机层面防护
- IP + MAC绑定:固定设备的IP与MAC地址对应关系,防止ARP欺骗。
- DAI(Dynamic ARP Inspection)
- 功能:检查ARP报文合法性,阻止伪造ARP响应。
- 工作原理:交换机维护一个ARP表,只允许合法ARP包通过。
- DHCP Snooping:配合DAI使用,防止非法DHCP服务器分配IP。
⚠️ 注意:DNS劫持通常依赖 ARP欺骗,因此必须从局域网层做起防护!
三、挖矿病毒 —— 深度解析
🧠 什么是挖矿病毒?
- 一种恶意软件,利用受害者计算机的CPU/GPU资源进行加密货币挖矿(如比特币、门罗币)。
- 不像勒索病毒那样直接索要钱财,而是悄悄消耗资源,造成电费增加、设备发热、性能下降。
🔍 传播途径
- 钓鱼邮件附件
- 漏洞利用(如永恒之蓝)
- 暴力破解弱口令服务器
- WebShell上传后执行挖矿脚本
✅ 防范措施详解
定期漏洞扫描 & 补丁更新
- 使用Nessus、OpenVAS等工具扫描系统漏洞。
- Windows务必开启自动更新,尤其是KB漏洞补丁。
封堵非必要端口
- 如关闭23(Telnet)、21(FTP)、22(SSH)等开放端口(除非必须)。
- 使用防火墙规则限制访问来源。
通信流量监测
- 使用Wireshark、Zabbix、Prometheus等工具分析网络流量。
- 挖矿行为常表现为大量外联至矿池(如
pool.miner.com:80),可通过关键词识别。
安装EDR(Endpoint Detection and Response)
- EDR是下一代终端安全产品,能检测异常行为(如创建大量子进程、频繁下载文件)。
- 示例:CrowdStrike、深信服EDR、奇安信天擎。
清除挖矿程序
- 查看任务管理器中的高CPU占用进程。
- 使用杀毒软件全盘扫描,删除相关文件。
- 清理启动项、计划任务、注册表项。
加强安全意识培训
- 教育员工不要点击陌生链接、不随意下载附件。
- 认识“钓鱼邮件”特征:紧急语气、冒充领导、诱导点击链接。
四、术语解释(常见但易混淆)
| 术语 | 含义 |
|---|---|
| WAF(Web Application Firewall) | 网站应用防火墙,专门防御针对Web应用的攻击,如SQL注入、XSS。 |
| IDS(Intrusion Detection System) | 入侵检测系统,被动监控网络流量,发现异常行为并告警。 |
| IPS(Intrusion Prevention System) | 入侵防御系统,在IDS基础上主动阻断攻击。 |
| C&C(Command and Control) | 木马或僵尸网络的控制服务器,黑客通过它下达指令。 |
| Botnet(僵尸网络) | 被感染的计算机组成的网络,受黑客远程操控,用于发动DDoS攻击等。 |
| EDR(Endpoint Detection and Response) | 终端检测与响应,比传统杀毒更智能,支持行为分析、事件回溯。 |
| Zero Trust(零信任) | “永不信任,始终验证”的安全模型,即使内部用户也要经过严格认证。 |
| SIEM(Security Information and Event Management) | 安全信息与事件管理系统,集中收集日志,分析潜在威胁。 |
| DoH(DNS over HTTPS) | 加密DNS查询,防止DNS劫持和监听。 |
| DNSSEC | 为DNS提供完整性验证,防止中间人篡改。 |
五、总结:三大核心防护策略
技术防护
- 使用防火墙、WAF、IDS/IPS、EDR、DNSSEC/DoH等工具构建纵深防御体系。
制度管理
- 定期打补丁、封端口、备份数据、权限最小化、内网分段。
人员意识
- 提升员工安全意识,避免成为攻击入口(如点击钓鱼链接)。
✅ 一句话记忆口诀:
“防注入、拒XSS,封端口、打补丁;
用WAF、启EDR,学安全、不点链!”