DDoS 攻击（分布式拒绝服务）

DDoS（Distributed Denial of Service）攻击的核心思想是：用大量请求把目标“淹没”，让它无法为正常用户提供服务。

 

 

攻击者通常会控制一个“肉鸡”网络（僵尸网络），通过成千上万台设备同时向目标服务器发起请求，消耗它的带宽、CPU、内存等资源。

2016 年的 Mirai 僵尸网络攻击利用了大量 IoT 设备，使 Twitter、Netflix 等大面积宕机。

危害：

• • 网站或应用无法访问
• • 企业业务中断造成经济损失
• • 长时间的宕机会破坏品牌形象

防御建议：

• • 部署 DDoS 防护（高防 IP、CDN）
• • 限制单个 IP 的连接频率
• • 使用流量清洗服务

---

SQL 注入（SQL Injection）

攻击者在输入框或 URL 中注入恶意 SQL 语句，让数据库执行本不该执行的操作，比如读取用户密码表、删除数据表等。

 

2011 年，索尼 PlayStation 网络被 SQL 注入攻击，导致 7700 万用户信息泄露。

危害：

• • 数据泄露（账号、密码、身份证号）
• • 数据篡改或删除
• • 服务器权限提升

防御建议：

• • 使用预编译语句（Prepared Statement）
• • 对输入内容进行严格过滤与转义
• • 限制数据库账户权限

---

XSS 攻击（跨站脚本）

攻击者在网页中注入恶意 JavaScript 脚本，当用户访问该页面时，脚本会在用户浏览器中执行，从而窃取 Cookie、会话信息，甚至操纵用户操作。

 

类型：

• • 存储型 XSS：恶意代码存储在服务器端
• • 反射型 XSS：通过 URL 参数直接触发
• • DOM 型 XSS：在前端 JavaScript 环境触发

危害：

• • 窃取用户账号信息
• • 诱导用户点击钓鱼链接
• • 发起 CSRF 攻击

防御建议：

• • 对输出到页面的内容进行 HTML 转义
• • 设置 Cookie 的 HttpOnly 属性
• • 使用 CSP（内容安全策略）限制脚本来源

---

钓鱼攻击（Phishing）

攻击者伪装成可信任的实体（如银行、快递公司、领导等），通过邮件、短信、网页等方式诱导用户输入敏感信息或下载恶意文件。

 

2016 年，美国民主党全国委员会遭遇钓鱼攻击，导致大量内部邮件泄露。

危害：

• • 用户账户被盗
• • 财产损失
• • 企业信息泄露

防御建议：

• • 教育用户识别钓鱼邮件特征
• • 启用双因素认证（2FA）
• • 对邮件中链接进行 URL 过滤

---

中间人攻击（MITM）

攻击者在用户与服务器之间“插队”，拦截、篡改双方传输的数据。例如在公共 Wi-Fi 下，攻击者可以伪造热点、窃听流量。

 

2017 年，Equifax 数据泄露事件部分是因为攻击者在传输链路中劫持数据。

危害：

• • 窃取账户密码
• • 篡改数据内容
• • 插入恶意代码

防御建议：

• • 强制使用 HTTPS（TLS 加密）
• • 避免在不安全的网络环境下传输敏感信息
• • 启用 VPN

---

暴力破解（Brute Force Attack）

通过自动化工具不断尝试各种用户名和密码组合，直到匹配成功。

常见变种包括字典攻击、彩虹表攻击。

危害：

• • 账户被入侵
• • 数据被窃取
• • 系统被接管

防御建议：

• • 使用强密码（长度 > 12，包含大小写字母、数字、符号）
• • 限制登录失败次数
• • 启用双因素认证

---

恶意软件攻击（Malware）

攻击者通过木马、病毒、蠕虫、勒索软件等形式感染目标设备，从而窃取、篡改或加密数据，甚至控制设备。

2017 年的 WannaCry 勒索病毒利用 SMB 协议漏洞，在全球范围内传播，影响了数十万台设备。

危害：

• • 数据被加密勒索
• • 敏感信息被窃取
• • 系统被远程控制

防御建议：

• • 定期更新系统和软件补丁
• • 使用防病毒软件并保持更新
• • 不随意下载和运行未知文件

---

ARP 欺骗（ARP Spoofing）

攻击者伪造 ARP 报文，将自己的 MAC 地址与网关 IP 绑定，让目标主机的数据先经过攻击者设备，从而实现中间人攻击。

危害：

• • 流量劫持
• • 数据窃取
• • 网络瘫痪（广播风暴）

防御建议：

• • 在交换机上启用动态 ARP 检测（DAI）
• • 设置静态 ARP 表
• • 使用 VLAN 隔离不同用户

---

网络攻击种类繁多，但防御的核心思路是分层防护：

• • 边界防护：防火墙、入侵检测系统（IDS/IPS）、WAF
• • 传输加密：HTTPS、VPN、TLS
• • 权限控制：最小化权限、账号隔离
• • 用户教育：提高安全意识，防止社工攻击

在攻防对抗中，攻击者只需要找到一个漏洞，而防御者必须堵住所有漏洞。

因此，安全不是一次性的项目，而是一个持续的过程。