常见网络攻击方式

近几年，互联网黑客异常活跃，重大数据泄露事件、重大网络攻击活动几乎从未停止，而黑客攻击的对象也不断扩展：大型企业、创业公司、发展型企业、政府组织、医院等无一幸免。

事实一再证明，在复杂的网络攻击面前，没有个人或集体可以免受攻击。下面为大家总结下，常见的网络攻击方式。

常见网络攻击

1、XSS攻击

XSS攻击的全称是跨站脚本攻击(Cross Site Scripting)，为不跟层叠样式表 (Cascading Style Sheets,CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS

跨站脚本攻击也就是在网站里嵌入恶意脚本程序，当用户打开网站时，窃取Cookie，盗取信息

解决方案

1、继承HttpServletRequestWrapper，然后重写(@Override)getParameter()、getHeader()等等方法。

2、文件上传不走HttpServletRequestWrapper，需要继承CommonsMultipartResolver，重写方法

2、CSRF攻击

CSRF全称是跨站请求伪造(cross site request forgery)，CSRF伪装受信任用户，向第三方平台发送恶意请求

案例：比如你曾经在浏览器访问过银行A的网站，所以浏览器是有保存Cookie的，Cookie并没有过期，这时，你不小心登录一个恶意的论坛网站还是什么网站，你访问了链接（其实链接后面加的是窃取Cookie，调银行A网站转账API），这时候，如果网站安全性验证不过的话，就会窃取金钱的恶意操作

解决方案

1、设置Cookie为HttpOnly

我们知道CSRF是通过窃取Cookie来发送恶意请求的，所以我们可以为Cookie设置HttpOnly属性，这样JavaScript或者Applet就不可以恶意发送请求了

2、添加Token验证

竟然Cookie有被恶意窃取的可能性，那么我们或许可以另辟新径，我们可以在访问请求时加上Token，服务端再进行验证，Token验证通过则可以访问，否则限制访问，当然这个Token不可以放在Cookie里。

3、添加Referer识别

学习HTTP协议的你可能知道，在HTTP的请求头里有个参数叫Referer，这个参数其实就是记录了请求的来源地址

案例：针对刚才的银行转账窃取案例，我们或许可以这样改造，我们可以再增加一个验证的工程，不给直接调用转账接口，我们在这个验证工程里加入Referer识别的。这时候，CSRF攻击的话，肯定得在非银行A官网的服务器发送请求，我们改造之后，这个请求会先发送到验证工程这里，这时候解析请求，获取Referer属性进行识别，发现不是银行A官网的地址，这时候直接拦截，拒绝访问。

3、SQL注入攻击

所谓SQL注入攻击就是将一些恶意SQL执行指令伪装成SQL参数传给DBMS，然后执行恶意攻击

解决方案

1、使用预编译语句 学习JDBC都知道这个语句

Statement st = (Statement) conn.createStatement();

创建一个Statement对象，看起来是没啥问题，可是对黑客来说这就是SQL注入的一个很好的代码缺陷了 创建Statement对象后，之后我们就是要执行SQL，执行时候是这样的，是将SQL发送给DBMS编译然后再执行的，Statement没有编译的方法。不过PreparedStatement就不一样了，PreparedStatement继承Statement接口，有预编译的方法，编译SQL之后呢，在发送给DBMS执行

2、必要的加密 预防SQL注入有时候是有必要进行一些加密措施的，比如用户密码这些重要信息，我们可以MD5加密一下，避免明文保存。

4、DDos攻击

DDos(Distributed Denial of Service)，即分布式拒绝服务攻击，DDos攻击是基于Dos发展来的。什么是Dos呢？首先简单介绍一下Dos，Dos就是利用信任的客户端向服务端频繁发送请求，从而达到服务器处理不过来，请求超时。所以Dos其实就是一对一的，在邮件设施还不太好的情况是有效的，对于性能极佳的服务器压根不管用了，所以就有了DDos，分布式拒绝服务攻击。

DDos攻击过程大概是怎么样的呢？

竟然是分布式，首先黑客可能会通过程序控制大量的计算机，然后通过这个计算机群在同一个时间，发送大量的请求到目标服务器，从而达到服务器处理不过来，请求超时的情况。

DDos常用方式

下面简单介绍一下两种DDos攻击的方式SYN Flood和DNS Query Flood

【SYN Flood】

SYN Flood是DDos的一种攻击方法，SYN Flood是互联网最经典的攻击方式之一。这个攻击是通过TCP连接建立的，攻击前先建立TCP连接，这个需要对TCP的三次握手和四次挥手协议有一定了解

【DNS Query Flood】

DNS Query Flood攻击从名称其实可以猜测出和DNS有关的了，首先简单介绍一下DNS，DNS(Domain Name System)是位于应用层的协议，负责域名解析服务，DNS通过域名查找IP地址，或逆向从IP地址反向查找域名。

然后DNS Query Flood攻击是怎么做到的呢？

攻击过程大致为：

通过程序控制，向目标服务器的DNS服务器，发送大量的域名解析请求，不过这些域名基本是随机生成的，比如改下端口什么的。

DNS服务器接收到域名之后，先去缓存里查找是否有这个域名，然后发现没有，之后，DNS服务器就会向上层的DNS服务器递归查询了，指导向上查询了全球13台根DNS服务器。这时候肯定会出现域名解析超时的情况。

DNS劫持中，使用 https加密可以解决。部署全站HTTPS加密是防止流量劫持最基础、最重要的安全防护措施！HTTPS在HTTP基础上加入SSL/TLS协议，对服务器与终端、服务器与服务器之间的传输数据进行加密，保护数据的机密性并验证数据的完整性。通过HTTPS加密连接传输的数据，流经运营商、路由器、WiFi等任意节点时都是密文，即使被劫持或窃取，没有私钥也无法解密，确保数据在传输过程中全程安全。SSL/TLS协议提供的身份认证机制，依靠SSL证书验证服务器身份真实性，确保数据传输到正确的通信方，防止虚假服务器钓鱼攻击，欺诈用户或窃取用户数据。全站部署HTTPS加密可以确保用户每一次连接、每一次访问都通过安全加密的方式进行，防止HTTP明文传输和局部HTTPS加密可能导致的安全风险。

时代在进步在发展，我们的生活越来越离不开网络，可以说网络承载着我们大部分的生活，稍不注意就会裸露在不法分子手上，网站被劫持后影响非常大。为网站部署SSL证书进程已势不可挡，数安时代建议广大站长或企业网站负责人尽早为网站部署合适的SSL证书.

数安时代有16年的技术沉淀，技术应用核心行业50多，技术应用业务领域300多处，数安时代GDCA SSL证书自适应128-256位加密，SHA256签名算法，秘钥长度高达2048-4096位，对数据的加密和完整性校验,解决了关键信息被嗅探以及数据内容被修改的可能。我国经过国际Webtrust标准认证的CA机构仅有3家，而数安时代就是其中之一，除了自主品牌GDCA，还有Symantec、Globalsign、GeoTrust等品牌，多种选择，一次对比，有需要可以联系客服咨询