根据攻击者的行为方式,网络攻击可以分为主动攻击和被动攻击。被动攻击通常指攻击者监视、窃取信息流量的攻击方式。主动攻击通常指攻击者通过向目标系统发送针对性的恶意数据包或代码来直接攻击目标系统或打破网络协议规范。
被动攻击的一些具体攻击方法:
| 攻击名称 |
说明 |
| 窃听 |
指攻击者在网络中截取数据流量并将其转发给目标主机,从而窃取通信数据。该攻击方式通常用于获取敏感信息(如密码、信用卡号等)。 |
| 嗅探 |
指攻击者拦截网络流量并分析数据包中的内容,从而了解目标主机的通信行为和应用程序信息。该攻击方式通常用于攻击者获取系统信息或漏洞。 |
| 流量分析 |
指通过对网络数据包进行捕获、分析,以了解目标网络的信息流量,包括网络拓扑结构、数据传输方式、数据加密方式等,从而获得对目标的攻击手段和方式。它通常不会破坏系统或数据,但对信息安全构成威胁。 攻击者可以通过各种手段捕获网络数据包,如使用“嗅探器”工具或者将网络流量重定向到攻击者控制下的服务器上,然后对数据进行分析,获取网络流量的内容、协议和发送者/接收者等信息。攻击者可以利用这些信息实施各种攻击行为,如发动拒绝服务攻击或中间人攻击等。 |
| 端口扫描 |
指黑客利用网络扫描工具扫描目标计算机上开放的端口来获取系统的信息,以便于后续的攻击,攻击者通过探测目标计算机的开放端口以了解目标计算机的网络特征和漏洞,然后利用该漏洞进行攻击。端口扫描可以分为TCP扫描和UDP扫描两种类型。 |
以下是一些常见的主动攻击方法:
| 攻击名称 |
说明 |
| DoS攻击 |
DoS(Denial of Service,拒绝服务)攻击旨在占用目标系统、服务或网络资源,使得正常用户无法访问或使用,从而引发服务提供商或系统管理员的关注。 常见的拒绝服务攻击方法包括:
-
经典的flood攻击:通过向目标主机或网络发送大量无用的网络流量或封包,占用目标主机或网络的带宽、CPU、内存等资源,阻塞正常的数据传输。(消耗CPU和内存资源的DoS攻击)
-
Smurf攻击:攻击者通过向目标网络发送大量伪装的ICMP请求,使得该网络中所有的主机都回应伪造的请求,从而对目标网络造成大量的数据流量压力。
-
Ping of death攻击:攻击者发送一个特别制定的ICMP请求,该请求大小超过正常尺寸的限制,使得目标主机或用户端崩溃或重启。
-
SYN flood攻击:攻击者向目标主机或服务不断发送TCP三次握手中的SYN请求,但是不完成握手过程,从而占用目标主机或服务的资源使其不可用。
-
Slowloris攻击:攻击者通过向目标Web服务器发送大量低速的HTTP请求,占用Web服务器的资源,从而使得正常用户无法连接服务器。
-
HTTP flood攻击:攻击者通过向目标Web服务器发送大量的HTTP请求,占用Web服务器的资源,从而使得服务器负载过高,无法为正常用户提供服务。
-
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种更加高级的攻击类型,它结合了多个攻击者的计算机资源,以大规模地向目标系统发送恶意数据流量,从而使目标系统资源枯竭或崩溃。
-
Teardrop攻击:通过发送由多个IP分片组成的恶意数据包来导致目标系统崩溃或变得不稳定。Teardrop攻击的实现方式是通过欺骗网络基础设施或协议栈,将分片的偏移量、负载数据长度、校验和等IP头部信息分析不出来的数据如同一块连续的缓存一样放在一起,这就导致了系统不能正确地重组TCP/IP分片数据包,从而导致系统崩溃。
-
UDP flood攻击:DDoS(分布式拒绝服务)攻击的变种之一,它专门针对UDP(用户数据报协议)服务进行攻击。UDP是一个无连接的协议,其通信速度较快,但相对于TCP,它没有错误检查和数据重传机制,因此容易成为DDoS攻击者攻击的目标。UDP Flood攻击方法是向目标服务器或网络发送大量的UDP数据包,占用其处理数据包的带宽和系统资源,最终导致系统瘫痪或无法提供正常服务。
-
垃圾邮件攻击:(Spamming)指的是发送大量的垃圾邮件来干扰目标用户或系统的一种攻击方式。垃圾邮件通常是指不必要且无意义的邮件,包括广告推销、诈骗信息、恶意软件链接、不良内容等。攻击者使用各种手段收集和伪造邮箱地址,然后针对目标用户或系统发送大量垃圾邮件,影响用户工作效率、浪费网络带宽、破坏企业形象等。
|
| 病毒攻击 |
病毒是指一种恶意程序,能自我复制并在被感染的系统上执行恶意操作。病毒可以在用户不知情的情况下传播,例如通过邮件、下载等方式传播,从而破坏或篡改目标系统的数据。 常见的主要病毒攻击方法种类有以下几种:
-
传统病毒:病毒通过感染文件、嵌入宿主文件等方式进行传播,一旦感染主机,就会破坏系统、软件或数据。比如宏病毒,通过恶意执行一系列自动化任务或命令来感染系统。宏病毒主要感染的是文档文件,如Word文档和Excel电子表格,这些文件通常包含操作用户数据的宏代码。
-
先进持续性威胁(APT):APT病毒是一种复杂的恶意软件攻击,攻击者会针对具体目标进行部署,攻击过程长时间持续,具备更强的隐蔽性和难度度。
-
蠕虫病毒:蠕虫病毒会利用系统漏洞直接进入计算机系统,利用主机间的共享网络进行自我复制和传播,对网络造成安全威胁。
-
木马程序:木马程序是一种躲藏在具有正常功能的应用程序中的恶意代码,运行时会自动激活并为黑客提供一个远程操作系统的入口。
-
间谍软件:间谍软件会在电脑上运行并自动搜集用户的敏感信息,并将其发送至黑客服务器上,具有隐藏和隐蔽性强的特点。
-
引导扇区病毒:引导扇区病毒利用硬盘扇区中的引导扇区来感染系统,自我复制并传播。
-
网络蠕虫:网络蠕虫是一种利用Web等网络渠道进行传播的恶意软件,大量感染计算机后,可以发起大规模的分布式拒绝服务攻击。
-
恶意广告攻击:广告恶意代码被注入到广告服务器上,向网站访问者推送广告时,通过广告处的漏洞进行攻击。
|
| 恶意软件攻击 |
恶意软件是指被攻击者不知情的情况下,通过安装或植入恶意软件,在目标系统上进行恶意操作,可能会导致目标系统信息泄露、系统崩溃或资源被霸占等问题。病毒攻击属于恶意软件攻击的一种形式,另外,典型的恶意软件攻击还包括:
-
钓鱼攻击:利用目标用户的误认而吸引用户进入虚假网站,来达到恶意目的,往往被用于盗取用户的个人身份信息。
-
加密勒索病毒:利用加密破坏计算机系统中的重要文件,勒索被攻击者,要求购买“解密工具”以及收费“解密件”的款项。
|
| 口令入侵攻击 |
指攻击者使用各种手段或工具暴力破解目标系统、应用程序、数据库、路由器等设备的口令,以获取非法访问权限的行为。 口令入侵攻击通常包含以下具体方法:
-
字典攻击:攻击者使用生成的密码字典或已知的常见密码来重复尝试猜测目标系统或账户的密码,在找到匹配的密码之前一直重复猜测。
-
暴力破解:攻击者通过生成各种可能的密码组合来尝试猜测目标系统、应用程序或账户的密码。攻击者使用程序在少量时间内猜测众多密码,以使得成功率增加。
-
基于规则的攻击:攻击者利用目标账户或用户的信息,如生日、姓名、地址等,生成基于规则的密码组合进行猜测。通过这种方法,攻击者有可能在很短的时间内猜测出正确的密码。
-
社会工程学攻击:攻击者通过采用欺骗性的手段(如言语欺骗、钓鱼攻击等)来获取目标系统的密码或其他敏感信息,从而攻击目标账户或系统。
|
| 缓冲区溢出攻击 |
(Buffer Overflow Attack)是指攻击者利用程序中的缺陷,往程序的缓冲区(buffer)内输入超出缓冲区边界的数据,从而覆盖掉维护程序执行状态的相关寄存器或内存区域,并在此基础上执行任意恶意代码的一种攻击方式。因为程序无法处理过多的数据,导致数据开始被覆盖到其他的内存区域。这种攻击方式可以导致程序或系统崩溃,被远程攻击者滥用,危及计算机的机密和完整性,甚至窃取敏感数据,带有极高的破坏性。 缓冲区溢出攻击有以下几种攻击方法:
-
栈溢出攻击(Stack Overflow Attack):攻击者利用输入的数据覆盖程序的栈帧或环境,以此改变程序的执行流程和执行结果。
-
堆溢出攻击(Heap Overflow Attack):攻击者利用malloc、free等堆管理操作产生漏洞,向堆中插入伪造的数据,改变程序的执行流程和执行结果。
-
格式化字符串攻击(Format String Attack):攻击者利用格式化字符串的函数,例如printf等,指定格式化字符串并插入可控的恶意代码,从而达到控制程序流程或者获取敏感信息的攻击方式。
-
拒绝服务攻击(Denial of Service Attack):攻击者向程序输入大量的数据,使程序的缓冲区被填满,导致程序崩溃并拒绝服务的攻击方式。
|
| 重放攻击 |
重放攻击(Replay Attack)是一种网络攻击方法,攻击者在不受到密码学保护的情况下,复制或重复已经传输的数据,以使目标系统错误地接受非法请求并执行非法操作。 下面列出了几种常见的重放攻击方法:
-
重复攻击:攻击者复制以前的包并将其发送到目标系统,模拟重复的操作,从而欺骗系统认为这是新的数据包。
-
指定攻击:攻击者截获发往目标系统的数据包并对其内容进行修改或篡改,模拟目标系统上的其他操作,以达到控制系统的目的。
-
会话劫持攻击:攻击者截获将认证数据传输回目标系统的数据包,并使用这些数据包来欺骗目标系统,以访问系统中受保护的资源。
-
集成的攻击:攻击者多次进行攻击,使用相同的密钥并尝试连续地执行攻击,或攻击多个目标系统。
-
代码注入攻击:攻击者插入自己的代码,使他们能够模拟指定的数据包并发送伪造数据包,使目标系统错误地执行非法操作。
|
| 中间人攻击 |
(Man-in-the-Middle Attack,MITM Attack)攻击者通过篡改、监听、重发等方式干扰两个通信方之间的通信,从而在不被察觉的情况下窃取通信内容和实施攻击行为的一种网络攻击方式。 下面列举几种常见的中间人攻击方法:
-
ARP欺骗:攻击者使用ARP欺骗技术,刻意发送虚假的ARP广播信息,欺骗路由器或交换机,让攻击者的MAC地址被记为目标IP地址的MAC地址。这样,攻击者的计算机将会接收到目标计算机发送的所有通信,从而进行窃听、篡改等攻击行为。
-
DNS欺骗:攻击者利用DNS欺骗技术,在本地缓存或者路由器DNS缓存中伪造与目标域名相同的IP地址记录,当用户访问目标网站时,就会被重定向到攻击者所掌控的恶意网站上。
-
SSL剥离:攻击者伪装成受信任的通信机构,通过攻击Internet传输控制协议(TCP)握手阶段,从而使受害者与其想要的网站建立了通信,而不是发送到正确的网站。
-
IP欺骗:攻击者会修改IP头中的源地址来指向另一个受信任的地址,并将读取到的数据还原成原始形式,以此来制造、灌输虚假信息。
-
会话劫持:攻击者通过截获受害者与目标服务器间的通信,获得登录信息、会话ID等机密信息,再利用这些信息来模拟目标用户的身份进入系统,进行非法操作。
|
| 数据驱动攻击 |
(Data-Driven Attack)是指攻击者收集大量数据,并利用统计学技术和机器学习算法分析数据,以获取攻击目标的相关信息,并对其进行精准攻击的一种新型攻击方式。 具体的数据驱动攻击方法包括以下几种:
-
基于数据挖掘的攻击:攻击者通过对收集到的数据进行挖掘,分析目标的行为模式、喜好、习惯以及偏好等,来发现其潜在的安全漏洞和被攻击的薄弱环节。
-
基于恶意数据的攻击:攻击者会针对一些存在漏洞的应用程序和系统,制造和注入恶意数据,从而在漏洞被触发时进行攻击。利用监督机器学习的方法,对恶意数据进行分析和识别,从而提高攻击效率。
-
基于识别准确率的攻击:攻击者会通过机器学习模型的相关参数探测,来发现系统的缺陷,并针对深度学习模型建立对抗性样本,加大识别错误率,实现精准攻击。
-
基于深度学习模型的攻击:攻击者会针对深度学习模型的训练数据集进行攻击,将有针对性地注入一些恶意样本或引入重度噪音,从而破坏模型的深度学习过程,然后使模型失效。
|