备案控制台
开发者社区 安全 文章 正文

网络安全的行业黑话 ——攻击篇 之攻击方法

2024-01-30 86
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 网络安全的行业黑话 ——攻击篇 之攻击方法

网络安全的行业黑话

二、攻击方法

挂马

就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。

挖洞

指漏洞挖掘。

加壳

就是利用特殊的算法,将EXE可执行程序或者DLL动态连接库文件的编码进行改变(比如实现压缩、加密),以达到缩小文件体积或者加密程序编码,甚至是躲过杀毒软件查杀的目的。

目前较常用的壳有UPX,ASPack、PePack、PECompact、UPack、免疫007、木马彩衣等等。

溢出

简单的解释就是程序对输入数据没有执行有效的边界检测而导致错误,后果可能是造成程序崩溃或者是执行攻击者的命令。

缓冲区溢出

攻击者向一个地址区输入这个区间存储不下的大量字符。在某些情况下,这些多余的字符可以作为“执行代码”来运行,因此足以使攻击者不受安全措施限制而获得计算机的控制权。

注入

Web安全头号大敌。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。

注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。注入漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中出现。

SQL注入

注入攻击最常见的形式,主要是指Web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询或其他操作,导致数据库信息泄露或非授权操作数据表。

注入点

即可以实行注入的地方,通常是一个涉及访问数据库的应用链接。根据注入点数据库的运行帐号的权限的不同,你所得到的权限也不同。

软件脱壳

顾名思义,就是利用相应的工具,把在软件“外面”起保护作用的“壳”程序去除,还文件本来面目,这样再修改文件内容或进行分析检测就容易多了。

免杀

就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序,使其逃过杀毒软件的查杀。

暴力破解

简称“爆破”。黑客对系统中账号的每一个可能的密码进行高度密集的自动搜索,从而破坏安全并获得对计算机的访问权限。

洪水攻击

是黑客比较常用的一种攻击技术,特点是实施简单,威力巨大,大多是无视防御的。

从定义上说,攻击者对网络资源发送过量数据时就发生了洪水攻击,这个网络资源可以是router,switch,host,application等。

洪水攻击将攻击流量比作成洪水,只要攻击流量足够大,就可以将防御手段打穿。

DDoS攻击便是洪水攻击的一种。

SYN攻击

利用操作系统TCP协调设计上的问题执行的拒绝服务攻击,涉及TCP建立连接时三次握手的设计。

DoS攻击

拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。

DDoS

分布式DOS攻击,常见的UDP、SYN、反射放大攻击等等,就是通过许多台肉鸡一起向你发送一些网络请求信息,导致你的网络堵塞而不能正常上网。

抓鸡

即设法控制电脑,将其沦为肉鸡。

端口扫描

端口扫描是指发送一组端口扫描消息,通过它了解到从哪里可探寻到攻击弱点,并了解其提供的计算机网络服务类型,试图以此侵入某台计算机。

花指令

通过加入不影响程序功能的多余汇编指令,使得杀毒软件不能正常的判断病毒文件的构造。说通俗点就是“杀毒软件是从头到脚按顺序来识别病毒。如果我们把病毒的头和脚颠倒位置,杀毒软件就找不到病毒了”。

反弹端口

有人发现,防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。

于是,利用这一特性,反弹端口型软件的服务端(被控制端)会主动连接客户端(控制端),就给人“被控制端主动连接控制端的假象,让人麻痹大意。

网络钓鱼

攻击者利用欺骗性的电子邮件或伪造的 Web 站点等来进行网络诈骗活动。

诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息或邮件账号口令。

受骗者往往会泄露自己的邮箱、私人资料,如信用卡号、银行卡账户、身份证号等内容。

鱼叉攻击

鱼叉攻击是将用鱼叉捕鱼形象的引入到了网络攻击中,主要是指可以使欺骗性电子邮件看起来更加可信的网络钓鱼攻击,具有更高的成功可能性。

不同于撒网式的网络钓鱼,鱼叉攻击往往更加具备针对性,攻击者往往“见鱼而使叉”。

为了实现这一目标,攻击者将尝试在目标上收集尽可能多的信息。通常,组织内的特定个人存在某些安全漏洞。

钓鲸攻击

捕鲸是另一种进化形式的鱼叉式网络钓鱼。它指的是针对高级管理人员和组织内其他高级人员的网络钓鱼攻击。

通过使电子邮件内容具有个性化并专门针对相关目标进行定制的攻击。

水坑攻击

顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。

最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。

嗅探

嗅探指的是对局域网中的数据包进行截取及分析,从中获取有效信息。

文章标签:
安全
网络安全
数据安全/隐私保护
数据库
SQL
关键词:
网络方法
网络安全攻击
网络攻击方法
网络安全攻击方法
恬0917
目录
相关文章
weixin_836869520
|
16天前
|
存储 安全 JavaScript
【网络安全】CSRF攻击详解
【网络安全】CSRF攻击详解
weixin_836869520
34 1
-编程工程师-
|
22天前
|
存储 安全 云计算
网络攻击者在云中发现凭证之后不到10分钟就能发动攻击
网络攻击者在云中发现凭证之后不到10分钟就能发动攻击
-编程工程师-
21 1
愿天堂没有BUG(公众号同名)
|
25天前
|
数据可视化 算法 JavaScript
使用Python进行网络数据可视化的多种方法与技巧
在当今信息爆炸的时代,网络数据量呈指数级增长,了解和分析这些数据对于许多领域的决策制定至关重要。可视化是理解和解释大量数据的强大工具之一,而Python作为一种流行的编程语言,提供了丰富的库和工具来进行网络数据可视化。本文将介绍一些使用Python进行网络数据可视化的方法与技巧,并提供相应的代码实例。
愿天堂没有BUG(公众号同名)
25 1
省赚客_123456
|
5天前
|
算法 Java 数据库连接
Java中优化网络通信的方法和工具
Java中优化网络通信的方法和工具
省赚客_123456
6 0
保山hh
|
5天前
保存网络图片在sdcard两个方法
保存网络图片在sdcard两个方法
保山hh
8 0
小森ai小小贾
|
16天前
|
机器学习/深度学习 算法 搜索推荐
神经网络中的优化方法
摘要: 这篇内容介绍了梯度下降优化算法在机器学习中的挑战,如平缓区域、鞍点和局部最小值,以及如何通过改进策略来克服这些问题。文章提到了几种优化方法,包括Momentum、AdaGrad、RMSprop和Adam。Momentum通过累积历史梯度信息来调整参数更新,帮助模型在训练过程中更快地收敛。AdaGrad和RMSprop解决了AdaGrad学习率过早衰减的问题,RMSprop结合了Momentum和AdaGrad的优势,通过一阶矩估计和二阶矩估计动态调整学习率,尤其适用于大规模数据集和复杂模型。Adam是RMSprop的一个变种,是深度学习中最常用的优化器之一。
小森ai小小贾
16 0
sky_qiyi
|
1月前
计算机网络——物理层-编码与调制(数字基带信号、模拟基带信号、码元、常用编码、基本调制方法、混合调制)二
计算机网络——物理层-编码与调制(数字基带信号、模拟基带信号、码元、常用编码、基本调制方法、混合调制)二
sky_qiyi
24 0
1592440288735793
|
3天前
|
存储 安全 网络安全
网络安全与信息安全:漏洞与加密技术的关键知识
在当今数字化社会中,网络安全和信息安全问题日益突出。本文深入探讨了网络安全漏洞的类型与防范策略,以及加密技术在信息安全中的关键作用。通过提高安全意识和技术防护手段,保护个人和组织的信息免受攻击和泄露的威胁。 【7月更文挑战第4天】
1592440288735793
15 1
mrq4nk6ni2neg
|
3天前
|
安全 算法 网络安全
网络安全与信息安全:保护数据的关键策略
【7月更文挑战第4天】在数字化时代,网络安全和信息安全已成为组织和个人不可忽视的议题。本文将深入探讨网络安全漏洞的成因、当前加密技术的应用以及提升安全意识的重要性。文章旨在为读者提供一套综合性的知识体系,帮助他们更好地理解和应对网络环境中的安全威胁。
mrq4nk6ni2neg
10 3
1592440288735793
|
2天前
|
存储 安全 算法
网络安全与信息安全:漏洞与加密的辩证关系
在当今数字化社会中,网络安全漏洞与加密技术是信息安全中的两个关键议题。本文探讨了网络安全漏洞的成因及其对信息安全的影响,以及加密技术在保护数据安全中的重要性。通过分析这些方面,提升公众对网络安全问题的意识与理解。 【7月更文挑战第5天】
1592440288735793
12 1

热门文章

最新文章

  • 1
    【网络连接】ping不通的常见原因+解决方案,如何在只能访问网关时诊断,并修复IP不通的问题
  • 2
    深入理解Docker自定义网络:构建高效的容器网络环境
  • 3
    使用Python实现卷积神经网络(CNN)
  • 4
    某高校园区网络的规划与建设
  • 5
    SSH:加密安全访问网络的革命性协议
  • 6
    使用Python实现循环神经网络(RNN)的博客教程
  • 7
    计算机网络:CSMA/CA协议
  • 8
    RTnet – 灵活的硬实时网络框架
  • 9
    如何使用 Python 和 Netmiko 自动创建网络设备 VLAN,受益颇深!
  • 10
    【机器学习】什么是贝叶斯网络?
  • 1
    什么是网络安全等级保护测评(等保测评)?
    80
  • 2
    网络安全与信息安全:保护你的数据,保护你的世界
    27
  • 3
    网络防御前线:洞悉漏洞、加密之盾与安全意识觉醒
    20
  • 4
    探索现代网络安全的多层次防御机制
    30
  • 5
    网络安全与信息安全:防御前线的关键技术与意识觉醒
    20
  • 6
    数字堡垒的构建者:网络安全与信息安全的深层剖析
    20
  • 7
    网络安全与信息安全:防御前线的科学与艺术
    22
  • 8
    数字证书是网络安全领域不可或缺的一部分
    24
  • 9
    云端防御:融合云计算与网络安全的未来
    19
  • 10
    构建未来:AI驱动的自适应网络安全防御系统
    78

    • 相关课程

    更多
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 云网络白皮书-阿里云网络系列课
  • 网络安全攻防 - Web渗透测试
  • 企业上云攻略-阿里云网络产品应用系列教程
  • Linux网络进阶 - TCP/IP协议及OSI七层模型
  • 网络管理者必知-2分钟了解新出台的《网络安全法》

    • 相关电子书

    更多
  • 如何面对网络安全问题的挑战?治理企业的IT是关键
  • 2016阿里安全峰会-网络安全与区块链
  • 2016阿里安全峰会—— 网络安全情报在企业侧的落地与实践
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)