网络安全常见攻击与防御
一、全局总览与攻击分层定位
本体系覆盖的6类攻击,是全球OWASP Top 10高危漏洞、企业与个人网络安全的核心风险点,完整覆盖网络层-传输层-会话层-应用层全链路攻击面,可按攻击核心逻辑分为4大类,建立全局认知:
| 攻击大类 | 包含攻击类型 | 核心攻击本质 | 核心目标 |
|---|---|---|---|
| 应用层注入类攻击 | SQL注入、XSS | 利用应用输入处理缺陷,注入恶意代码/指令,打破原有业务逻辑边界 | 代码执行、数据窃取、权限提升 |
| 会话与权限控制类攻击 | CSRF、越权访问 | 利用身份会话、权限校验的逻辑缺陷,冒用合法用户身份/突破权限边界 | 未授权操作、数据泄露、业务篡改 |
| 传输层链路劫持攻击 | 中间人攻击(MITM) | 插入通信双方链路,劫持、监听、篡改双向通信内容 | 信息窃取、流量篡改、钓鱼欺诈 |
| 可用性瘫痪攻击 | DDoS | 分布式耗尽目标的带宽、系统、应用资源,导致服务中断 | 业务不可用、品牌与经济损失 |
二、六大攻击与防御 结构化详解
以下每类攻击均采用统一标准化结构,实现全链路、全生命周期的知识覆盖。
2.1 XSS(Cross-Site Scripting,跨站脚本攻击)
1. 基础定义与攻击本质
- 定义:攻击者在Web应用中注入恶意JavaScript脚本,当用户访问页面时,脚本在用户浏览器中自动执行,实现攻击目的。
- 本质:Web应用对用户输入未做有效过滤与输出编码,导致恶意脚本被浏览器当作合法代码执行,打破了“网站脚本仅能执行本站可信逻辑”的安全边界。
- 核心触发点:所有用户可控输入并回显到前端页面的位置(评论区、搜索框、个人资料、URL参数等)。
2. 攻击类型与细分场景
| 类型 | 核心原理 | 典型触发场景 | 风险等级 |
|---|---|---|---|
| 存储型XSS(持久型) | 恶意脚本被存入后端数据库,所有访问该页面的用户均会触发执行 | 论坛发帖、商品评论、用户私信、个人资料页 | 极高(蠕虫式传播,批量受害) |
| 反射型XSS(非持久型) | 恶意脚本拼接在URL中,诱导用户点击后,服务器将恶意内容回显到页面触发执行 | 搜索结果页、错误提示页、URL参数回显场景 | 高(定向钓鱼、精准攻击) |
| DOM型XSS | 恶意脚本直接在客户端浏览器的DOM树解析中执行,全程不经过后端服务器 | 前端路由、页面元素动态渲染、URL hash参数处理 | 高(难以被后端WAF检测) |
3. 完整攻击链路
- 攻击者定位Web应用的XSS漏洞点,构造恶意JS脚本
- 存储型:将恶意脚本提交至应用数据库;反射型/DOM型:构造带恶意脚本的URL
- 诱导目标用户访问含恶意脚本的页面/URL
- 用户浏览器加载页面时,恶意脚本被自动执行
- 攻击者完成会话劫持、数据窃取、钓鱼等攻击目标
- 典型案例:2011年新浪微博XSS蠕虫事件,数小时内感染数十万用户,自动发布恶意内容、批量关注攻击者账号。
4. 核心安全危害
- 会话劫持:窃取用户Cookie,冒用用户身份登录账号,执行敏感操作
- 数据窃取:盗取用户个人信息、账号密码、业务核心数据
- 钓鱼欺诈:伪造登录框、支付弹窗,诱导用户输入敏感信息
- 客户端控制:键盘记录、页面篡改、挖矿、DDoS肉鸡、浏览器权限滥用
- 品牌损害:网站被篡改、传播恶意内容,严重影响企业公信力
5. 全生命周期防御体系
事前核心防护(根本解决方案)
- 输入白名单校验:对所有用户可控输入执行严格的白名单校验,仅允许合法字符、格式与长度,拒绝危险特殊字符。
- 上下文匹配的输出编码:核心防御手段,对所有输出到HTML页面的用户可控内容,按输出场景执行对应编码:
- HTML上下文:HTML实体编码(
<转<、>转>、引号转义) - JavaScript上下文:JavaScript Unicode编码
- URL/CSS上下文:对应场景的专属编码规则
- HTML上下文:HTML实体编码(
- 内容安全策略CSP:HTTP响应头配置CSP,严格限制页面可加载的脚本源,禁用内联脚本、
eval函数,从根本上阻止未授权脚本执行。 - Cookie安全加固:核心Cookie设置
HttpOnly(禁止JS读取)、Secure(仅HTTPS传输)、SameSite属性。 - 前端框架原生防护:使用React、Vue等主流框架,其默认模板渲染机制会自动对输出内容编码,规避绝大多数DOM型XSS风险。
事中防护
- 部署Web应用防火墙(WAF),实时检测与拦截XSS攻击特征
- 前端部署JS异常监控,识别异常脚本执行、DOM篡改行为
事后修复
- 定期开展XSS漏洞扫描、渗透测试、代码审计
- 建立应急响应机制,发生攻击时立即下线恶意内容、重置受害用户会话、修复漏洞
6. 检测与应急处置要点
- 检测手段:黑盒渗透测试(构造XSS Payload)、白盒代码审计、自动化扫描工具(Burp Suite、AWVS、Nessus)
- 应急流程:关闭漏洞入口→清理恶意内容→定位受害范围→重置用户会话→修复漏洞→复测上线→溯源取证
2.2 CSRF(Cross-Site Request Forgery,跨站请求伪造)
1. 基础定义与攻击本质
- 定义:攻击者诱导用户在已登录目标网站的状态下,访问恶意构造的第三方页面/链接,利用浏览器自动携带目标网站Cookie的机制,以用户的身份在目标网站执行非自愿的敏感操作。
- 本质:冒用用户的合法会话身份,利用Web应用对“请求来源是否为用户自愿发起”的校验缺陷,核心依赖浏览器的Cookie自动携带机制。
- 核心区别:与XSS不同,CSRF无需注入恶意脚本,仅需利用用户的已登录会话,伪造合法请求。
2. 攻击类型与细分场景
| 类型 | 核心原理 | 典型触发场景 |
|---|---|---|
| GET型CSRF | 恶意请求封装在图片、链接的URL中,用户加载/点击时自动发起GET请求 | 恶意页面的<img>标签、诱导点击的超链接 |
| POST型CSRF | 恶意页面构造自动提交的POST表单,用户访问页面时自动提交请求,执行敏感操作 | 修改密码、转账、管理员权限变更等POST接口 |
| 嵌套型CSRF | 结合XSS漏洞,在目标站点内注入CSRF攻击代码,绕过同源策略限制,攻击成功率极高 | 存在XSS漏洞的站内页面,实现蠕虫式CSRF攻击 |
3. 完整攻击链路
- 用户登录目标网站A,浏览器保存网站A的登录Cookie,保持会话有效
- 攻击者构造针对网站A敏感接口的恶意请求,嵌入到第三方恶意网站B
- 诱导用户在登录状态下访问网站B
- 网站B的恶意代码自动触发,向网站A发起请求,浏览器自动携带网站A的有效Cookie
- 网站A服务器接收请求,验证Cookie有效,认为是用户本人发起的合法操作,执行对应指令
- 攻击者完成修改用户密码、转账、删除数据等攻击目标
- 典型案例:2008年YouTube CSRF漏洞,攻击者可诱导用户访问恶意页面,自动为攻击者账号添加关注、上传恶意视频。
4. 核心安全危害
- 以用户身份执行敏感操作:修改密码、绑定恶意手机号、转账支付、信息篡改
- 业务数据破坏:删除核心数据、提交恶意内容、批量操作业务
- 权限提升:针对管理员账号的CSRF,可直接获取网站管理权限,接管整个系统
- 用户资产损失与品牌声誉受损
5. 全生命周期防御体系
事前核心防护(根本解决方案)
- CSRF Token校验:行业标准防御方案
- 服务器为每个用户会话生成唯一、不可预测的Token,存储在服务端Session中
- 前端所有敏感请求必须携带该Token,服务端对Token与会话的一致性做严格校验
- Token禁止存放在Cookie中,需放在请求头、请求体中传递
- SameSite Cookie属性:核心浏览器端防护
- 设置
SameSite=Strict/Lax,禁止第三方网站跨域携带本站Cookie,从根源上阻断CSRF的核心依赖 - Strict:完全禁止跨域携带Cookie;Lax:仅允许安全的GET方法跨域携带,兼顾安全与兼容性
- 设置
- 同源检测机制:服务端校验请求的
Origin/Referer请求头,验证请求来源是否为本站可信域名,拒绝外域非法请求 - 二次验证机制:核心敏感操作(修改密码、转账、权限变更)增加验证码、短信验证、支付密码等二次身份校验
事中防护
- WAF配置CSRF攻击防护规则,拦截异常跨域请求、无Referer的敏感操作请求
- 业务日志监控,识别同一账号短时间内的异常敏感操作
事后修复
- 定期开展CSRF专项渗透测试,排查敏感接口的校验缺陷
- 发生攻击时,立即终止受害用户会话,撤销非法操作,修复漏洞
6. 检测与应急处置要点
- 检测手段:黑盒测试(构造跨域请求验证接口是否校验)、白盒代码审计(排查敏感接口是否有CSRF防护逻辑)
- 应急流程:终止受害用户会话→撤销非法操作→定位漏洞接口→补充防护逻辑→全量接口复测→溯源攻击来源
2.3 SQL注入攻击
1. 基础定义与攻击本质
- 定义:攻击者将恶意SQL语句注入到Web应用的输入参数中,后端服务器将恶意输入拼接到SQL语句中执行,从而打破原有SQL逻辑,实现非法数据库操作。
- 本质:代码与数据未做隔离,Web应用直接将用户可控输入拼接到SQL语句中,导致数据库将恶意输入当作SQL指令执行,突破了应用与数据库的访问边界。
- 核心触发点:所有用户可控参数(URL参数、表单提交、请求体)被用于拼接SQL语句的场景。
2. 攻击类型与细分场景
| 类型 | 核心原理 | 适用场景 | 风险等级 |
|---|---|---|---|
| 按注入点类型 | 数字型注入 | 注入点为数字型参数(如id=1),无需闭合引号,直接拼接SQL语句 |
入门级,易利用 |
| 字符型注入 | 注入点为字符串型参数,需通过单/双引号闭合原有SQL语句,构造恶意逻辑 | 最常见,高风险 | |
| 按回显方式 | 报错注入 | 利用数据库报错机制,通过构造错误语句,将查询结果直接回显到页面 | 高效,极高风险 |
| 布尔盲注 | 页面无明确报错与数据回显,通过构造条件语句,根据页面返回的真假结果,逐字符猜解数据 | 无回显场景,高风险 | |
| 时间盲注 | 页面无任何回显差异,通过sleep()等延时函数,根据页面响应时间判断语句真假,猜解数据 |
完全无回显场景,高风险 | |
| 高级注入类型 | 堆叠注入 | 利用数据库多语句执行特性,一次性执行多条SQL语句,实现删库、写文件等高危操作 | 极高风险,可直接接管服务器 |
| 宽字节注入 | 利用数据库字符集编码缺陷,绕过单引号转义,实现注入 | 老旧系统,GBK编码场景 |
3. 完整攻击链路
- 攻击者定位Web应用的SQL注入点,判断注入类型与数据库类型
- 构造恶意SQL注入Payload,通过输入参数提交到后端服务器
- 后端将恶意Payload拼接到SQL语句中,提交给数据库执行
- 数据库执行恶意SQL语句,返回结果给后端应用
- 攻击者通过回显、报错、延时等方式,获取数据库数据、执行高危操作
- 最终实现拖库、提权、写入webshell、接管服务器等攻击目标
- 典型案例:2015年携程旅行网SQL注入漏洞,导致大量用户个人信息、银行卡数据泄露。
4. 核心安全危害
- 数据泄露:拖库窃取用户账号密码、个人信息、业务核心数据、商业机密
- 数据破坏:篡改、删除数据库数据,甚至删库、删表,导致业务瘫痪
- 权限提升:通过数据库提权,获取服务器操作系统权限,写入webshell,接管整个服务器
- 横向渗透:以数据库服务器为跳板,攻击内网其他系统,扩大攻击范围
- 合规风险:违反《网络安全法》《数据安全法》《个人信息保护法》,面临监管处罚与法律责任
5. 全生命周期防御体系
事前核心防护(根本解决方案)
- 预编译语句(参数化查询):行业黄金标准,唯一根本解决方案
- 预先定义SQL语句的结构,将用户输入作为参数传递,而非直接拼接到SQL语句中
- 数据库会将参数仅当作数据处理,无论参数内容如何,都不会被当作SQL指令执行
- 禁止任何形式的字符串拼接SQL语句,包括存储过程内的拼接逻辑
- ORM框架正确使用:使用MyBatis、Hibernate等ORM框架,严格使用
#{}参数绑定语法,禁止使用${}字符串替换语法 - 数据库最小权限原则:
- 为Web应用分配独立的数据库账号,仅授予业务必需的最小权限(如仅SELECT/INSERT/UPDATE,禁止DROP/ALTER等高危权限)
- 禁止使用root、sa等管理员账号连接业务数据库
- 输入白名单校验:对所有用户可控参数执行严格的白名单校验,如数字型参数仅允许数字,日期参数仅允许合法日期格式
事中防护
- 部署WAF,配置SQL注入防护规则,实时拦截恶意注入特征
- 数据库审计系统,监控异常SQL语句执行、高危操作、批量数据查询行为
- 禁用数据库危险函数与存储过程(如
xp_cmdshell、load_file、into outfile)
事后修复
- 定期开展SQL注入专项扫描、渗透测试、代码审计
- 建立应急响应机制,发生攻击时立即切断攻击链路,隔离受影响系统,排查数据泄露范围
6. 检测与应急处置要点
- 检测手段:黑盒渗透测试(构造注入Payload)、白盒代码审计(排查SQL拼接逻辑)、自动化扫描工具、数据库审计日志分析
- 应急流程:下线漏洞入口→隔离受影响系统→排查数据泄露与篡改范围→恢复数据→修复漏洞→全量复测→合规上报与溯源取证
2.4 越权访问攻击
1. 基础定义与攻击本质
- 定义:Web应用的权限控制逻辑存在缺陷,攻击者能够以合法登录的身份,访问/操作不属于其权限范围内的资源或功能,甚至访问未授权的接口。
- 本质:服务端未对用户的操作执行严格的权限校验,仅依赖前端的权限控制(如按钮隐藏、菜单禁用),攻击者可直接调用后端接口,突破权限边界。
- 核心触发点:所有带资源标识的接口(如用户ID、订单ID、文件ID)、权限分级的功能接口。
2. 攻击类型与细分场景
| 类型 | 核心原理 | 典型场景 | 风险等级 |
|---|---|---|---|
| 水平越权 | 同权限级别、不同用户之间的越权,攻击者访问/操作同角色其他用户的私有资源 | 用户A查看/修改用户B的订单、个人信息、收货地址 | 高(批量数据泄露) |
| 垂直越权(权限提升) | 低权限用户越权访问/操作高权限用户的功能,实现权限向上突破 | 普通用户访问管理员后台、执行管理员专属的用户管理、系统配置操作 | 极高(系统接管) |
| 交叉越权 | 同时包含水平越权与垂直越权,低权限用户既可以访问同角色其他用户资源,也可以访问高权限功能 | 普通用户既可以查看其他用户数据,也可以操作管理员接口 | 极高 |
| 未授权访问 | 无需登录认证,即可直接访问需要授权的接口与资源,属于最基础的越权缺陷 | 未登录即可访问用户中心、后台管理接口、下载内部文件 | 极高 |
3. 完整攻击链路
- 攻击者以合法身份登录Web应用,抓取正常业务的接口请求,获取接口地址、参数格式
- 修改接口中的资源标识(如将用户ID改为其他用户的ID)、接口路径(如将普通接口改为管理员接口)
- 向后端服务器发送修改后的请求
- 后端服务器未校验当前登录用户的权限,直接执行请求对应的操作,返回数据
- 攻击者成功越权访问/操作非授权的资源与功能
- 典型案例:大量电商平台、政务系统的水平越权漏洞,攻击者可遍历用户ID,批量下载所有用户的订单、身份证、银行卡等敏感信息。
4. 核心安全危害
- 批量数据泄露:水平越权可遍历获取所有用户的个人信息、业务数据、隐私文件
- 业务篡改与破坏:越权修改、删除其他用户的数据,甚至篡改系统配置
- 系统接管:垂直越权获取管理员权限,完全控制整个应用系统
- 合规风险:大规模个人信息泄露,违反数据安全相关法律法规,面临巨额处罚与法律责任
5. 全生命周期防御体系
事前核心防护(根本解决方案)
- 服务端全接口权限校验:唯一根本原则,所有权限校验必须在服务端执行,前端校验仅作为辅助,完全不可信
- 每一个需要授权的接口,必须先校验用户的登录状态,再校验用户的角色与权限,确认其有权限访问该接口、操作该资源
- 对于带资源标识的接口,必须校验当前登录用户是否为该资源的所属者,或具备该资源的操作权限
- 统一权限管控框架:基于RBAC(基于角色的访问控制)模型,构建统一的权限管理中间件/过滤器,避免每个接口单独写权限校验逻辑,防止遗漏
- 最小权限原则:为每个用户、角色分配业务必需的最小权限,禁止过度授权
- 不可预测的资源标识:避免使用自增ID、顺序编号等可遍历的资源标识,使用UUID、雪花ID等不可预测的字符串作为资源唯一标识,防止批量遍历越权
事中防护
- 接口网关配置统一鉴权规则,拦截未授权的接口访问
- 业务日志监控,识别同一账号短时间内的异常资源访问、批量ID遍历行为
- 接口限流,防止攻击者批量遍历接口,实施数据拖库
事后修复
- 定期开展越权访问专项渗透测试,重点排查带资源参数的接口、分级权限接口
- 全量代码审计,排查接口是否缺失服务端权限校验逻辑
- 发生攻击时,立即终止受害用户会话,排查数据泄露范围,修复漏洞
6. 检测与应急处置要点
- 检测手段:黑盒渗透测试(修改用户ID/接口路径,验证是否越权)、白盒代码审计(排查接口权限校验逻辑)、自动化API安全扫描
- 应急流程:终止攻击会话→关闭漏洞接口→排查数据泄露范围→恢复数据→补充全接口权限校验→全量复测→合规上报
2.5 中间人攻击(Man-in-the-Middle,MITM)
1. 基础定义与攻击本质
- 定义:攻击者在通信双方的链路中间,插入自己的节点,劫持双方的通信流量,实现对通信内容的监听、窃取、篡改,而通信双方完全不知情,以为仍在直接通信。
- 本质:打破通信双方的身份信任与链路加密,攻击者成为通信的“中转节点”,全程掌控双向通信内容。
- 核心触发点:公共WiFi、局域网、DNS解析、HTTP明文传输、HTTPS配置缺陷场景。
2. 攻击类型与细分场景
| 类型 | 核心原理 | 典型攻击场景 |
|---|---|---|
| ARP欺骗 | 攻击者在局域网内伪造ARP应答,欺骗网关与目标主机,将自己的MAC地址伪装成网关/目标主机,劫持局域网流量 | 公共WiFi、家庭/办公局域网,是最常见的内网MITM攻击 |
| DNS劫持 | 攻击者篡改DNS解析结果,将目标域名解析到攻击者的恶意IP地址,用户访问域名时会连接到攻击者的服务器 | 路由器DNS篡改、运营商DNS劫持、恶意DNS服务器、本地hosts文件篡改 |
| SSL/TLS剥离攻击(降级攻击) | 攻击者将用户的HTTPS请求降级为HTTP明文请求,全程以明文劫持通信内容,而用户无法察觉 | 公共WiFi场景,配合ARP欺骗实现 |
| 伪造证书攻击 | 攻击者伪造目标网站的SSL证书,诱导用户信任该证书,从而建立加密连接,攻击者可解密所有HTTPS流量 | 钓鱼网站、恶意根证书安装、内网证书管控缺陷场景 |
| 恶意热点劫持 | 攻击者搭建与官方同名的免费公共WiFi热点,用户连接后,所有流量均经过攻击者的节点,实现全程劫持 | 商场、机场、咖啡厅等公共场所的免费WiFi |
3. 完整攻击链路
- 攻击者通过ARP欺骗、恶意热点、DNS劫持等方式,插入到客户端与服务器的通信链路中间
- 客户端与攻击者建立连接,攻击者与目标服务器建立连接,形成“客户端→攻击者→服务器”的双向通信链路
- 客户端发送的所有请求,先经过攻击者,攻击者可监听、记录、篡改内容后,转发给服务器
- 服务器返回的所有响应,先经过攻击者,攻击者可监听、记录、篡改内容后,转发给客户端
- 通信双方全程无感知,攻击者完成账号密码窃取、数据篡改、钓鱼注入等攻击目标
- 典型案例:2013年FireSheep工具,可在公共WiFi中通过ARP欺骗,劫持大量网站的用户Cookie,实现会话劫持。
4. 核心安全危害
- 信息窃取:监听通信内容,窃取用户账号密码、银行卡信息、个人隐私、业务机密数据
- 数据篡改:篡改交易金额、订单信息、业务数据,造成用户资产损失与业务混乱
- 钓鱼欺诈:在页面中注入钓鱼弹窗、恶意代码,诱导用户下载木马、输入敏感信息
- 会话劫持:窃取用户会话Cookie,冒用用户身份登录网站,执行敏感操作
- 木马植入:在下载的文件中植入木马、病毒,控制用户设备
5. 全生命周期防御体系
事前核心防护(根本解决方案)
- 全站HTTPS与TLS安全配置:核心根本防御手段
- 全站启用HTTPS,禁用HTTP明文传输,使用TLS 1.2/1.3版本,禁用SSL、TLS 1.0/1.1等不安全协议
- 配置安全的加密套件,禁用弱加密算法,部署正确的SSL证书链
- 配置HSTS(HTTP Strict Transport Security)HTTP响应头,强制浏览器始终使用HTTPS访问网站,禁止降级到HTTP,彻底阻止SSL剥离攻击
- 严格的证书校验机制:
- 客户端与服务端均严格校验SSL证书的有效性、域名匹配性、颁发机构可信度,禁止信任自签名证书、未知根证书
- 部署证书固定(Certificate Pinning)技术,客户端仅信任预先固定的站点证书/公钥,防止伪造证书攻击
- 网络层防护:
- 局域网内配置静态ARP绑定,防止ARP欺骗
- 使用可信的DNS服务器,部署DNSSEC技术,防止DNS劫持
- 避免连接无密码的公共免费WiFi,敏感操作必须使用手机流量、企业VPN
- 端到端加密:核心敏感数据在传输前,先进行端到端加密,即使流量被劫持,攻击者也无法解密内容
事中防护
- 部署入侵检测系统(IDS)/入侵防御系统(IPS),检测ARP欺骗、异常DNS解析、SSL异常行为
- 终端安全软件,检测恶意热点、伪造证书、网络劫持行为
- 网站安全监控,识别页面内容被篡改、异常注入行为
事后修复
- 发现劫持行为时,立即断开网络连接,更换可信网络环境
- 重置所有被窃取的账号密码,终止异常会话,排查资产损失
- 排查劫持来源,修复网络、系统、应用的安全缺陷
6. 检测与应急处置要点
- 检测手段:网络抓包分析(Wireshark)、ARP缓存检查、DNS解析验证、证书有效性校验、网络劫持检测工具
- 应急流程:断开不可信网络→重置账号密码→排查数据泄露与资产损失→定位劫持来源→修复安全缺陷→终端病毒查杀
2.6 DDoS(Distributed Denial of Service,分布式拒绝服务攻击)
1. 基础定义与攻击本质
- 定义:攻击者控制大量傀儡主机(肉鸡)、物联网设备,同时向目标服务器/网络发起大量恶意请求,耗尽目标的带宽、系统资源、应用资源,导致目标无法处理正常用户的请求,业务彻底中断。
- 本质:以资源耗尽为核心的可用性攻击,不直接窃取数据,而是通过瘫痪业务,造成企业经济损失、品牌损害,甚至勒索敲诈。
- 核心触发点:公网可访问的服务器、网站、APP、游戏等在线业务。
2. 攻击类型与细分场景
按OSI七层模型,分为3大类,覆盖从网络层到应用层的全链路攻击:
| 攻击层级 | 攻击类型 | 核心原理 | 攻击特点 |
|---|---|---|---|
| 网络层DDoS(流量型攻击) | SYN Flood | 利用TCP三次握手缺陷,发送大量伪造源IP的SYN请求,服务器半开连接耗尽,无法处理正常请求 | 最经典,耗尽服务器TCP连接资源 |
| UDP Flood | 发送大量伪造的UDP数据包,占满目标带宽,导致正常流量无法通过 | 大流量攻击,主打带宽耗尽 | |
| ICMP Flood(Ping Flood) | 发送大量ICMP Echo请求,耗尽目标带宽与系统资源 | 简单粗暴,带宽型攻击 | |
| DRDoS反射放大攻击 | 伪造目标IP,向大量开放的NTP/DNS/SSDP服务器发送请求,服务器将放大数十/数百倍的响应包发送给目标,实现超大规模流量攻击 | 攻击成本极低,流量放大效果极强,是当前主流大流量攻击 | |
| 传输层DDoS | ACK Flood、RST Flood | 发送大量伪造的TCP ACK/RST数据包,耗尽目标的防火墙、服务器处理性能 | 绕过基础防护,主打设备性能耗尽 |
| 应用层DDoS | HTTP/HTTPS Flood | 控制大量肉鸡,模拟正常用户,向目标网站发起大量HTTP/HTTPS请求,耗尽应用服务器、数据库性能 | 模拟正常流量,难以被防护设备识别 |
| CC攻击(Challenge Collapsar) | 针对网站的动态页面、数据库查询接口,发起大量并发请求,耗尽数据库与应用资源 | 小流量即可打瘫业务,是当前最主流的应用层攻击 | |
| DNS Flood | 向目标DNS服务器发起大量域名解析请求,耗尽DNS服务器资源,导致域名无法正常解析 | 针对DNS服务商,实现全站瘫痪 |
3. 完整攻击链路
- 攻击者通过木马、病毒,控制大量互联网主机、物联网设备,组建僵尸网络(Botnet)
- 攻击者通过控制端,向僵尸网络下发攻击指令,指定攻击目标、攻击类型、攻击时长
- 海量傀儡主机同时向目标发起恶意请求,形成分布式攻击流量
- 目标的带宽、防火墙、服务器、应用、数据库资源被快速耗尽,无法处理正常用户请求
- 目标业务彻底中断,攻击者持续攻击,直至达到勒索、打击竞争对手等目的
- 典型案例:2021年亚马逊AWS遭遇的2.3Tbps超大流量DDoS攻击,是迄今为止公开的最大规模DDoS攻击。
4. 核心安全危害
- 业务瘫痪:网站、APP、游戏等在线业务完全无法访问,持续中断服务
- 经济损失:电商、游戏等业务中断直接导致营收损失,同时需支付高额防护成本、带宽成本
- 品牌损害:业务长期不可用,导致用户流失,品牌公信力严重受损
- 勒索敲诈:攻击者以停止攻击为条件,向企业索要巨额比特币赎金
- 合规风险:关键信息基础设施业务中断,违反《网络安全法》相关规定,面临监管问责
5. 全生命周期防御体系
DDoS防护核心原则是纵深防御、分层清洗,没有单一的万能解决方案,必须构建多层防护体系。
事前核心防护体系
- 带宽与架构冗余:
- 预留充足的带宽冗余,应对突发流量攻击
- 采用分布式业务架构,多节点、多区域部署,避免单点故障,分散攻击压力
- 上游流量清洗(网络层防护):
- 接入高防IP/高防CDN/云清洗服务,将业务流量先经过高防节点清洗,仅将正常流量转发到源站
- 针对超大流量攻击,对接运营商级流量清洗服务,在骨干网层面拦截恶意流量
- 中间层防护:
- 部署专业抗DDoS硬件防火墙、IPS,拦截异常数据包、伪造源IP攻击
- 配置TCP连接防护规则,限制单IP的并发连接数、半开连接数,抵御SYN Flood等攻击
- 源站与应用层防护:
- 隐藏源站真实IP,仅允许高防节点的回源IP访问源站,避免攻击者直接攻击源站
- 应用层配置限流规则:限制单IP的请求频率、并发数,针对动态接口、数据库查询接口做精准限流
- 人机验证:针对异常请求,弹出验证码、滑块验证,区分正常用户与机器攻击,抵御CC攻击
- 静态资源全量接入CDN,分离动态请求与静态请求,减轻源站压力
事中防护
- 实时流量监控,建立DDoS攻击告警机制,快速识别攻击启动、攻击类型、攻击规模
- 攻击发生时,立即切换高防线路,启动流量清洗规则,封禁恶意IP段
- 针对应用层攻击,紧急升级限流规则、人机验证策略,关闭非核心业务接口,保障核心业务可用
事后优化
- 攻击结束后,复盘攻击数据,优化防护规则,补齐防护短板
- 定期开展DDoS攻防演练,验证防护体系的有效性
- 完善应急响应预案,明确攻击发生时的处置流程、责任人、升级机制
6. 检测与应急处置要点
- 检测手段:流量监控平台、DDoS防护设备告警、业务可用性监控、服务器资源监控
- 应急流程:启动应急预案→切换高防线路→启动流量清洗→封禁恶意IP→优化限流与防护规则→保障核心业务可用→攻击结束后复盘优化
三、六大攻击核心特性横向对比表
| 攻击类型 | 攻击层级 | 核心目标 | 攻击前提 | 核心利用点 | 核心防御要点 | 风险等级 |
|---|---|---|---|---|---|---|
| XSS | 应用层 | 会话劫持、数据窃取、代码执行 | 应用存在输入输出处理缺陷 | 浏览器执行恶意脚本 | 输出编码、CSP、HttpOnly Cookie | 高-极高 |
| CSRF | 应用层/会话层 | 冒用用户身份执行敏感操作 | 用户保持目标网站登录状态 | 浏览器自动携带Cookie | CSRF Token、SameSite Cookie、同源校验 | 高 |
| SQL注入 | 应用层/数据层 | 数据拖库、权限提升、服务器接管 | 应用存在SQL语句拼接缺陷 | 代码与数据未隔离 | 预编译参数化查询、最小权限原则 | 极高 |
| 越权访问 | 应用层/权限层 | 未授权数据访问、权限提升 | 服务端缺失权限校验逻辑 | 前端权限控制不可信 | 服务端全接口权限校验、RBAC模型 | 高-极高 |
| 中间人攻击 | 网络层/传输层 | 流量监听、数据窃取、内容篡改 | 攻击者可插入通信链路 | 明文传输、加密与证书缺陷 | 全站HTTPS、HSTS、严格证书校验 | 高 |
| DDoS | 网络层-应用层全链路 | 业务可用性瘫痪、服务中断 | 目标公网可访问、攻击者控制僵尸网络 | 资源耗尽 | 高防IP/CDN、分层流量清洗、应用层限流 | 极高 |
四、通用全生命周期安全防御体系
以上6类攻击的防御,均需融入企业整体安全体系,遵循以下通用安全原则,构建纵深防御架构:
- SDL安全开发生命周期:将安全融入需求、设计、开发、测试、上线、运维全流程,从源头规避漏洞
- 最小权限原则:为系统、应用、数据库、用户分配业务必需的最小权限,禁止过度授权
- 纵深防御原则:构建多层防护体系,避免单一防护节点失效导致整体安全崩塌
- 永不信任原则(零信任架构):默认不信任任何内部/外部请求,每一次访问都必须执行身份认证与权限校验
- 持续安全运营:定期开展漏洞扫描、渗透测试、代码审计、安全攻防演练,持续修复安全缺陷
- 应急响应能力:建立完善的安全事件应急响应预案,明确处置流程、责任人,提升攻击发生时的快速处置能力
- 安全意识培训:针对开发、运维、业务人员开展常态化安全培训,提升全员安全意识,规避人为因素导致的安全风险
