网络安全的基础知识 · 网络攻击（Cyber Attacks）和小明的防御手段（二）

站长

2024年06月12日 17:37 · 阅读数 138

在上一篇中，我们详细介绍了几种常见的网络攻击类型及其解决方案，包括恶意软件、网络钓鱼、拒绝服务攻击、SQL注入、跨站点脚本攻击和跨站点请求伪造攻击。通过小明的案例，我们看到了这些攻击的实际影响以及如何有效防御它们。

在本篇中，我们将进一步探讨网络攻击防护的最佳实践。这些实践不仅适用于应对特定类型的攻击，还能提升整体网络安全性，减少潜在的安全风险。通过综合运用这些方法，个人和组织都能更好地保护自己的数字资产和敏感信息。

7. 中间人攻击（MitM）

原理

中间人攻击（MitM）是一种攻击手段，攻击者通过插入自己到通信双方之间，使双方认为他们正在直接通信，但实际上所有的数据流都经过攻击者。攻击者可以窃取、篡改或监视通信的内容，从而获取敏感信息。

目的

中间人攻击的主要目的是窃取敏感信息，如登录凭证、信用卡信息、个人数据或加密的通信内容。攻击者还可能篡改通信内容，注入恶意代码或进行其他恶意操作。

解决方案

使用加密通信

使用加密协议（如TLS/SSL）来确保通信在传输过程中是安全的，难以被攻击者解密。加密通信可以保护数据的机密性和完整性。
- HTTPS：确保所有敏感信息通过HTTPS传输，而不是HTTP。HTTPS使用SSL/TLS加密通信，防止中间人窃听和篡改数据。
- VPN：使用虚拟专用网络（VPN）来加密所有网络流量，尤其是在使用公共Wi-Fi时。VPN可以隐藏用户的真实IP地址，并加密通信数据。
数字证书验证

使用数字证书来验证通信双方的身份，确保不会与中间人进行通信。数字证书由受信任的证书颁发机构（CA）签发，确保网站的真实性。
- 证书颁发机构（CA）：使用受信任的CA签发的数字证书，避免使用自签名证书或不受信任的证书。
- 证书吊销列表（CRL）和在线证书状态协议（OCSP）：定期检查证书的有效性，确保证书没有被吊销。
公共Wi-Fi警惕

在使用公共Wi-Fi时，要谨慎对待，以防止中间人窃听。公共Wi-Fi网络通常没有加密，容易被攻击者利用。
- 避免使用公共Wi-Fi处理敏感信息：在公共Wi-Fi网络上，避免登录银行账户、输入信用卡信息或进行其他敏感操作。
- 使用VPN：在公共Wi-Fi上使用VPN来加密所有通信数据，防止中间人攻击。
- 关闭自动连接：关闭设备的自动连接功能，避免自动连接到不安全的Wi-Fi网络。

小明的例子

小明是一名大学生，平时喜欢在咖啡馆使用公共Wi-Fi学习和上网。一天，小明在公共Wi-Fi上登录了自己的银行账户，几天后发现账户中的钱被转走了。小明意识到自己可能遭遇了中间人攻击。

小明在网吧观看比赛的时候，突然接到社团长来电话说校内论坛上有个贴子内涵他想让作为管理员的小明删除。小明想着，反正闲着也是闲着先看看删不删的再说。他的手机此时连接上了一个网吧的《公众WIFI》(哦又要省流量了，等等下几部电影看看)，他也没多想输入密码登录学校论坛。

噫~这社长净瞎说，人家贴子说的是一个帅逼学长和三个学妹的故事。你，哪里帅了？

小明开开心心吃瓜的时候没有注意到，他的账号和密码已经被盗了。而且在他下线之后，盗号者登录了他的账号密码直接把贴子置顶了。

小明的解决方案

使用VPN：为了防止类似事件再次发生，小明决定在使用公共Wi-Fi时，始终通过VPN来加密自己的网络流量。这样，即使攻击者截获了数据，也无法解密其中的内容。
检查HTTPS连接：小明学会了在访问敏感网站时，确保URL以“https://”开头，并检查浏览器地址栏中的锁定图标，以确认连接是安全的。
启用双因素认证：小明为自己的银行账户和其他重要账户启用了双因素认证（2FA）。即使攻击者获取了他的密码，没有第二个认证因素，攻击者也无法登录他的账户。
教育自己和他人：小明参加了学校的网络安全培训课程，学习了更多防范中间人攻击的知识，并将这些知识分享给身边的朋友和家人，提高大家的安全意识。

进一步改进的细节

浏览器扩展和安全工具：使用浏览器扩展（如HTTPS Everywhere）来强制网站使用HTTPS连接，进一步提高安全性。
定期更新软件：确保操作系统、浏览器和所有应用程序都是最新版本，以修补已知漏洞。
警惕钓鱼攻击：中间人攻击有时与钓鱼攻击结合使用，小明应学会识别和避免钓鱼邮件和网站。

通过这些措施，小明成功地保护了自己的网络安全，避免了中间人攻击的风险。他还定期审查和更新自己的安全策略，以应对不断变化的网络威胁。

8. 域名劫持（Domain Hijacking）

原理

域名劫持是一种攻击，攻击者通过获取域名注册账户的控制权，篡改域名的DNS记录，从而接管特定的域名。这可能导致网站流量被重定向到恶意站点，或者导致域名所有者失去对其域名的控制。

目的

域名劫持的主要目的是：

欺骗用户：将用户重定向到恶意网站，进行钓鱼攻击或传播恶意软件。
窃取敏感信息：获取用户的登录凭证、个人信息或其他敏感数据。
破坏服务：中断原网站的正常服务，影响用户体验和业务运营。
勒索：攻击者可能要求赎金以归还域名控制权。

解决方案

强密码保护

使用强密码来保护域名注册账户，以防止攻击者通过猜测或暴力破解获取账户控制权。
- 示例：使用至少12个字符的复杂密码，包括字母、数字和特殊字符，定期更换密码。
多因素认证

启用多因素认证（MFA），确保只有授权用户能够访问域名注册账户。MFA增加了额外的安全层，即使密码泄露，攻击者也难以访问账户。
- 示例：使用短信验证码、手机APP生成的一次性密码（TOTP）或硬件安全密钥作为第二认证因素。
常规检查域名设置

定期检查域名设置，确保DNS记录没有被非法更改或转移。监控域名的解析状态，及时发现并处理异常情况。
- 示例：每月检查一次域名的DNS记录，确保所有设置都符合预期。
锁定域名

使用域名锁定服务（如域名注册商提供的域名锁定或注册商锁定），防止未经授权的域名转移或修改。
- 示例：启用域名注册商的锁定服务，防止未经授权的域名转移请求。

小明的例子

小明是一名大学生，十年后他创办了一家搜索引擎公司，域名为xiaomingshopping.com。某天，小明的用户发现他们无法正常访问该搜索引擎，而是被重定向到了一个显示“黑客入侵”的页面。经过调查，小明发现这是一起域名劫持事件。

别瞎想，就是小明的搜索引擎啊

事件经过

域名劫持：攻击者通过获取小明搜索引擎的域名注册账户的控制权，篡改了域名的DNS记录，将域名指向了一个恶意服务器。
访问中断：用户在访问xiaomingsearch.com时，被重定向到一个恶意页面，显示黑客入侵信息。

影响

用户受影响：大量用户在事件期间无法正常访问小明搜索引擎的服务，导致用户体验严重受损。
品牌声誉受损：小明搜索引擎的品牌声誉受到影响，用户对其安全性产生了质疑。
经济损失：由于服务中断，小明搜索引擎可能遭受了经济损失，尤其是在广告收入方面。

小明的解决方案

恢复控制：小明迅速采取行动，恢复了对域名的控制，并纠正了被篡改的DNS记录。
加强安全措施：小明和相关的DNS服务提供商加强了对域名解析系统的安全防护措施，包括改进访问控制和监控。

防范措施

强密码保护

小明为域名注册账户设置了强密码，并定期更换密码，防止密码被猜测或暴力破解。
- 实施措施：小明使用密码管理工具生成和存储复杂密码，确保密码的安全性。
多因素认证

小明启用了多因素认证，确保只有授权用户能够访问域名注册账户。
- 实施措施：小明使用手机APP生成的一次性密码（TOTP）作为第二认证因素，增加账户的安全性。
常规检查域名设置

小明定期检查域名设置，确保DNS记录没有被非法更改或转移。
- 实施措施：小明每月检查一次域名的DNS记录，确保所有设置都符合预期，并使用自动化工具监控域名解析状态。
锁定域名

小明启用了域名注册商的锁定服务，防止未经授权的域名转移或修改。
- 实施措施：小明联系域名注册商，启用域名锁定服务，防止未经授权的域名转移请求。

9. DNS欺骗（DNS Spoofing）

原理

DNS欺骗是一种网络攻击，攻击者通过篡改DNS解析结果，将用户引导到恶意网站。常见的攻击方式包括：

中间人攻击：攻击者在用户和DNS服务器之间拦截并篡改DNS请求和响应。
缓存污染：攻击者向DNS服务器或客户端注入恶意的DNS记录，使其缓存错误的解析结果，导致后续用户查询时得到篡改后的IP地址。

一旦成功，用户可能会被引导到钓鱼网站、恶意软件下载站点或其他恶意目的地，导致信息泄露、财产损失或系统感染。

解决方案

使用DNSSEC

启用DNS安全扩展（DNSSEC），确保DNS查询和响应的真实性和完整性。DNSSEC通过数字签名验证DNS数据，防止篡改和伪造。
- 示例：配置DNS服务器（如BIND或Unbound）支持DNSSEC，并确保域名注册商支持DNSSEC签名。
配置安全的DNS服务器

使用可信赖的DNS服务器，并配置其安全设置，防止DNS缓存污染。选择安全性高且经常更新的DNS服务提供商。
- 示例：使用中国电信的公共DNS（114.114.114.114和114.114.115.115）或Google Public DNS（8.8.8.8和8.8.4.4）等安全的DNS服务，并配置DNS服务器的缓存保护和防御机制。
- 其他公共DNS服务:
  - 阿里公共DNS:
    - 223.5.5.5
    - 223.6.6.6
  - 腾讯公共DNS:
    - 119.29.29.29
  - 360公共DNS:
    - 101.226.4.6
    - 218.30.118.6
监控DNS流量

实时监控DNS流量，及时发现和应对异常DNS活动。通过DNS流量分析工具，可以检测到异常的DNS查询或响应，及时采取措施。
- 示例：部署DNS流量监控工具如Security Onion或Splunk，设置告警规则，监控异常的DNS查询和响应。
保护客户端

确保客户端设备的DNS配置安全，防止本地DNS缓存污染和hosts文件篡改。定期清理DNS缓存，并使用安全工具监控和保护客户端设备。
- 示例：在Windows设备上，使用命令ipconfig /flushdns清理DNS缓存，并定期检查和保护hosts文件。
教育用户

提高用户对DNS欺骗的认识，教他们如何识别和避免访问可疑网站。用户教育可以帮助减少被DNS欺骗攻击成功的可能性。
- 示例：定期进行网络安全培训，教用户如何识别钓鱼网站，避免点击不明链接，并使用HTTPS连接访问网站。

小明

小明十年后是某大型企业的网络安全主管，负责公司内部的网络安全管理。某天，小明发现公司内部的部分用户被引导到一个伪装成公司门户网站的钓鱼网站。

某个不愿意被提及姓名的帅比社团主要成员：小明，明哥。那个，我打开咱们管理后台现在是一个非法的网站。你看，是不是咱们网站有中毒了？

小明：？你这态度，要不你好好描述一下问题吧。

某个不愿意被提及姓名的帅比社团主要成员：额，可能是我中毒了。我用别人电脑打开都是正常的，我要上校园网交作业啊。我现在校园网也是显示这个页面。【不可描述的图片】.jpg

小明：可以啊，成长挺迅速啊。看样子是你访问学习网站有问题，下次换一个吧。看你这情况应该是下了什么东西，然后这东西修改了你本地的host指向导致的。问题不大，这就是个小恶作剧。你找到HOST文件，删了这两个域名就行。

某个不愿意被提及姓名的帅比社团主要成员：谢谢谢谢，你可不能外传啊

小明：好的社团长~~

小明的解决方案

使用DNSSEC

小明联系了公司的DNS服务提供商，确认其支持DNSSEC，并确保所有DNS查询和响应都经过数字签名验证，防止篡改和伪造。
配置安全的DNS服务器

小明决定将公司的DNS服务迁移到更安全的DNS服务提供商，如Google Public DNS或中国电信公共DNS。他还配置了DNS服务器的缓存保护和防御机制，防止DNS缓存污染。
监控DNS流量

小明部署了DNS流量监控工具Security Onion，实时监控公司的DNS流量。他设置了告警规则，监控异常的DNS查询和响应，及时发现并应对DNS欺骗攻击。
保护客户端

小明制定了客户端安全策略，要求定期清理DNS缓存，并保护hosts文件不被篡改。他还部署了安全工具，监控和保护客户端设备。
教育用户

小明组织了一次紧急网络安全培训，提高员工对DNS欺骗的认识。他教员工如何识别钓鱼网站，避免点击不明链接，并建议使用HTTPS连接访问网站。

通过这些措施，小明成功防止了DNS欺骗攻击的进一步扩散，确保了公司的网络安全。他还制定了长期的DNS安全策略和用户教育计划，确保公司能够持续防范DNS欺骗攻击。

10. 密码攻击（Password Attack）

原理

密码攻击是指攻击者通过各种手段试图破解用户的密码，以获取未经授权的访问。常见的密码攻击类型包括：

暴力破解：攻击者尝试所有可能的密码组合，直到找到正确的密码。
字典攻击：攻击者使用包含常用密码的字典文件，逐一尝试这些密码。
凭证填充攻击：攻击者利用从其他网站泄露的用户名和密码组合，尝试在目标网站上登录。
社会工程学攻击：通过欺骗或诱导用户泄露密码。

解决方案

账户锁定机制

在多次失败的登录尝试后，暂时锁定账户，防止暴力破解攻击。锁定时间可以设置为几分钟到几小时不等。
- 示例：配置账户锁定策略，在连续5次失败的登录尝试后，锁定账户15分钟。
风险控制机制

结合用户行为分析和风险评估，针对异常登录行为（如从新IP地址登录）触发额外的安全措施，如多因素认证（MFA）和风险评估。
- 示例：配置系统，当用户从新IP地址登录时，要求进行MFA验证，并通过风控系统评估登录行为的风险。
强密码策略

要求用户设置复杂密码，包括大写字母、小写字母、数字和特殊字符，并定期更改密码。避免使用常见词汇或简单组合。
- 示例：实施密码策略，要求密码至少包含12个字符，并且必须包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符。
多因素认证（MFA）

启用多因素认证，增加额外的安全层次。即使密码被破解，攻击者也难以访问账户，因为还需要第二个验证因素（如短信验证码、应用验证或生物识别）。
- 示例：为所有用户账户启用MFA，使用Google Authenticator或Microsoft Authenticator等应用生成一次性验证码。
监控和告警系统

实时监控账户登录活动，设置告警机制，及时发现和应对异常登录行为。告警可以通过飞书、钉钉或短信等方式发送。
- 示例：部署SIEM系统（如Splunk、ELK Stack），配置告警规则，监控异常的登录尝试和账户活动，并通过飞书、钉钉或短信发送告警通知。

小明与密码攻击的应对

小明是某科技公司的IT安全主管，负责公司内部系统和员工账户的安全管理。某天，小明发现公司的一些账户出现了多次失败的登录尝试，怀疑遭遇了密码攻击。

社团长：小明，明哥。我账号好像被盗了，有人用我账号在校园网发帖给咱们辅导员表白。NND，你说咱学校谁这么狠我啊！

小明：噼啪噼啪……噼啪噼啪，我去，这个劲爆啊。

社团长：小明，你在听吗？

小明：在听，在听。你密码在学校都烂大街了吧，而且仇人也挺多了。不过……辅导员没仇人啊。说，你最近是不是又上啥新的学习网站了？

社团长：没有没有，最近纳新没有时间啊。

小明也很奇怪，社团长的学习网站他都检查过没啥问题的。密码也是强密码，怎么会出现这种情况呢？小明打开谷歌浏览器，准备登录一下社团长的校园网账号。没想到谷歌直接提示

Chrome found the password you just used in a data breach

小明：大查笔，谁TMD让你用同一个密码去注册学习网站了！！！

网络安全的基础知识 · 网络攻击（Cyber Attacks）和小明的防御手段（二）

小明的解决方案

账户锁定机制

小明立即配置了账户锁定机制，在连续5次失败的登录尝试后，账户将被锁定15分钟。他还设置了告警系统，一旦出现多次失败的登录尝试，系统会立即通过飞书、钉钉或短信通知安全团队。
风险控制机制

小明部署了风险控制机制，确保用户从新IP地址登录时，必须进行MFA验证，并通过风控系统评估登录行为的风险。这样可以有效防范凭证填充攻击和其他异常登录行为。
强密码策略

小明检查并加强了公司的密码策略，要求所有员工设置强密码。新密码策略要求密码至少包含12个字符，并且必须包含大小写字母、数字和特殊字符。
多因素认证（MFA）

小明为公司所有系统和账户启用了多因素认证。他选择了Google Authenticator作为MFA应用，确保即使密码被破解，攻击者也无法轻易访问账户。
监控和告警系统

小明监控与告警系统，实时监控账户登录活动，并设置告警规则，监控异常的登录尝试和账户异常活动。一旦发现异常行为，系统会立即通过飞书、钉钉或短信通知安全团队采取措施。

通过这些措施，小明有效地防止了密码攻击的进一步扩散，保护了公司的账户安全。他还制定了密码安全政策和培训计划，确保员工能够持续保持高水平的密码安全意识。

12. 验证码爆破（CAPTCHA Bypass）

原理

验证码（CAPTCHA，全称为 Completely Automated Public Turing test to tell Computers and Humans Apart）是一种用于区分人类用户和自动化程序（如机器人）的技术。验证码爆破攻击是指攻击者通过自动化工具或脚本，尝试绕过验证码的保护机制，从而进行批量注册、暴力破解、垃圾信息发送等恶意活动。

目的

验证码爆破攻击的主要目的是：

批量注册：通过自动化工具批量创建虚假账户。
暴力破解：尝试破解用户密码或其他敏感信息。
垃圾信息发送：通过自动化脚本发送垃圾信息或广告。
资源滥用：滥用系统资源进行恶意活动，如DDoS攻击。

解决方案

为了有效防止验证码爆破攻击，可以采取以下措施：

使用复杂的验证码
- 图形验证码：使用复杂的图形验证码，包括扭曲的字符、背景噪声等，增加自动化工具识别的难度。
  - 示例：在图形验证码中加入扭曲的字符、复杂的背景噪声和不同的字体样式，使得自动化工具难以识别。
多种验证码类型结合
- 数学验证码：要求用户输入计算结果。
  - 示例：显示一个简单的数学问题（如 12 + 8）并要求用户输入结果。
    
    愚人节那天，我给我哥们账号加到我们管理后台的风控观察组中了。一小时登录一次，每次登录都要计算两位数加法或乘法。38 * 42想想都绝望
    
    自己的小项目哈，公司的哪里会有这么精细的权限管理和风控[手动狗头]
- 图片选择验证码：要求用户从一组图片中选择符合特定条件的图片。
  - 示例：要求用户从多个图片中选择所有包含汽车的图片。
    
    这会增加用户的奇怪体验，有时候我都觉得是在利用我做人工标注。
    
    想想你曾遇到go的神奇验证码哪个让你留下了深刻的印象？我们评论区见~
- 滑动验证码：要求用户拖动滑块完成拼图或对齐图片。
  - 示例：用户需要拖动滑块，将一块拼图放入合适的位置。
行为分析
- 行为验证码：通过分析用户的行为模式（如鼠标移动轨迹、点击速度等）来判断是否为人类用户。
- 异常行为检测：监控和分析用户行为，识别和阻止异常行为，如过于频繁的请求。
  - 示例：通过分析用户的鼠标移动轨迹和点击速度，判断其行为是否符合人类用户的特点。
限流和速率限制
- 请求速率限制：对同一IP地址或用户的请求频率进行限制，防止暴力破解。
- 账户锁定机制：在多次失败的验证码尝试后，暂时锁定账户或IP地址，防止持续的爆破攻击。
  - 示例：如果一个IP地址在短时间内多次失败输入验证码，则暂时阻止该IP地址的访问。
使用更先进的验证码技术
- reCAPTCHA：使用Google的reCAPTCHA服务，它结合了图形验证码、行为分析和机器学习技术，提供更强的防护。
- 无感知验证码：通过分析用户的行为和环境特征，无需用户输入验证码即可判断其真实性。
  - 示例：Google的Invisible reCAPTCHA，通过分析用户的行为和环境特征，无需用户进行额外操作即可验证其真实性。
监控和日志记录
- 实时监控：实时监控验证码的使用情况，及时发现和响应异常活动。
- 日志分析：记录和分析验证码的使用日志，识别潜在的攻击行为。
  - 示例：定期分析验证码使用日志，发现并阻止异常的请求模式。

小明的例子

经过多轮迭代升级之后，新版本的社团网站终于上线了，并使用简单的图形验证码来防止自动化注册。然而，小明很快发现有大量的虚假账户注册，导致平台充斥着垃圾信息。

事件经过

验证码爆破：攻击者使用自动化工具绕过了小明的简单图形验证码，批量注册了大量虚假账户。
垃圾信息泛滥：这些虚假账户开始在平台上发送垃圾信息，影响了正常用户的体验。

影响

用户体验受损：大量垃圾信息导致正常用户体验受损，用户流失。
平台声誉受损：社交媒体平台的声誉受到影响，用户对其安全性产生质疑。
管理成本增加：小明需要花费大量时间和资源来清理虚假账户和垃圾信息。

小明的解决方案

使用复杂的验证码

小明将简单的图形验证码升级为更复杂的图形验证码，包括扭曲的字符和背景噪声。
- 实施措施：在图形验证码中加入扭曲的字符、复杂的背景噪声和不同的字体样式，使得自动化工具难以识别。
多种验证码类型结合

小明结合使用数学验证码和图片选择验证码，提高验证码的多样性和复杂性。
- 实施措施：在用户注册时，随机展示数学验证码或图片选择验证码，增加自动化工具破解的难度。
行为分析

小明引入行为分析，通过分析用户的行为模式（如鼠标移动轨迹、点击速度等）来判断是否为人类用户。
- 实施措施：通过分析用户的鼠标移动轨迹和点击速度，判断其行为是否符合人类用户的特点。
限流和速率限制

小明对同一IP地址或用户的请求频率进行限制，并在多次失败的验证码尝试后暂时锁定账户或IP地址。
- 实施措施：如果一个IP地址在短时间内多次失败输入验证码，则暂时阻止该IP地址的访问。
使用更先进的验证码技术

小明使用Google的reCAPTCHA服务，结合图形验证码、行为分析和机器学习技术，提供更强的防护。
- 实施措施：启用Google的Invisible reCAPTCHA，通过分析用户的行为和环境特征，无需用户进行额外操作即可验证其真实性。
监控和日志记录

小明实时监控验证码的使用情况，及时发现和响应异常活动，并记录和分析验证码的使用日志。
- 实施措施：定期分析验证码使用日志，发现并阻止异常的请求模式。

通过这些措施，小明成功地防止了验证码爆破攻击，保护了平台和用户的安全。他还定期审查和更新自己的安全策略，以应对不断变化的网络威胁。

总结

在上一篇文章中，我们详细探讨了网络攻击的多种形式及其防御措施，通过具体案例展示了恶意软件、网络钓鱼、拒绝服务攻击、SQL注入、跨站点脚本攻击和跨站点请求伪造攻击的危害及应对方法。通过小明的实际经历，我们不仅理解了这些攻击的原理，还学习了如何通过安装防病毒软件、启用双因素认证、使用预编译的SQL语句、过滤用户输入等方法来有效防御这些攻击。

下一节预告

在下一节中，我们将继续探讨更多复杂的网络攻击类型，如远程代码执行、零日攻击和供应链攻击，并提供相应的防御措施。敬请期待！

转载自:https://juejin.cn/post/7374751062962110501