|
20 种最常见的网络攻击
DoS 和 DDoS 攻击
拒绝服务 (DoS) 攻击旨在使系统的资源不堪重负,以致其无法响应合法的服务请求。分布式拒绝服务 (DDoS) 攻击类似于 DoS 攻击,因为它同样试图耗尽系统的资源。DDoS 攻击由感染了恶意软件并被攻击者控制的大量主机发起。这些攻击之所以称为“拒绝服务”攻击,是因为被攻击的网站无法向有需要的人提供服务。
DoS 攻击会使目标站点被非法请求淹没。由于网站必须响应每个请求,因此其资源会被所有响应占用。这使得网站无法像往常一样为用户提供服务,而且通常会导致网站完全关闭。
DoS 和 DDoS 攻击不同于其他类型的网络攻击,具体体现为:其他类型的网络攻击使黑客能够访问系统或提升他们当前拥有的访问权限,攻击者可以直接通过这些类型的攻击获益;而 DoS 和 DDoS 网络攻击的目标只是中断目标服务的有效性。如果攻击者被企业雇用于对付商业竞争对手,则攻击者有可能从中获得经济利益。
DoS 攻击还可用于为其他类型的攻击制造漏洞。成功的 DoS 或 DDoS 攻击通常会导致系统离线,这会使系统容易受到其他类型的攻击。防御 DoS 攻击的一种常见方法是,使用防火墙来检测发送到网站的请求是否合法。如果发现伪造请求,则将其丢弃,从而允许正常流量不间断地流动。亚马逊云科技 (AWS) 在 2020 年 2 月受到了此类严重的网络攻击。
MITM 攻击
中间人 (MITM) 网络攻击是指攻击者利用网络安全漏洞来窃取两个人、两个网络或两台计算机之间来回发送的数据。这些攻击之所以称为“中间人”攻击,是因为攻击者将自己置于想要沟通的两方的“中间”。实际上,攻击者监视双方之间的互动。
在 MITM 攻击中,双方当事人不会察觉到他们的沟通有何异常。他们不知道的是,在消息到达目的地之前,实际发送消息的人会非法修改或访问消息。可保护您自己和您的组织免受 MITM 攻击的一些方法包括:在接入端使用强加密,或者使用虚拟专用网络 (VPN)。
网络钓鱼攻击
网络钓鱼攻击是指恶意攻击者发送貌似来自可信合法来源的电子邮件,试图从目标获取敏感信息。网络钓鱼攻击结合了社交工程和技术,之所以叫这个名字,因为攻击者实际上通过使用貌似可信的发送者作为“诱饵”来“钓获”禁区访问权限。
为了执行这种攻击,不法分子可能会发送链接,将您带到某个网站,然后诱骗您下载恶意软件(例如病毒)或者向攻击者提供您的私人信息。在许多情况下,目标可能不会意识到自己受到了攻击,没有人怀疑存在恶意活动,这使得攻击者可以继续攻击同一组织中的其他人。
可防止网络钓鱼攻击得逞的预防措施包括:在打开电子邮件和点击链接之前,仔细检查其类型;注意电子邮件标题,不要点击任何看似可疑的内容;检查“Reply-to”和“Return-path”的参数,这些参数需要连接到电子邮件中显示的域。
鲸钓攻击
鲸钓攻击之所以叫这个名字,是因为它的攻击对象是组织中的“大人物”——通常包括高管或其他管理者。这些个人很可能拥有对攻击者有价值的信息,例如,关于企业或其运营情况的专有信息。
如果被攻击的“大人物”下载了勒索软件,他们更有可能支付赎金,以防止他们被成功攻击的消息泄露出去,避免他们本人或其组织的声誉受损。可避免网络钓鱼攻击的预防措施同样能够防御鲸钓攻击,例如,仔细检查电子邮件及其附带的附件和链接,警惕可疑的目的地或参数。
鱼叉式网络钓鱼攻击
鱼叉式网络钓鱼是指特定类型的有针对性的网络钓鱼攻击。攻击者会花时间研究其预期目标,然后编写可能会使目标觉得与其个人相关的消息。这种攻击被贴切地称为“鱼叉式”网络钓鱼,因为攻击者以某种方式攻击某个特定目标。消息看起来是合法的,因此很难发现鱼叉式网络钓鱼攻击。
通常,鱼叉式网络钓鱼攻击使用电子邮件欺骗,电子邮件的“发件人”部分的信息是假的,使电子邮件看似来自不同的发件人。这个假的发件人可能是目标信任的人,例如,社交网络上认识的人、好友或业务合作伙伴。攻击者还可能使用网站克隆使通信看起来合法。通过网站克隆,攻击者复制合法的网站,让受害者放下戒备。于是,受害者认为网站是真实的,然后放心地输入自己的私人信息。
类似于常规的网络钓鱼攻击,可通过以下做法防御鱼叉式网络钓鱼攻击:仔细检查电子邮件所有字段的详细信息,并确保用户不会点击任何无法验证其目标合法的链接。
勒索软件
勒索软件会将受害者的系统锁起来,受害者必须向攻击者支付赎金才能解锁系统。攻击者在收到付款后,会提供关于受害者如何重新控制其计算机的说明。“勒索软件”这个名称很贴切,因为这种恶意软件要求受害者支付赎金。
在勒索软件攻击中,目标从网站或电子邮件附件下载勒索软件。这种恶意软件会利用系统制造商或 IT 团队未解决的漏洞,然后对目标的工作站进行加密。有时,勒索软件可用于拒绝访问多台计算机或对业务运营至关重要的中央服务器,从而攻击多方。
通常通过在恶意软件初次渗透后数天甚至数周内才启动系统封锁来影响多台计算机。恶意软件可以发送 AUTORUN 文件,这些文件会通过内部网络或通过连接多台计算机的通用串行总线 (USB) 驱动器从一个系统传输到另一个系统。当攻击者启动加密时,所有受感染的系统会同时被加密。
在某些情况下,勒索软件编写者会设计代码来避开传统的反病毒软件。因此,用户在访问网站和点击链接时务必保持警惕。您还可以通过使用下一代防火墙 (NGFW) 来防御许多勒索软件攻击,这种防火墙可以利用人工智能 (AI) 执行深度数据包检测,从而确定勒索软件的特性。
密码攻击
密码是大多数人的首选访问验证工具,因此,盗取目标的密码对于黑客来说是一种有吸引力的手段。可以通过几种不同的方法盗取密码。人们通常会将密码写在纸上或便笺上,并将其放在自己周围或桌面上。攻击者可以自行盗取目标的密码,也可以通过收买目标的同事来获取密码。
攻击者还可以拦截网络传输,以抓取网络未加密的密码。他们还可以使用社交工程说服目标输入密码来解决看似“重要”的问题。在其他情况下,攻击者可以直接猜测用户的密码,尤其是如果用户使用默认密码或容易记住的密码,例如“1234567”。
攻击者还经常使用暴力方法猜测密码。暴力密码攻击利用关于个人或其职位的基本信息来猜测他们的密码。例如,攻击者可以任意组合使用目标的姓名、出生日期、周年纪念日或其他具有辨识度的个人信息来破解密码。用户在社交媒体上发布的信息也可被用于暴力密码攻击。有时,个人会将自己的兴趣爱好、宠物的名字或孩子的名字用于设置密码,这使得密码很容易被暴力攻击者猜到。
黑客还可以使用字典攻击来确定用户的密码。字典攻击使用常用字词和短语(例如,字典中列出的字词和短语)来猜测目标的密码。
防御暴力密码攻击和字典密码攻击的一种有效方法是,设置锁定策略。这样,当尝试失败次数达到设定上限后,设备、网站或应用程序就会被锁定,不可访问。有了锁定策略,攻击者在尝试失败几次后就会被禁止访问。如果您设置了锁定策略,并且发现您的帐户因登录尝试次数过多而被锁定,那么您最好更改密码。
如果攻击者有系统地使用暴力攻击或字典式攻击来猜测您的密码,他们可能会记下不正确的密码。例如,如果您的密码是您的姓氏加上您的出生年份,黑客可以先输入您的出生年份再输入您的姓氏,这样虽然猜不到密码,但再试一次就可能猜到您的密码。
SQL 注入式攻击
结构化查询语言 (SQL) 注入是一种常见的攻击,这种攻击利用依赖数据库为用户服务的网站。客户端是从服务器获取信息的计算机,SQL 攻击利用从客户端发送到服务器上数据库的 SQL 查询。命令被插入或“注入”到数据层,取代通常会传输到数据层的其他内容(例如密码或登录名)。然后,数据库所在的服务器运行命令,导致系统被渗透。
如果 SQL 注入成功,可能造成的后果包括:敏感数据泄露;重要数据被修改或删除。此外,攻击者可以执行管理员操作(例如关机命令)来中断数据库的功能。
要保护自己免受 SQL 注入式攻击,请使用最低权限模型。在最低权限架构下,只允许那些绝对需要访问关键数据库的人员进入。即使用户在组织内部具有权力或影响力,但如果他们的工作不依赖于网络的特定区域,他们也可能无权访问这些区域。
例如,即使首席执行官有权知道网络中有什么内容,也可能被拒绝访问网络的某些区域。应用最低权限策略不仅可以防止恶意分子访问敏感区域,还可以防止并无恶意的人无意中将登录凭据泄露给攻击者,或者在离开计算机后让其工作站继续运行。
URL 解释
通过 URL 解释,攻击者可以更改和伪造某些 URL 地址,并利用它们来访问目标的个人数据和专业数据。这种攻击也称为 URL 中毒。这种攻击之所以称为“URL 解释”,是因为攻击者知道网页 URL 信息的输入顺序,然后“解释”此语法,利用它来弄清楚如何进入他们无权访问的区域。
要执行 URL 解释攻击,黑客可能会猜测 URL,并将其用于获取网站管理员权限或访问网站的后端,从而进入用户的帐户。黑客进入所需的页面后,就可以操控网站本身或者访问网站用户的敏感信息。
例如,如果黑客试图进入一个名为 GetYourKnowledgeOn.com 的网站的管理部分,他们可以输入 http://getyourknowledgeon.com/admin,,这样即可进入管理登录页面。在某些情况下,管理员用户名和密码可能是默认设置“admin”和“admin”,或者是非常容易猜到用户名和密码。攻击者还可能已经弄清楚了管理员的密码,或者将范围缩小为几个可能性。然后,攻击者会逐一尝试每个可能性,获得访问权限后就可以随意操控、窃取或删除数据。
为了防止 URL 解释攻击得逞,请对网站的任何敏感区域使用安全身份验证方法。这可能需要使用多重身份验证 (MFA) 或由看似随机的字符组成的安全密码。
DNS 欺骗
通过域名系统 (DNS) 欺骗,黑客可以更改 DNS 记录,将流量发送到虚假或“假冒”网站。进入诈骗网站后,受害者可能会输入敏感信息,这样黑客就有机会利用或出售这些信息。黑客还可能会构建包含贬损性或煽动性内容的劣质网站,以诋毁竞争对手公司。
在 DNS 欺骗攻击中,攻击者会设法让用户认为他们访问的网站是合法的。这样,攻击者就能以清白无辜的公司的名义实施犯罪——至少网络访客是这样认为的。
为了防御 DNS 欺骗,请确保 DNS 服务器保持最新状态。攻击者企图利用 DNS 服务器中的漏洞,而最新的软件版本通常包含能够修复已知漏洞的修补程序。
会话劫持
会话劫持是多种 MITM 攻击之一。在这种攻击中,攻击者接管客户端和服务器之间的会话。用于攻击的计算机用自己的互联网协议 (IP) 地址取代客户端计算机的 IP 地址,服务器则继续会话,毫不怀疑正在与其通信的是攻击者而不是客户端。这种攻击很容易得逞,因为服务器使用客户端的 IP 地址来验证客户端的身份。如果攻击者的 IP 地址在会话过程中被插入,则服务器可能不会怀疑存在漏洞,因为它已经建立了可信的连接。
为了防御会话劫持,请使用 VPN 访问关键业务服务器。这样,所有通信都会加密,攻击者无法访问 VPN 创建的安全隧道。
暴力攻击
这种攻击之所以称为暴力攻击,是因为攻击采用简单“粗暴”的方法。攻击者直接猜测具有目标系统访问权限的人员的登录凭据。一旦猜对,就能入侵目标系统。
这种方法听起来似乎耗时费力,但攻击者通常使用机器人程序来破解凭据。攻击者向机器人程序提供他们认为可能授予安全区域访问权限的一系列凭据。机器人程序会逐一尝试这些凭据,攻击者则静待结果。一旦输入正确的凭据,犯罪分子便可获得访问权限。
为了防御暴力攻击,请在授权安全架构中使用锁定策略。用户输入凭据失败达到一定的次数后将被锁定。这通常涉及“冻结”帐户,因此,即使其他人尝试使用具有不同 IP 地址的不同设备登录,同样也会被锁定。
另一种明智做法是,使用不包含常用字词、日期或数字序列的随机密码。这样可有效防御攻击,举例来说,对于一个包含 10 个数字的密码,即使攻击者使用软件来猜测,也需要不断地尝试许多年才能猜到。
Web 攻击
Web 攻击是指针对基于 Web 的应用程序中的漏洞的威胁。您每次在 Web 应用程序中输入信息时,都会启动一个命令,而命令会生成响应。例如,如果您使用网上银行应用程序向某人汇款,则您输入的数据会指示该应用程序进入您的账户,取出钱并将钱汇到收款人的账户。攻击者根据这种请求的框架进行谋划,利用它们谋取利益。
一些常见的 Web 攻击包括 SQL 注入和跨站脚本 (XSS)(本文稍后将会探讨 XSS 攻击)。黑客还使用跨站请求伪造 (CSRF) 攻击和参数篡改这两者手段。在 CSRF 攻击中,受害者上当受骗并做出有利于攻击者的行为。例如,他们可能会执行点击操作,并因此启动了旨在更改 Web 应用程序登录凭据的脚本。获得新登录凭据的黑客就可以像合法用户一样登录。
参数篡改涉及调整程序员作为安全措施实施的参数,这些参数旨在保护特定操作。操作的执行取决于参数中输入的内容。攻击者只需更改参数,即可绕过依赖于这些参数的安全措施。
为了避免 Web 攻击,请检查 Web 应用程序是否有漏洞,并修复发现的漏洞。可在不影响 Web 应用程序性能的前提下修补漏洞的方法之一是,使用反 CSRF 令牌。令牌在用户的浏览器和 Web 应用程序之间交换。在执行命令之前,系统会检查令牌的有效性。如果令牌有效,系统会执行命令,否则会阻止命令。您还可以使用 SameSite 标志,这种标志只允许处理来自同一个网站的请求,使攻击者构建的任何网站无能为力。
内部威胁
有时,最危险的人就在组织内部。公司内部人员会构成特殊的安全风险,因为他们通常可以访问各种系统,在某些情况下还具有管理权限,能够对系统或系统的安全策略进行重要更改。
此外,公司内部人员通常对公司的网络安全架构以及公司如何应对威胁有深入的了解。对这些情况的了解有助于他们获取受限区域访问权限,更改安全设置,或者推断进行攻击的最佳时机。
防御组织内部威胁的最佳方法之一是,限制员工的敏感系统访问权限,仅允许在工作上有需要的员工访问敏感系统。此外,对需要访问敏感系统的人使用多重身份验证,即,要求他们至少提供自己知道的一件事以及拥有的一件东西,才能访问敏感系统。例如,用户可能必须输入密码并插入 USB 设备。在其他配置中,访问号码在用户需要登录的手持设备上生成。只有密码和号码都正确时,用户才能访问安全区域。
虽然单凭多重身份验证可能无法防御所有攻击,但这种方法有助于确定攻击者或潜在攻击者,尤其是因为只有少数人被授予敏感区域访问权限。因此,这种受限访问策略可能起到威慑作用。贵组织内部的网络罪犯将会知道,作恶者很容易被人识破,因为潜在嫌疑人相对较少。
特洛伊木马
特洛伊木马攻击使用隐藏在看似合法的程序中的恶意程序。当用户执行假定无害的程序时,特洛伊木马内部的恶意软件可用于打开通向系统的后门,黑客可以通过后门渗透计算机或网络。这种威胁的名称来源于希腊和特洛伊之间的一场战争,在那场战争中,希腊将一只藏有希腊士兵的木马作为礼物送给特洛伊,这份“礼物”被接受并进入特洛伊城后,藏身于木马中的希腊士兵跳出来攻打特洛伊,最终赢得了战争的胜利。同样,毫无戒心的用户可能会将看似无害的应用程序引入到系统,因而面临隐藏的威胁。
为了防御特洛伊木马攻击,用户应避免下载或安装任何内容,除非可以验证其来源。此外,下一代防火墙也可用于检查数据包是否存在特洛伊木马威胁。
路过式攻击
在路过式攻击中,黑客将恶意代码嵌入到不安全的网站。当用户访问嵌入了恶意代码的网站时,脚本会在用户的计算机上自动执行,感染计算机。这种攻击之所以称为“路过式攻击”,是因为受害者只要“路过”恶意网站就会被感染,即使他们没有点击网站上的任何内容或输入任何信息。
为了防御路过式攻击,用户应确保在计算机上运行最新的软件,包括在上网时可能需要使用的应用程序,例如 Adobe Acrobat 和 Flash。此外,您可以使用网页过滤软件,这种软件能够在用户访问网站之前检测网站是否安全。
XSS 攻击
在 XSS(跨站脚本)攻击中,攻击者会利用将被发送到目标浏览器的可点击内容传输恶意脚本。当受害者点击这些内容时,脚本将被执行。由于用户已经登录到 Web 应用程序的会话,因此 Web 应用程序会认为用户输入的内容是合法的。但是,执行的脚本已被攻击者修改,从而导致“用户”执行无意识的操作。
例如,XSS 攻击可以更改通过网上银行应用程序发送的转账请求的参数。在伪造的请求中,预期收款人的姓名被替换为攻击者的姓名。攻击者还可以更改转账金额,从而获得更多金钱。
防御 XSS 攻击的最直接方式之一是,使用实体白名单。这样,Web 应用程序只会接受获批准的条目。您还可以使用一种称为“清理”的技术,这种技术可检查输入的数据是否包含任何可能有害的内容。
窃听攻击
窃听攻击是指攻击者拦截通过网络发送的流量,企图收集用户名、密码和其他机密信息(例如信用卡信息)。窃听可以是主动的,也可以是被动的。
主动窃听是指黑客在网络流量路径中插入软件,以收集信息进行分析,从中获得有用的数据。被动窃听攻击的不同之处在于,黑客“监听”或窃听传输过程,希望找到可窃取的有用数据。
主动窃听和被动窃听都属于 MITM 攻击。防御窃听攻击的最佳方法之一是,对数据进行加密,以防止数据被黑客利用,无论黑客使用主动窃听还是被动窃听攻击。
生日攻击
在生日攻击中,攻击者滥用哈希算法这种安全功能来验证消息的真实性。哈希算法是数字签名,消息接收者会通过查看哈希来确定消息的真实性。如果黑客可以创建与发件人附加到其消息的哈希相同的哈希,则黑客可以轻而易举地用自己的消息替换发件人的消息。接收设备将在收到正确的哈希之前接受黑客的消息。
“生日攻击”这个名称来源于生日悖论;生日悖论是指在 23 人中至少有两人生日相同的概率大于 50%。因此,虽然人们认为自己的生日是独特的,但其实每个人的生日并没有他们本人想象中那么独特;哈希也是如此。
为了防御生日攻击,请使用更长的哈希进行验证。在哈希中每增加一个数字,创建出匹配哈希的几率就会大大降低。
恶意软件攻击
恶意软件泛指用于实现恶意目的的软件。恶意软件会感染计算机并改变计算机的工作方式,会破坏数据,或者会监视用户或网络流量。恶意软件可以从一台设备传播到另一台设备,也可以留在原地,在后一种情况下,只会影响主机设备。
在上述攻击方法中,有几种攻击可能涉及恶意软件,包括 MITM 攻击、网络钓鱼、勒索软件、SQL 注入、特洛伊木马、路过式攻击和 XSS 攻击。
在恶意软件攻击中,恶意软件必须安装在目标设备上。这需要用户执行操作。因此,除了使用能够检测恶意软件的防火墙外,用户还应了解要避免使用哪些类型的软件,在点击哪些类型的链接之前应进行验证,以及不应打开哪些电子邮件和附件。 |
|