一、XSS 攻击即跨站脚本攻击(Cross-Site Scripting)
攻击原理
攻击者通过在目标网站中注入恶意脚本(通常是 JavaScript 等脚本代码),当用户访问被注入恶意脚本的页面时,浏览器会在不知情的情况下执行这些恶意脚本,进而使攻击者能够窃取用户敏感信息、操纵页面内容、发起进一步攻击等。这些恶意脚本可以被插入到网站的输入框、评论区、网址参数等各种可交互的位置,只要网站没有对用户输入内容进行严格的过滤和验证就有可能被利用。
攻击类型
- 反射型 XSS:也叫非持久型 XSS。攻击者构造一个带有恶意脚本的特殊链接,诱使用户点击该链接,当用户访问这个链接对应的页面时,服务器会接收恶意脚本参数,并在响应中直接返回包含该恶意脚本的页面内容,浏览器执行脚本后攻击发生,整个过程中恶意脚本不会存储在目标服务器上。例如,攻击者构造一个恶意链接,诱使受害者点击,链接指向某个网站的搜索页面,而搜索结果页面会把用户输入(攻击者构造的恶意脚本)不经处理地返回并执行,导致攻击实现。
- 存储型 XSS:属于持久型 XSS。攻击者将恶意脚本注入到目标网站的数据库等存储介质中,比如在网站的留言板功能中,攻击者留言插入恶意脚本,当其他用户正常访问留言页面时,服务器会从数据库读取包含恶意脚本的数据并展示在页面上,浏览器执行脚本,使得攻击生效,后续不断有用户访问该页面都会遭受攻击。
- DOM 型 XSS:基于文档对象模型(DOM)的 XSS 攻击。它是通过修改页面的 DOM 节点来触发恶意脚本执行,并不依赖服务器端的响应来注入脚本。比如,网页中的 JavaScript 代码通过获取用户输入(如 URL 中的参数)直接操作 DOM 元素,攻击者利用这点,构造恶意参数改变 DOM 结构,使其中包含的恶意脚本得以执行,而整个过程不需要与服务器交互获取新的页面内容来实现攻击。
攻击危害
- 信息窃取:可以获取用户登录的账号、密码、个人隐私信息(如身份证号码、银行卡号等),因为恶意脚本可以监控用户在页面上的输入操作,并将这些信息发送给攻击者指定的服务器。
- 页面篡改:能够修改页面显示内容,比如替换正常的页面元素为虚假的内容,误导用户进行一些错误操作,或者破坏页面的正常布局和功能。
- 发起进一步攻击:利用用户浏览器作为跳板,去访问其他关联网站进行攻击,例如在获取用户登录态的基础上,冒充用户去操作其他相关联的服务,甚至可以传播恶意软件、发起 DDoS 攻击等。
防范措施
- 输入验证:对所有用户输入的数据进行严格的合法性验证,比如限制输入的字符类型、长度等,只允许符合预期格式的数据进入系统,防止恶意脚本代码混入。例如对于仅需要输入数字的输入框,拒绝任何非数字字符的输入。
- 输出编码:在将服务器端的数据展示到网页等前端界面时,对数据进行合适的编码处理,使得脚本代码无法按照原本的意图被浏览器解析执行,而是以普通文本的形式显示出来。比如将特殊字符(如 “<”“>” 等用于编写脚本标签的字符)转义成 HTML 实体编码。
- 设置安全策略:采用内容安全策略(CSP),它可以限制网页能够加载的资源来源,比如只允许从指定的可信域名加载脚本、样式等资源,阻止外部恶意脚本的加载和执行;同时设置合适的 HttpOnly 属性,对于像 Cookie 这样的敏感信息,设置了 HttpOnly 后,JavaScript 脚本就无法访问这些 Cookie,防止被窃取。
二、路由项欺骗攻击
攻击原理
在网络环境中,路由器依靠路由表中的路由项来决定数据包的转发路径。攻击者通过伪造虚假的路由信息,向路由器发送欺骗性的路由更新消息,让路由器误以为这些虚假路由是合法有效的,并将其添加到自己的路由表中。此后,当有数据包需要转发时,路由器就会依据被篡改后的错误路由表,把数据包发往攻击者指定的错误方向,从而达到干扰网络正常通信、窃取数据或者发动其他进一步攻击的目的。
攻击方式
- 伪造源 IP 地址的路由更新:攻击者假冒合法的网络节点,使用伪造的源 IP 地址发送路由更新消息给路由器。路由器在收到这类消息后,如果没有有效的验证机制,就会将消息中的虚假路由信息当作真实的来处理,更新自己的路由表,进而影响后续数据包的转发路径。例如,在一个企业网络中,攻击者伪造某关键服务器的 IP 地址发送路由更新,使路由器改变去往该服务器的转发路径指向攻击者控制的设备。
- 篡改路由度量值:路由度量值用于衡量到达目标网络的代价等指标,不同的路由协议有不同的度量方式(如跳数、带宽等)。攻击者通过修改路由更新消息中的度量值,使路由器认为某条原本不合理的路径变成最优路径,进而改变数据包的转发选择。比如在基于跳数的路由协议场景下,攻击者故意减小虚假路由的跳数值,诱使路由器优先选择这条错误的路径来转发数据。
攻击危害
- 网络中断:可导致网络中的部分或全部通信无法正常进行,数据包被转发到错误的地方,无法到达正确的目的地,造成业务中断,像企业内部网络无法正常访问外部互联网资源,或者不同部门之间的通信受阻等情况。
- 数据窃取:攻击者能将本应正常转发的数据引导到自己控制的设备上,进而从中窃取敏感信息,例如窃取用户访问关键业务系统时传输的账号、密码等数据,或者企业的机密业务资料等。
- 发动其他攻击:利用改变的路由路径,将流量引导至可发起进一步攻击的位置,比如引导到安装了恶意软件的服务器上,对经过的流量进行中间人攻击、篡改数据内容等,或者借助大量被误导的流量来发动 DDoS 攻击,对目标网络或服务造成更大的破坏。
防范措施
- 认证机制:采用路由认证技术,如在路由协议中启用基于密码、数字证书等的认证方式,让路由器之间能够验证路由更新消息的来源合法性。只有通过认证的消息来源发送的路由更新才会被接受并处理,这样就能有效防止攻击者伪造来源发送虚假路由更新消息。例如使用 MD5 认证的路由协议,在路由器之间配置相同的认证密钥,对发送和接收的路由消息进行认证验证。
- 过滤机制:在网络边界路由器等位置设置访问控制列表(ACL)等过滤策略,对进入网络的路由更新消息进行过滤,只允许来自合法网段、合法 IP 地址的路由更新通过,拒绝不符合规则的可疑消息,减少外部伪造路由消息进入内部网络的可能性。
- 监控与检测:利用网络监控工具实时监测网络的路由状态,一旦发现路由表有异常变动,比如频繁出现不符合常规的路由项添加、修改情况,或者出现大量来自可疑 IP 地址的路由更新流量,及时发出警报并进行排查,以便快速发现和应对可能的路由项欺骗攻击。
三、smurf攻击
Smurf 攻击,也被称作 “蓝精灵攻击”,是一种典型的分布式拒绝服务攻击(DDoS)手段
攻击原理
Smurf 攻击主要利用了网络中的广播特性以及 IP 欺骗技术。攻击者向网络中的广播地址发送大量带有伪造源 IP 地址的 ICMP(Internet Control Message Protocol,互联网控制报文协议)回显请求数据包(也就是常说的 Ping 请求)。广播地址意味着这个网段内的所有主机都会收到这些请求数据包。当这些主机收到请求后,按照正常的网络协议流程,会对每个请求都进行回应,向伪造的源 IP 地址(即攻击者想要攻击的目标 IP 地址)发送 ICMP 回显应答数据包。如此一来,目标主机就会收到海量来自不同主机的应答数据包,导致其网络带宽被大量占用,系统资源忙于处理这些数据包,最终不堪重负,无法正常响应合法的网络请求,从而实现拒绝服务的攻击效果。
攻击特点
- 放大效果明显:攻击者只需发送少量的请求数据包,就能借助广播的特性,引发大量主机的回应,使去往目标主机的流量呈几何级数放大。例如,一个广播网段内有上百台主机,攻击者发送一个 ICMP 请求,理论上就能收到上百个回应指向目标主机,大大增强了攻击的威力。
- 源 IP 易伪造:通过简单的技术手段就可以伪造请求数据包的源 IP 地址,让响应的主机都将应答发往攻击者指定的目标,使得攻击者可以隐藏自己的真实身份,并且让攻击的溯源变得困难。
攻击危害
- 网络瘫痪:目标主机的网络带宽会迅速被大量的应答数据包填满,导致正常的网络通信无法进行,无论是对外的服务访问,还是内部的网络交互都受到严重阻碍,像网站无法被用户正常访问、企业内部网络的业务系统停止运行等情况都可能出现。
- 服务中断:目标主机的系统资源,如 CPU、内存等,会被消耗在处理海量的应答数据包上,使得原本运行的服务程序因为缺乏足够的资源支持而被迫中断,影响依靠这些服务的用户正常使用,例如在线游戏服务器被攻击后玩家无法登录游戏、电商平台服务器受攻击导致无法下单等。
防范措施
- 关闭不必要的广播功能:在网络设备(如路由器、交换机等)上,对不需要使用广播功能的接口进行配置,关闭其广播功能,减少网络中广播域的范围,这样即使有伪造的广播请求发出,也不会在大范围的主机中引发大量回应,从源头上遏制攻击的发生。例如,对于企业内部划分好 VLAN(虚拟局域网)的网络,关闭 VLAN 间不必要的广播转发功能。
- 配置访问控制列表(ACL):在网络的入口等关键位置设置 ACL,对进入网络的 ICMP 数据包进行严格筛选和过滤。可以禁止外部进入的源 IP 地址为广播地址的 ICMP 数据包,或者限制只允许来自特定可信源的 ICMP 数据包通过,阻止可疑的、可能用于 Smurf 攻击的数据包进入网络。
- 采用反欺骗技术:通过部署专门的反 IP 欺骗设备或利用网络安全防护软件的反欺骗功能,识别和丢弃那些带有伪造源 IP 地址的数据包,使攻击者无法利用伪造源 IP 来引导流量攻击目标主机,增强对这类攻击的抵御能力。
扫一扫
2783
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
