最常见的20种网络安全攻击类型

admin 2022年11月9日11:34:26评论24 views字数 8184阅读27分16秒阅读模式
谷歌MANDIANT:2023网络安全预测
卡内基梅隆大学:缓解内部威胁的常识指南
为内幕风险管理找到合适的衡点
了解需要保护的关键资产
关基保护:关键信息基础设施安全保护要求的一点杂感

网络攻击的手段其实是各式各样的,不过总的来说可以大致归归类的,以下罗列了一些攻击类型,可以作为我们了解网络攻击的常识。

1.DoS和DDoS攻击

拒绝服务(DoS)攻击旨在使系统资源不堪重负,以至于无法回复合法服务请求。分布式拒绝服务(DDoS)攻击与此类似,因为它也试图耗尽系统的资源。DDoS攻击由攻击者控制的大量受恶意软件感染的主机发起。这些被称为“拒绝服务”攻击,因为受害网站无法为想要访问它的人提供服务。

使用DoS攻击时,目标站点会被非法请求淹没。因为站点必须响应每个请求,所以它的资源被所有响应消耗。这使得该站点无法像往常一样为用户提供服务,并且通常会导致站点完全关闭。

DoS和DDoS攻击不同于其他类型的网络攻击,后者使黑客能够获得对系统的访问权限或增加他们当前拥有的访问权限。通过这些类型的攻击,攻击者可以直接从他们的努力中受益。另一方面,对于DoS和DDoS网络攻击,目标只是中断目标服务的有效性。如果攻击者被商业竞争对手雇用,他们可能会从他们的努力中获得经济利益。

DoS攻击也可用于为另一种类型的攻击创建漏洞。成功进行DoS或DDoS攻击后,系统通常必须离线,这可能使其容易受到其他类型的攻击。防止DoS攻击的一种常见方法是使用防火墙来检测发送到您的站点的请求是否合法。然后可以丢弃冒名顶替者的请求,允许正常流量不间断地流动。2020年2月,亚马逊网络服务(AWS)发生了此类重大互联网攻击的一个例子。

2.MITM攻击

中间人(MITM)类型的网络攻击是指网络安全漏洞,使攻击者有可能窃听两个人、网络或计算机之间来回发送的数据。它被称为“中间人”攻击,因为攻击者将自己定位在“中间”或试图通信的两方之间。实际上,攻击者正在监视两方之间的交互。

在MITM攻击中,涉及的两方感觉就像他们正常进行通信一样。他们不知道的是,实际发送消息的人在消息到达目的地之前非法修改或访问了消息。保护您和您的组织免受MITM攻击的一些方法是在接入点上使用强加密或使用虚拟专用网络(VPN)。

3.网络钓鱼攻击

当恶意行为者发送看似来自可信、合法来源的电子邮件以试图从目标获取敏感信息时,就会发生网络钓鱼攻击。网络钓鱼攻击结合了社会工程和技术,之所以如此命名,是因为攻击者实际上是在使用看似值得信赖的发件人的“诱饵”“钓鱼”进入禁区。

为了执行攻击,攻击者可能会发送一个链接,将您带到一个网站,然后欺骗您下载病毒等恶意软件,或向攻击者提供您的私人信息。在许多情况下,目标可能没有意识到他们已被入侵,这使得攻击者可以在没有任何人怀疑恶意活动的情况下追踪同一组织中的其他人。

您可以通过仔细考虑您打开的电子邮件类型和您单击的链接来防止网络钓鱼攻击实现其目标。密切注意电子邮件标题,不要点击任何看起来可疑的东西。检查“回复”和“返回路径”的参数。他们需要连接到电子邮件中显示的同一域。

4.钓鱼攻击

网络钓鱼攻击之所以如此命名,是因为它针对的是组织的“大鱼”或鲸鱼,通常包括最高管理层或其他负责组织的人员。这些人可能拥有对攻击者有价值的信息,例如有关企业或其运营的专有信息。

如果目标“鲸鱼”下载勒索软件,他们更有可能支付赎金以防止成功攻击的消息传出并损害他们或组织的声誉。鲸鱼式网络钓鱼攻击可以通过采取相同的预防措施来避免网络钓鱼攻击,例如仔细检查电子邮件及其随附的附件和链接,留意可疑的目的地或参数。

5.鱼叉式网络钓鱼攻击

鱼叉式网络钓鱼是指一种特定类型的有针对性的网络钓鱼攻击。攻击者花时间研究他们的预期目标,然后编写目标可能认为与个人相关的消息。由于攻击者针对一个特定目标的方式,这些类型的攻击被恰当地称为“鱼叉式”网络钓鱼。该消息看起来是合法的,这就是为什么很难发现鱼叉式网络钓鱼攻击的原因。

通常,鱼叉式网络钓鱼攻击使用电子邮件欺骗,其中电子邮件“发件人”部分中的信息是伪造的,使电子邮件看起来像是来自不同的发件人。这可以是目标信任的人,例如社交网络中的个人、密友或商业伙伴。攻击者还可能使用网站克隆来使通信看起来合法。通过网站克隆,攻击者复制一个合法网站以使受害者感到舒适。目标认为该网站是真实的,然后输入他们的私人信息感到很自在。

与常规网络钓鱼攻击类似,鱼叉式网络钓鱼攻击可以通过仔细检查电子邮件所有字段的详细信息并确保用户不点击任何无法验证其目的地是否合法的链接来防止。

6.勒索软件

使用勒索软件,受害者的系统被扣为人质,直到他们同意向攻击者支付赎金。付款发送后,攻击者会提供有关目标如何重新控制其计算机的说明。“勒索软件”这个名称是恰当的,因为该恶意软件要求受害者支付赎金。

在勒索软件攻击中,目标从网站或电子邮件附件中下载勒索软件。该恶意软件旨在利用系统制造商或IT团队尚未解决的漏洞。勒索软件然后加密目标的工作站。有时,勒索软件可通过拒绝访问多台计算机或对业务运营至关重要的中央服务器来攻击多方。

影响多台计算机的方法通常是在恶意软件初始渗透后数天甚至数周后才启动系统俘获。该恶意软件可以通过内部网络或连接到多台计算机的通用串行总线(USB)驱动器将AUTORUN文件从一个系统发送到另一个系统。然后,当攻击者启动加密时,它会同时作用于所有受感染的系统。

在某些情况下,勒索软件作者设计代码来逃避传统的防病毒软件。因此,用户必须对他们访问的站点和点击的链接保持警惕。您还可以使用下一代防火墙(NGFW)来防止许多勒索软件攻击,该防火墙可以使用寻找勒索软件特征的人工智能(AI)执行深度数据包检查。

7.密码攻击

密码是大多数人选择的访问验证工具,因此找出目标的密码对黑客来说是一个有吸引力的提议。这可以使用几种不同的方法来完成。通常,人们将密码副本保存在纸片或便签纸上或办公桌上。攻击者可以自己找到密码,也可以向内部人员付费以获取密码。

攻击者还可能试图拦截网络传输以获取未经网络加密的密码。他们还可以使用社会工程学,说服目标输入密码来解决看似“重要”的问题。在其他情况下,攻击者可以简单地猜测用户的密码,特别是如果他们使用默认密码或容易记住的密码,例如“1234567”。

攻击者还经常使用暴力破解方法来猜测密码。暴力破解密码使用有关个人或其职位的基本信息来尝试猜测他们的密码。例如,他们的姓名、生日、周年纪念日或其他个人但易于发现的详细信息可以以不同的组合用于破译他们的密码。用户在社交媒体上发布的信息也可以用于暴力破解密码。个人为了好玩而做的事情、特定的爱好、宠物的名字或孩子的名字有时被用来构成密码,这使得暴力攻击者相对容易猜到。

黑客还可以使用字典攻击来确定用户的密码。字典攻击是一种使用常用单词和短语(例如字典中列出的单词和短语)来尝试猜测目标密码的技术。

防止暴力破解和字典密码攻击的一种有效方法是设置锁定策略。这会在一定次数的失败尝试后自动锁定对设备、网站或应用程序的访问。使用锁定策略,攻击者在被禁止访问之前只有几次尝试。如果您已经制定了锁定政策,并且发现您的账户由于登录尝试次数过多而被锁定,那么更改密码是明智之举。

如果攻击者系统地使用暴力破解或字典攻击来猜测您的密码,他们可能会记下无效的密码。例如,如果您的密码是您的姓氏,然后是您的出生年份,并且黑客在最后一次尝试时尝试将您的出生年份放在您的姓氏之前,他们可能会在下一次尝试时正确输入。

8.SQL注入攻击

结构化查询语言(SQL)注入是利用依赖数据库为其用户提供服务的网站的常用方法。客户端是从服务器获取信息的计算机,SQL攻击使用从客户端发送到服务器上的数据库的SQL查询。该命令被插入或“注入”到数据平面中,以代替通常在那里的其他内容,例如密码或登录名。保存数据库的服务器然后运行命令并且系统被渗透。

如果SQL注入成功,可能会发生几件事,包括敏感数据的释放或重要数据的修改或删除。此外,攻击者可以执行诸如关闭命令之类的管理员操作,这可能会中断数据库的功能。

为了保护自己免受SQL注入攻击,请利用最低权限模型。使用最低权限架构,只允许绝对需要访问关键数据库的人进入。即使用户在组织内拥有权力或影响力,如果他们的工作不依赖于它。

例如,即使CEO有权知道内部的内容,也可以阻止CEO访问网络区域。应用最低权限策略不仅可以防止不良行为者访问敏感区域,还可以防止那些好心但意外地让他们的登录凭据容易受到攻击者攻击或让他们的工作站在远离他们的计算机时运行的人。

9.URL解释

通过URL解释,攻击者可以更改和伪造某些URL地址,并使用它们来访问目标的个人和专业数据。这种攻击也称为URL中毒。“URL解释”这个名称来自于攻击者知道需要输入网页的URL信息的顺序这一事实。然后攻击者“解释”这个语法,用它来弄清楚如何进入他们无法访问的区域。

为了执行URL解释攻击,黑客可能会猜测他们可以用来获得站点管理员权限或访问站点后端以进入用户账户的URL。一旦他们到达他们想要的页面,他们就可以操纵网站本身或访问有关使用它的人的敏感信息。

例如,如果黑客试图进入名为GetYourKnowledgeOn.com的网站的管理部分,他们可能会输入http://getyourknowledgeon.com/admin,这会将他们带到管理员登录页面。在某些情况下,管理员用户名和密码可能是默认的“admin”和“admin”,或者很容易猜到。攻击者也可能已经找出了管理员的密码或将其缩小到几种可能性。然后攻击者尝试每一个,获得访问权限,并可以随意操纵、窃取或删除数据。

为防止URL解释攻击成功,请对站点的任何敏感区域使用安全的身份验证方法。这可能需要多因素身份验证(MFA)或由看似随机字符组成的安全密码。

10.DNS欺骗

通过域名系统(DNS)欺骗,黑客可以更改DNS记录,以将流量发送到虚假或“欺骗”网站。一旦进入欺诈网站,受害者可能会输入黑客可以使用或出售的敏感信息。黑客还可能构建具有贬义或煽动性内容的劣质网站,以使竞争对手公司看起来很糟糕。

在DNS欺骗攻击中,攻击者利用了用户认为他们正在访问的站点是合法的这一事实。这使攻击者能够以无辜公司的名义犯罪,至少从访问者的角度来看是这样。

为防止DNS欺骗,请确保您的DNS服务器保持最新。攻击者旨在利用DNS服务器中的漏洞,最新的软件版本通常包含修复已知漏洞的修复程序。

最常见的20种网络安全攻击类型

11.会话劫持

会话劫持是多种MITM攻击之一。攻击者接管客户端和服务器之间的会话。攻击中使用的计算机将其Internet协议(IP)地址替换为客户端计算机的地址,并且服务器继续会话而不会怀疑它正在与攻击者而不是客户端进行通信。这种攻击是有效的,因为服务器使用客户端的IP地址来验证其身份。如果攻击者的IP地址在会话的中途插入,则服务器可能不会怀疑存在违规行为,因为它已经参与了受信任的连接。

为防止会话劫持,请使用VPN访问关键业务服务器。这样,所有通信都被加密,攻击者无法访问VPN创建的安全隧道。

12.蛮力攻击

蛮力攻击得名于攻击所采用的“野蛮”或简单方法。攻击者只是试图猜测有权访问目标系统的人的登录凭据。一旦他们做对了,他们就进去了。

虽然这听起来既费时又困难,但攻击者经常使用机器人来破解凭据。攻击者向机器人提供他们认为可以让他们访问安全区域的凭据列表。然后,当攻击者坐下来等待时,机器人会尝试每一个。一旦输入了正确的凭据,犯罪分子就可以访问。

为防止暴力攻击,请将锁定策略作为授权安全架构的一部分。经过一定次数的尝试后,尝试输入凭据的用户会被锁定。这通常涉及“冻结”账户,因此即使其他人尝试使用不同IP地址的不同设备,他们也无法绕过锁定。

使用没有常规单词、日期或数字序列的随机密码也是明智之举。这是有效的,因为例如,即使攻击者使用软件尝试猜测10位密码,也需要很多年的不间断尝试才能猜对。

13.网络攻击

Web攻击是指针对基于Web的应用程序中的漏洞的威胁。每次您在Web应用程序中输入信息时,您都在启动一个生成响应的命令。例如,如果您使用在线银行应用程序向某人汇款,您输入的数据会指示该应用程序进入您的账户,取出资金,然后将其发送到其他人的账户。攻击者在这类请求的框架内工作,并利用它们为自己谋利。

一些常见的Web攻击包括SQL注入和跨站点脚本(XSS),本文稍后将对此进行讨论。黑客还使用跨站点请求伪造(CSRF)攻击和参数篡改。在CSRF攻击中,受害者被愚弄执行有利于攻击者的操作。例如,他们可能会单击启动脚本的东西,该脚本旨在更改登录凭据以访问Web应用程序。拥有新登录凭据的黑客可以像合法用户一样登录。

参数篡改涉及调整程序员实施的参数,作为旨在保护特定操作的安全措施。操作的执行取决于参数中输入的内容。攻击者只需更改参数,就可以绕过依赖于这些参数的安全措施。

为避免Web攻击,请检查您的Web应用程序以检查并修复漏洞。在不影响Web应用程序性能的情况下修补漏洞的一种方法是使用反CSRF令牌。令牌在用户的浏览器和Web应用程序之间交换。在执行命令之前,会检查令牌的有效性。如果它签出,则命令通过-如果不是,则被阻止。您还可以使用SameSite标志,它只允许处理来自同一站点的请求,从而使攻击者构建的任何站点都无能为力。

14.内部威胁

有时,最危险的演员来自组织内部。公司自己门内的人员构成了特殊的危险,因为他们通常可以访问各种系统,在某些情况下,还具有管理员权限,使他们能够对系统或其安全策略进行重大更改。

此外,组织内的人员通常对其网络安全架构以及业务如何应对威胁有深入的了解。这些知识可用于访问受限区域、更改安全设置或推断进行攻击的最佳时间。

在组织中防止内部威胁的最佳方法之一是将员工对敏感系统的访问限制为只允许那些需要他们履行职责的人访问。此外,对于少数需要访问权限的人,请使用MFA,这将要求他们至少使用他们知道的一件事情以及他们必须获得对敏感系统的访问权限的物理项目。例如,用户可能必须输入密码并插入USB设备。在其他配置中,在用户必须登录的手持设备上生成访问号码。只有密码和号码都正确,用户才能访问安全区域。

虽然MFA本身可能无法阻止所有攻击,但它可以更容易地确定谁是攻击的幕后黑手或企图攻击的幕后黑手,特别是因为一开始只有相对较少的人被授予访问敏感区域的权限。因此,这种有限的访问策略可以起到威慑作用。您组织内的网络犯罪分子会知道,由于潜在嫌疑人相对较少,因此很容易查明肇事者是谁。

15.特洛伊木马

特洛伊木马攻击使用隐藏在看似合法的恶意程序中的恶意程序。当用户执行可能是无辜的程序时,木马内的恶意软件可用于打开系统后门,黑客可以通过该后门侵入计算机或网络。这种威胁的名字来源于希腊士兵躲在一匹马里潜入特洛伊城并赢得战争的故事。一旦“礼物”被接受并带入特洛伊城门,希腊士兵就跳出来攻击。以类似的方式,一个毫无戒心的用户可能会欢迎一个看似无辜的应用程序进入他们的系统,只是为了引入一个隐藏的威胁。

为防止木马攻击,应指示用户不要下载或安装任何东西,除非其来源可以得到验证。此外,NGFW可用于检查数据包中是否存在木马的潜在威胁。

16.路过攻击

在路过式攻击中,黑客将恶意代码嵌入到不安全的网站中。当用户访问该站点时,该脚本会在他们的计算机上自动执行,从而感染它。“开车经过”的名称来自这样一个事实,即受害者只需通过访问该站点来“开车经过”该站点即可被感染。无需点击网站上的任何内容或输入任何信息。

为了防止路过式攻击,用户应确保他们在所有计算机上运行最新的软件,包括可能在浏览互联网时使用的Adobe Acrobat和Flash等应用程序。此外,您可以使用网络过滤软件,该软件可以在用户访问之前检测网站是否不安全。

17.XSS攻击

通过XSS或跨站点脚本,攻击者使用可点击的内容传输恶意脚本,这些内容被发送到目标浏览器。当受害者点击内容时,脚本就会被执行。因为用户已经登录到Web应用程序的会话,所以他们输入的内容被Web应用程序视为合法。但是,执行的脚本已被攻击者更改,导致“用户”采取了意外的操作。

例如,XSS攻击可能会更改通过网上银行应用程序发送的转账请求的参数。在伪造的请求中,转移资金的预期接收者的名字被替换为攻击者的名字。攻击者还可以更改转移的金额,给自己比目标最初打算发送的更多的钱。

防止XSS攻击的最直接方法之一是使用允许实体的白名单。这样,Web应用程序不会接受除已批准条目之外的任何内容。您还可以使用一种称为清理的技术,该技术检查输入的数据,检查它是否包含任何可能有害的内容。

18.窃听攻击

窃听攻击涉及恶意行为者在通过网络发送流量时拦截流量。通过这种方式,攻击者可以收集用户名、密码和其他机密信息,例如信用卡。窃听可以是主动的或被动的。

通过主动窃听,黑客在网络流量路径中插入一个软件,以收集黑客分析有用数据的信息。被动窃听攻击的不同之处在于黑客“监听”或窃听传输,寻找他们可以窃取的有用数据。

主动和被动窃听都是MITM攻击的类型。防止它们的最佳方法之一是加密您的数据,这可以防止黑客使用它,无论他们是使用主动窃听还是被动窃听。

19.生日攻击

在生日攻击中,攻击者滥用安全功能:哈希算法,用于验证消息的真实性。散列算法是一种数字签名,消息的接收者在接受消息为真实之前会对其进行检查。如果黑客可以创建与发件人附加到其消息中的相同的哈希,则黑客可以简单地用他们自己的替换发件人的消息。接收设备将接受它,因为它具有正确的哈希值。

“生日攻击”这个名字指的是生日悖论,它是基于这样一个事实,即在一个23人的房间里,有超过50%的机会有两个人生日相同。因此,虽然人们认为他们的生日,就像哈希一样,是独一无二的,但它们并不像许多人想象的那么独特。

为防止生日攻击,请使用更长的哈希值进行验证。随着每个额外的数字添加到散列中,创建匹配数字的几率显著降低。

20.恶意软件攻击

恶意软件是恶意软件的总称,因此单词开头的“mal”。恶意软件会感染计算机并在其通过时改变其运行方式、破坏数据或监视用户或网络流量。恶意软件可以从一台设备传播到另一台设备,也可以留在原地,仅影响其主机设备。

上述几种攻击方法可能涉及各种形式的恶意软件,包括MITM攻击、网络钓鱼、勒索软件、SQL注入、特洛伊木马、路过攻击和XSS攻击。

在恶意软件攻击中,软件必须安装在目标设备上。这需要用户方面的操作。因此,除了使用可以检测恶意软件的防火墙外,还应教育用户避免使用哪些类型的软件、点击前应验证的链接类型以及不应使用的电子邮件和附件。


网络安全等级保护安全物理环境测评培训PPT

网络安全等级保护实施指南培训PPT

数据安全风险评估清单

美国关键信息基础设施数据泄露的成本

开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:什么是等级保护?
网络安全等级保护:信息技术服务过程一般要求
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
信息安全服务与信息系统生命周期的对应关系
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
工业控制系统安全:DCS风险与脆弱性检测要求思维导图

原文始发于微信公众号(祺印说信安):最常见的20种网络安全攻击类型

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月9日11:34:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   最常见的20种网络安全攻击类型http://cn-sec.com/archives/1397291.html

发表评论

匿名网友 填写信息