这是我参与「第四届青训营 」笔记创作活动的第4天
课程内容
DDOS攻击
分布式拒绝服务(DDoS)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
攻击流量来源:多台受损计算机系统;
机器人(僵尸):被恶意软件感染的计算机和其他设备【能够被攻击者远程控制】
僵尸网络:一组机器人构成的网络
攻击方式:每个机器人奖请求发送到目标的IP地址,导致服务器或网络不堪重负,进而造成对正常流量的拒绝服务。
识别DDos攻击
- 来自单个 IP 地址或 IP 范围的可疑流量
- 来自共享单个行为特征(例如设备类型、地理位置或 Web 浏览器版本)的用户的大量流量
- 对单个页面或端点的请求数量出现不明原因的激增
- 奇怪的流量模式,例如一天中非常规时间段的激增或看似不自然的模式(例如,每 10 分钟出现一次激增)
DDos攻击分类
应用程序层攻击
协议攻击
容量耗尽攻击
防护手段
'区分攻击流量与正常流量'
跨站点脚本攻击XSS
特点:
- 通常难以从UI.上感知(暗地执行脚本)
- 窃取用户信息(cookie/token)
- 绘制UI (例如弹窗),诱骗用户点击/填写表单
eg.
eg.
<input type="text" name="address1" value="value1from">
value后面的值来自用户的输入,如果用户输入"/><!-,则上述代码会变成:<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">嵌入的JavaScript代码将会被执行。
或者:用户输入的是:"onfocus="alert(document.cookie)那么就会变成<input type="text" name="address1" value=""onfocus="alert(document.cookie)">事件被触发的时候嵌入的JavaScript代码将会被执行
分类
存储型XSS:恶意脚本存储在数据库中,用户访问页面->读取数据就会被攻击。(危害最大,对全体用户可见)
、
反射型XSS:(服务端注入)
基于DOM的XSS:(浏览器注入)
基于Mutation的XSS:利用了浏览器渲染的区别
跨站请求攻击CSRF
前提: 登录权限验证的方式有很多种,目前绝大多数网站采用的还是 session 会话任务的方式;浏览器中 HTTP(s) 请求是会自动帮我们把 cookie 带上传给服务端。
session机制:服务端使用一个键值对记录登录信息,同时在 cookie 中将 session id(即刚才说的键)存储到 cookie 中
特点:
- 在用户不知情的前提下
- 利用用户权限(cookie)
- 构造指定HTTP 请求,窃取或修改用户敏感信息
存在问题:一个用户在A网站登录,如果他在访问B网站的时候,发送了一个A网站的请求,那么这个请求将带有该用户在A网站的登录信息。如果这个请求在用户不知情的情况下发生,会造成非常严重的危害。
