如何判断及预防常见的几种网络病毒及攻击（软考）

1.跨站脚本

   主要采用脚本语言设计的计算机病毒。现在流行的脚本病毒大都是利用JavaScript和VBScript脚本语言编写。

   脚本病毒通常有如下前缀：VBS、JS（表明是脚本文件格式）

   访问日志关键字判断：相关的函数代码（例：base_64decode(S_POST)等..）

   预防：一、是严格控制用户表单的输入,验证所有输入数据,有效监测到攻击,go web表单中涉及到.         二、是对所有输出的数据进行处理,防止已成功注入的脚本在浏览器端运行.

2.SQL注入

   利用网络系统的黑洞，采用针对该漏洞的工具或资金设计的针对该漏洞的工具等方式进行入侵、攻击。

   判断：

      一、单引号判断
      http://www.xxx.com/xxx.asp?id=10' 如果出现错误提示，则该网站可能就存在注入漏洞。

      二、and判断
      http://www.xxx.com/xxx.asp?id=10'and 1=1这个条件永远都是真的，所以当然返回是正常页
     http://www.xxx.com/xxx.asp?id=10'and 1=2如果报错那说明存在注入漏洞，还要看报的什么     错，不可能报任何错都有注入漏洞的。

      三、Or判断(or跟and判断方法不一样的，and是提交返回错误才有注入点，而OR是提交返回正确有注入点)
   例： http://www.xxx.com/xxx.asp?id=10'or 1=1

      四、xor判断(xor后面的语句如果是正确的，则返回错误页面，如果是错误，则返回正确页面， 说明存在注入点。)
    例：http://www.xx.com/xx.asp?id=10'xor 1=1

     五、加减号数字判断(返回的页面和前面的页面相同，加上-1，返回错误页面，则也表示存在注入漏洞.)
    例：http://www.xx.com/xx.asp?id=20-0

     六、输入框判断
    可以使用特殊符号去判断
    #@!$/ ...

    SQL注入预防包括：PreparedStatement、使用正则表达式过滤传入的参数、字符串过滤、jsp中调用该函数检查是否包函非法字符、JSP页面判断代码

3.宏病毒

   宏病毒的破坏性较大，具有一定的隐藏性，采用常规的病毒判定方法，不能判断宏病毒的存在。

   预防：启动“宏病毒防护功能”（不能在下次开机保存）会弹出相应宏警告。

4.APT攻击（高级持续性威胁）属于针对性攻击

   隐秘性，针对性，持续性，有计划性，多态性，目的是窃取数据
   通常入侵途径：
    一、 以移动设备为目标和攻击对象进而入侵企业信息系统
    二、 恶意邮件（社交工程）
    三、防火墙、服务器漏洞

    阻断和遏止APT攻击的前提是能够有效检测到安全威胁的存在，通常已经退出目标系统的APT由于活动痕迹已被清除而难以发现，因此检测的重点是APT攻击的前3个时期。

    一、在探测期中

    APT攻击者通常会规划很长一段时间展开信息收集和目标突破的行动，而现有IDS或IPS系统一般是实时工作的，而且在检测数据中存在大量冗余信息。因而，为了令初期阶段的检测更加有效，可对长时间、全流量数据用大数据分析的方法进行深度检测，对各种来源的日志数据进行周期性关联分析，这将非常有助于发现APT攻击。

     二、在入侵期中

     部署采用基于收发双方关联信息、基于电子邮件历史分析发送者特点和基于附件恶意代码分析等检测技术的对策工具，可以有效检测出利用目标性电子邮件的APT攻击。

     三、在潜伏期中

     如果指令或传输的数据被加密，那么对其内容的检测就十分困难，只能通过流量分析判断系统可能处于异常状态；但如果数据未加密，则通过内容分析技术有可能识别出敏感数据已经以非正常方式传送到了受保护区域之外。在命令和控制阶段，可能存在增加用户、提升权限和增加新的启动项目等行为，使用IDS或IPS检测这类入侵将有助于发现APT攻击。

     预防：

     一、基于未知文件行为检测的方法。一般通过沙箱技术罪恶意程序进行模拟执行。

     二、基于终端应用监控的方法。

     三、基于大数据分析的方法，通过网路取证，将大数据分析技术和沙箱技术结合全面分析APT攻击。

5.DDOS攻击

   DDOS攻击主要有两种攻击方式：

    一、是针对网络带宽进行攻击，通过大量的“肉鸡”模拟真实用户访问，将服务器带宽占满，导致真正的用户无法正常访问；

   二、是针对服务器主机进行攻击，通过大量的攻击包占据服务器主机的CPU、内存等，导致服务器主机性能负载崩溃，而无法提供正常访问了。

    判断：

    一、检查网站后台服务器发现大量无用的数据包；

    二、服务器主机上有大量等待的TCP连接；

    三、网络流量出现异常变化突然暴涨；

    四、大量访问源地址是虚假的；

    五、当发现Ping超时或丢包严重时，且同一交换机上的服务器也出现了问题，不能进行正常访问；

     预防：

     一、扩充服务器带宽

     二、使用硬件防火墙

     三、选用高性能设备

     四、负载均衡

     五、筛查系统漏洞

     六、限制特定的流量

     七、选购高防服务器

6.CC攻击

    CC攻击的前身名为Fatboy攻击，是利用不断对网站发送连接请求致使形成拒绝服务的目的。攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包，造成对方服务器资源耗尽，一直到宕机崩溃。

    判断：CPU耗尽、内存耗尽、磁盘IO读写超高、耗带宽资源

    防御：

            高防IP（高防IP是指拥有专业的防火墙的IP转发节点，可以有效拦截非常攻击。）

            高防服务器（和高防IP类似，高防服务器是指拥有专业防火墙的服务器，可以有效拦截CC攻击。）

            高防CDN（高防CDN是指设置在全国各地的高防节点，通过分散攻击来达到防御作用。）

7.蠕虫病毒

            是一种常见的计算机病毒，是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

           独立个体、独立运行，具有传播多样性，造成网络拥堵，消耗资源。

           判断：一般前缀Worm（通过系统漏洞传播）

           预防：使用杀毒软件

8.木马病毒

           是指隐藏在正常程序中的一段具有特殊功能的恶意代码（具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序），一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中的密码和重要文件等，对计算机实施监控、资料修改等操作。木马病毒具有很强的隐蔽性。

           判断：一般前缀Trojan,黑客病毒前缀Hack，往往成对出现（这里只简单赘述考点）

           预防：检测和寻找木马隐藏的位置、防范端口、删除可疑程序、安装防火墙。