【网络安全】《网络安全常见攻击与防御》（附：《六大攻击核心特性横向对比表》）

文章目录

网络安全常见攻击与防御
- 一、全局总览与攻击分层定位
- 二、六大攻击与防御（结构化详解）
- - [2.1 XSS（Cross-Site Scripting，跨站脚本攻击）](#2.1 XSS（Cross-Site Scripting，跨站脚本攻击）)
  - - [1. 基础定义与攻击本质](#1. 基础定义与攻击本质)
    - [2. 攻击类型与细分场景](#2. 攻击类型与细分场景)
    - [3. 完整攻击链路](#3. 完整攻击链路)
    - [4. 核心安全危害](#4. 核心安全危害)
    - [5. 全生命周期防御体系](#5. 全生命周期防御体系)
    - [6. 检测与应急处置要点](#6. 检测与应急处置要点)
  - [2.2 CSRF（Cross-Site Request Forgery，跨站请求伪造）](#2.2 CSRF（Cross-Site Request Forgery，跨站请求伪造）)
  - - [1. 基础定义与攻击本质](#1. 基础定义与攻击本质)
    - [2. 攻击类型与细分场景](#2. 攻击类型与细分场景)
    - [3. 完整攻击链路](#3. 完整攻击链路)
    - [4. 核心安全危害](#4. 核心安全危害)
    - [5. 全生命周期防御体系](#5. 全生命周期防御体系)
    - [6. 检测与应急处置要点](#6. 检测与应急处置要点)
  - [2.3 SQL注入攻击](#2.3 SQL注入攻击)
  - - [1. 基础定义与攻击本质](#1. 基础定义与攻击本质)
    - [2. 攻击类型与细分场景](#2. 攻击类型与细分场景)
    - [3. 完整攻击链路](#3. 完整攻击链路)
    - [4. 核心安全危害](#4. 核心安全危害)
    - [5. 全生命周期防御体系](#5. 全生命周期防御体系)
    - [6. 检测与应急处置要点](#6. 检测与应急处置要点)
  - [2.4 越权访问攻击](#2.4 越权访问攻击)
  - - [1. 基础定义与攻击本质](#1. 基础定义与攻击本质)
    - [2. 攻击类型与细分场景](#2. 攻击类型与细分场景)
    - [3. 完整攻击链路](#3. 完整攻击链路)
    - [4. 核心安全危害](#4. 核心安全危害)
    - [5. 全生命周期防御体系](#5. 全生命周期防御体系)
    - [6. 检测与应急处置要点](#6. 检测与应急处置要点)
  - [2.5 中间人攻击（Man-in-the-Middle，MITM）](#2.5 中间人攻击（Man-in-the-Middle，MITM）)
  - - [1. 基础定义与攻击本质](#1. 基础定义与攻击本质)
    - [2. 攻击类型与细分场景](#2. 攻击类型与细分场景)
    - [3. 完整攻击链路](#3. 完整攻击链路)
    - [4. 核心安全危害](#4. 核心安全危害)
    - [5. 全生命周期防御体系](#5. 全生命周期防御体系)
    - [6. 检测与应急处置要点](#6. 检测与应急处置要点)
  - [2.6 DDoS（Distributed Denial of Service，分布式拒绝服务攻击）](#2.6 DDoS（Distributed Denial of Service，分布式拒绝服务攻击）)
  - - [1. 基础定义与攻击本质](#1. 基础定义与攻击本质)
    - [2. 攻击类型与细分场景](#2. 攻击类型与细分场景)
    - [3. 完整攻击链路](#3. 完整攻击链路)
    - [4. 核心安全危害](#4. 核心安全危害)
    - [5. 全生命周期防御体系](#5. 全生命周期防御体系)
    - [6. 检测与应急处置要点](#6. 检测与应急处置要点)
- 三、六大攻击核心特性横向对比表
- 四、通用全生命周期安全防御体系

网络安全常见攻击与防御

一、全局总览与攻击分层定位

本体系覆盖的6类攻击，是全球OWASP Top 10高危漏洞、企业与个人网络安全的核心风险点，完整覆盖网络层-传输层-会话层-应用层全链路攻击面，可按攻击核心逻辑分为4大类，建立全局认知：

攻击大类	包含攻击类型	核心攻击本质	核心目标
应用层注入类攻击	SQL注入、XSS	利用应用输入处理缺陷，注入恶意代码/指令，打破原有业务逻辑边界	代码执行、数据窃取、权限提升
会话与权限控制类攻击	CSRF、越权访问	利用身份会话、权限校验的逻辑缺陷，冒用合法用户身份/突破权限边界	未授权操作、数据泄露、业务篡改
传输层链路劫持攻击	中间人攻击(MITM)	插入通信双方链路，劫持、监听、篡改双向通信内容	信息窃取、流量篡改、钓鱼欺诈
可用性瘫痪攻击	DDoS	分布式耗尽目标的带宽、系统、应用资源，导致服务中断	业务不可用、品牌与经济损失

二、六大攻击与防御（结构化详解）

以下每类攻击均采用统一标准化结构，实现全链路、全生命周期的知识覆盖。

2.1 XSS（Cross-Site Scripting，跨站脚本攻击）

1. 基础定义与攻击本质

定义：攻击者在Web应用中注入恶意JavaScript脚本，当用户访问页面时，脚本在用户浏览器中自动执行，实现攻击目的。
本质：Web应用对用户输入未做有效过滤与输出编码，导致恶意脚本被浏览器当作合法代码执行，打破了"网站脚本仅能执行本站可信逻辑"的安全边界。
核心触发点：所有用户可控输入并回显到前端页面的位置（评论区、搜索框、个人资料、URL参数等）。

2. 攻击类型与细分场景

类型	核心原理	典型触发场景	风险等级
存储型XSS（持久型）	恶意脚本被存入后端数据库，所有访问该页面的用户均会触发执行	论坛发帖、商品评论、用户私信、个人资料页	极高（蠕虫式传播，批量受害）
反射型XSS（非持久型）	恶意脚本拼接在URL中，诱导用户点击后，服务器将恶意内容回显到页面触发执行	搜索结果页、错误提示页、URL参数回显场景	高（定向钓鱼、精准攻击）
DOM型XSS	恶意脚本直接在客户端浏览器的DOM树解析中执行，全程不经过后端服务器	前端路由、页面元素动态渲染、URL hash参数处理	高（难以被后端WAF检测）

3. 完整攻击链路

攻击者定位Web应用的XSS漏洞点，构造恶意JS脚本
存储型：将恶意脚本提交至应用数据库；反射型/DOM型：构造带恶意脚本的URL
诱导目标用户访问含恶意脚本的页面/URL
用户浏览器加载页面时，恶意脚本被自动执行
攻击者完成会话劫持、数据窃取、钓鱼等攻击目标

典型案例：2011年新浪微博XSS蠕虫事件，数小时内感染数十万用户，自动发布恶意内容、批量关注攻击者账号。

4. 核心安全危害

会话劫持：窃取用户Cookie，冒用用户身份登录账号，执行敏感操作
数据窃取：盗取用户个人信息、账号密码、业务核心数据
钓鱼欺诈：伪造登录框、支付弹窗，诱导用户输入敏感信息
客户端控制：键盘记录、页面篡改、挖矿、DDoS肉鸡、浏览器权限滥用
品牌损害：网站被篡改、传播恶意内容，严重影响企业公信力

5. 全生命周期防御体系

事前核心防护（根本解决方案）

输入白名单校验：对所有用户可控输入执行严格的白名单校验，仅允许合法字符、格式与长度，拒绝危险特殊字符。
上下文匹配的输出编码 ：核心防御手段，对所有输出到HTML页面的用户可控内容，按输出场景执行对应编码：
- HTML上下文：HTML实体编码（<转<、>转>、引号转义）
- JavaScript上下文：JavaScript Unicode编码
- URL/CSS上下文：对应场景的专属编码规则
内容安全策略CSP ：HTTP响应头配置CSP，严格限制页面可加载的脚本源，禁用内联脚本、eval函数，从根本上阻止未授权脚本执行。
Cookie安全加固 ：核心Cookie设置HttpOnly（禁止JS读取）、Secure（仅HTTPS传输）、SameSite属性。
前端框架原生防护：使用React、Vue等主流框架，其默认模板渲染机制会自动对输出内容编码，规避绝大多数DOM型XSS风险。

事中防护

部署Web应用防火墙（WAF），实时检测与拦截XSS攻击特征
前端部署JS异常监控，识别异常脚本执行、DOM篡改行为

事后修复

定期开展XSS漏洞扫描、渗透测试、代码审计
建立应急响应机制，发生攻击时立即下线恶意内容、重置受害用户会话、修复漏洞

6. 检测与应急处置要点

检测手段：黑盒渗透测试（构造XSS Payload）、白盒代码审计、自动化扫描工具（Burp Suite、AWVS、Nessus）
应急流程：关闭漏洞入口→清理恶意内容→定位受害范围→重置用户会话→修复漏洞→复测上线→溯源取证

2.2 CSRF（Cross-Site Request Forgery，跨站请求伪造）

1. 基础定义与攻击本质

定义：攻击者诱导用户在已登录目标网站的状态下，访问恶意构造的第三方页面/链接，利用浏览器自动携带目标网站Cookie的机制，以用户的身份在目标网站执行非自愿的敏感操作。
本质：冒用用户的合法会话身份，利用Web应用对"请求来源是否为用户自愿发起"的校验缺陷，核心依赖浏览器的Cookie自动携带机制。
核心区别：与XSS不同，CSRF无需注入恶意脚本，仅需利用用户的已登录会话，伪造合法请求。

2. 攻击类型与细分场景

类型	核心原理	典型触发场景
GET型CSRF	恶意请求封装在图片、链接的URL中，用户加载/点击时自动发起GET请求	恶意页面的`<img>`标签、诱导点击的超链接
POST型CSRF	恶意页面构造自动提交的POST表单，用户访问页面时自动提交请求，执行敏感操作	修改密码、转账、管理员权限变更等POST接口
嵌套型CSRF	结合XSS漏洞，在目标站点内注入CSRF攻击代码，绕过同源策略限制，攻击成功率极高	存在XSS漏洞的站内页面，实现蠕虫式CSRF攻击

3. 完整攻击链路

用户登录目标网站A，浏览器保存网站A的登录Cookie，保持会话有效
攻击者构造针对网站A敏感接口的恶意请求，嵌入到第三方恶意网站B
诱导用户在登录状态下访问网站B
网站B的恶意代码自动触发，向网站A发起请求，浏览器自动携带网站A的有效Cookie
网站A服务器接收请求，验证Cookie有效，认为是用户本人发起的合法操作，执行对应指令
攻击者完成修改用户密码、转账、删除数据等攻击目标

典型案例：2008年YouTube CSRF漏洞，攻击者可诱导用户访问恶意页面，自动为攻击者账号添加关注、上传恶意视频。

4. 核心安全危害

以用户身份执行敏感操作：修改密码、绑定恶意手机号、转账支付、信息篡改
业务数据破坏：删除核心数据、提交恶意内容、批量操作业务
权限提升：针对管理员账号的CSRF，可直接获取网站管理权限，接管整个系统
用户资产损失与品牌声誉受损

5. 全生命周期防御体系

事前核心防护（根本解决方案）

CSRF Token校验 ：行业标准防御方案
- 服务器为每个用户会话生成唯一、不可预测的Token，存储在服务端Session中
- 前端所有敏感请求必须携带该Token，服务端对Token与会话的一致性做严格校验
- Token禁止存放在Cookie中，需放在请求头、请求体中传递
SameSite Cookie属性 ：核心浏览器端防护
- 设置SameSite=Strict/Lax，禁止第三方网站跨域携带本站Cookie，从根源上阻断CSRF的核心依赖
- Strict：完全禁止跨域携带Cookie；Lax：仅允许安全的GET方法跨域携带，兼顾安全与兼容性
同源检测机制 ：服务端校验请求的Origin/Referer请求头，验证请求来源是否为本站可信域名，拒绝外域非法请求
二次验证机制：核心敏感操作（修改密码、转账、权限变更）增加验证码、短信验证、支付密码等二次身份校验

事中防护

WAF配置CSRF攻击防护规则，拦截异常跨域请求、无Referer的敏感操作请求
业务日志监控，识别同一账号短时间内的异常敏感操作

事后修复

定期开展CSRF专项渗透测试，排查敏感接口的校验缺陷
发生攻击时，立即终止受害用户会话，撤销非法操作，修复漏洞

6. 检测与应急处置要点

检测手段：黑盒测试（构造跨域请求验证接口是否校验）、白盒代码审计（排查敏感接口是否有CSRF防护逻辑）
应急流程：终止受害用户会话→撤销非法操作→定位漏洞接口→补充防护逻辑→全量接口复测→溯源攻击来源

2.3 SQL注入攻击

1. 基础定义与攻击本质

定义：攻击者将恶意SQL语句注入到Web应用的输入参数中，后端服务器将恶意输入拼接到SQL语句中执行，从而打破原有SQL逻辑，实现非法数据库操作。
本质：代码与数据未做隔离，Web应用直接将用户可控输入拼接到SQL语句中，导致数据库将恶意输入当作SQL指令执行，突破了应用与数据库的访问边界。
核心触发点：所有用户可控参数（URL参数、表单提交、请求体）被用于拼接SQL语句的场景。

2. 攻击类型与细分场景

类型	核心原理	适用场景	风险等级
按注入点类型	数字型注入	注入点为数字型参数（如`id=1`），无需闭合引号，直接拼接SQL语句	入门级，易利用
	字符型注入	注入点为字符串型参数，需通过单/双引号闭合原有SQL语句，构造恶意逻辑	最常见，高风险
按回显方式	报错注入	利用数据库报错机制，通过构造错误语句，将查询结果直接回显到页面	高效，极高风险
	布尔盲注	页面无明确报错与数据回显，通过构造条件语句，根据页面返回的真假结果，逐字符猜解数据	无回显场景，高风险
	时间盲注	页面无任何回显差异，通过`sleep()`等延时函数，根据页面响应时间判断语句真假，猜解数据	完全无回显场景，高风险
高级注入类型	堆叠注入	利用数据库多语句执行特性，一次性执行多条SQL语句，实现删库、写文件等高危操作	极高风险，可直接接管服务器
	宽字节注入	利用数据库字符集编码缺陷，绕过单引号转义，实现注入	老旧系统，GBK编码场景

3. 完整攻击链路

攻击者定位Web应用的SQL注入点，判断注入类型与数据库类型
构造恶意SQL注入Payload，通过输入参数提交到后端服务器
后端将恶意Payload拼接到SQL语句中，提交给数据库执行
数据库执行恶意SQL语句，返回结果给后端应用
攻击者通过回显、报错、延时等方式，获取数据库数据、执行高危操作
最终实现拖库、提权、写入webshell、接管服务器等攻击目标

典型案例：2015年携程旅行网SQL注入漏洞，导致大量用户个人信息、银行卡数据泄露。

4. 核心安全危害

数据泄露：拖库窃取用户账号密码、个人信息、业务核心数据、商业机密
数据破坏：篡改、删除数据库数据，甚至删库、删表，导致业务瘫痪
权限提升：通过数据库提权，获取服务器操作系统权限，写入webshell，接管整个服务器
横向渗透：以数据库服务器为跳板，攻击内网其他系统，扩大攻击范围
合规风险：违反《网络安全法》《数据安全法》《个人信息保护法》，面临监管处罚与法律责任

5. 全生命周期防御体系

事前核心防护（根本解决方案）

预编译语句（参数化查询） ：行业黄金标准，唯一根本解决方案
- 预先定义SQL语句的结构，将用户输入作为参数传递，而非直接拼接到SQL语句中
- 数据库会将参数仅当作数据处理，无论参数内容如何，都不会被当作SQL指令执行
- 禁止任何形式的字符串拼接SQL语句，包括存储过程内的拼接逻辑
ORM框架正确使用 ：使用MyBatis、Hibernate等ORM框架，严格使用#{}参数绑定语法，禁止使用${}字符串替换语法
数据库最小权限原则 ：
- 为Web应用分配独立的数据库账号，仅授予业务必需的最小权限（如仅SELECT/INSERT/UPDATE，禁止DROP/ALTER等高危权限）
- 禁止使用root、sa等管理员账号连接业务数据库
输入白名单校验：对所有用户可控参数执行严格的白名单校验，如数字型参数仅允许数字，日期参数仅允许合法日期格式

事中防护

部署WAF，配置SQL注入防护规则，实时拦截恶意注入特征
数据库审计系统，监控异常SQL语句执行、高危操作、批量数据查询行为
禁用数据库危险函数与存储过程（如xp_cmdshell、load_file、into outfile）

事后修复

定期开展SQL注入专项扫描、渗透测试、代码审计
建立应急响应机制，发生攻击时立即切断攻击链路，隔离受影响系统，排查数据泄露范围

6. 检测与应急处置要点

检测手段：黑盒渗透测试（构造注入Payload）、白盒代码审计（排查SQL拼接逻辑）、自动化扫描工具、数据库审计日志分析
应急流程：下线漏洞入口→隔离受影响系统→排查数据泄露与篡改范围→恢复数据→修复漏洞→全量复测→合规上报与溯源取证

2.4 越权访问攻击

1. 基础定义与攻击本质

定义：Web应用的权限控制逻辑存在缺陷，攻击者能够以合法登录的身份，访问/操作不属于其权限范围内的资源或功能，甚至访问未授权的接口。
本质：服务端未对用户的操作执行严格的权限校验，仅依赖前端的权限控制（如按钮隐藏、菜单禁用），攻击者可直接调用后端接口，突破权限边界。
核心触发点：所有带资源标识的接口（如用户ID、订单ID、文件ID）、权限分级的功能接口。

2. 攻击类型与细分场景

类型	核心原理	典型场景	风险等级
水平越权	同权限级别、不同用户之间的越权，攻击者访问/操作同角色其他用户的私有资源	用户A查看/修改用户B的订单、个人信息、收货地址	高（批量数据泄露）
垂直越权（权限提升）	低权限用户越权访问/操作高权限用户的功能，实现权限向上突破	普通用户访问管理员后台、执行管理员专属的用户管理、系统配置操作	极高（系统接管）
交叉越权	同时包含水平越权与垂直越权，低权限用户既可以访问同角色其他用户资源，也可以访问高权限功能	普通用户既可以查看其他用户数据，也可以操作管理员接口	极高
未授权访问	无需登录认证，即可直接访问需要授权的接口与资源，属于最基础的越权缺陷	未登录即可访问用户中心、后台管理接口、下载内部文件	极高

3. 完整攻击链路

攻击者以合法身份登录Web应用，抓取正常业务的接口请求，获取接口地址、参数格式
修改接口中的资源标识（如将用户ID改为其他用户的ID）、接口路径（如将普通接口改为管理员接口）
向后端服务器发送修改后的请求
后端服务器未校验当前登录用户的权限，直接执行请求对应的操作，返回数据
攻击者成功越权访问/操作非授权的资源与功能

典型案例：大量电商平台、政务系统的水平越权漏洞，攻击者可遍历用户ID，批量下载所有用户的订单、身份证、银行卡等敏感信息。

4. 核心安全危害

批量数据泄露：水平越权可遍历获取所有用户的个人信息、业务数据、隐私文件
业务篡改与破坏：越权修改、删除其他用户的数据，甚至篡改系统配置
系统接管：垂直越权获取管理员权限，完全控制整个应用系统
合规风险：大规模个人信息泄露，违反数据安全相关法律法规，面临巨额处罚与法律责任

5. 全生命周期防御体系

事前核心防护（根本解决方案）

服务端全接口权限校验 ：唯一根本原则，所有权限校验必须在服务端执行，前端校验仅作为辅助，完全不可信
- 每一个需要授权的接口，必须先校验用户的登录状态，再校验用户的角色与权限，确认其有权限访问该接口、操作该资源
- 对于带资源标识的接口，必须校验当前登录用户是否为该资源的所属者，或具备该资源的操作权限
统一权限管控框架：基于RBAC（基于角色的访问控制）模型，构建统一的权限管理中间件/过滤器，避免每个接口单独写权限校验逻辑，防止遗漏
最小权限原则：为每个用户、角色分配业务必需的最小权限，禁止过度授权
不可预测的资源标识：避免使用自增ID、顺序编号等可遍历的资源标识，使用UUID、雪花ID等不可预测的字符串作为资源唯一标识，防止批量遍历越权

事中防护

接口网关配置统一鉴权规则，拦截未授权的接口访问
业务日志监控，识别同一账号短时间内的异常资源访问、批量ID遍历行为
接口限流，防止攻击者批量遍历接口，实施数据拖库

事后修复

定期开展越权访问专项渗透测试，重点排查带资源参数的接口、分级权限接口
全量代码审计，排查接口是否缺失服务端权限校验逻辑
发生攻击时，立即终止受害用户会话，排查数据泄露范围，修复漏洞

6. 检测与应急处置要点

检测手段：黑盒渗透测试（修改用户ID/接口路径，验证是否越权）、白盒代码审计（排查接口权限校验逻辑）、自动化API安全扫描
应急流程：终止攻击会话→关闭漏洞接口→排查数据泄露范围→恢复数据→补充全接口权限校验→全量复测→合规上报

2.5 中间人攻击（Man-in-the-Middle，MITM）

1. 基础定义与攻击本质

定义：攻击者在通信双方的链路中间，插入自己的节点，劫持双方的通信流量，实现对通信内容的监听、窃取、篡改，而通信双方完全不知情，以为仍在直接通信。
本质：打破通信双方的身份信任与链路加密，攻击者成为通信的"中转节点"，全程掌控双向通信内容。
核心触发点：公共WiFi、局域网、DNS解析、HTTP明文传输、HTTPS配置缺陷场景。

2. 攻击类型与细分场景

类型	核心原理	典型攻击场景
ARP欺骗	攻击者在局域网内伪造ARP应答，欺骗网关与目标主机，将自己的MAC地址伪装成网关/目标主机，劫持局域网流量	公共WiFi、家庭/办公局域网，是最常见的内网MITM攻击
DNS劫持	攻击者篡改DNS解析结果，将目标域名解析到攻击者的恶意IP地址，用户访问域名时会连接到攻击者的服务器	路由器DNS篡改、运营商DNS劫持、恶意DNS服务器、本地hosts文件篡改
SSL/TLS剥离攻击（降级攻击）	攻击者将用户的HTTPS请求降级为HTTP明文请求，全程以明文劫持通信内容，而用户无法察觉	公共WiFi场景，配合ARP欺骗实现
伪造证书攻击	攻击者伪造目标网站的SSL证书，诱导用户信任该证书，从而建立加密连接，攻击者可解密所有HTTPS流量	钓鱼网站、恶意根证书安装、内网证书管控缺陷场景
恶意热点劫持	攻击者搭建与官方同名的免费公共WiFi热点，用户连接后，所有流量均经过攻击者的节点，实现全程劫持	商场、机场、咖啡厅等公共场所的免费WiFi

3. 完整攻击链路

攻击者通过ARP欺骗、恶意热点、DNS劫持等方式，插入到客户端与服务器的通信链路中间
客户端与攻击者建立连接，攻击者与目标服务器建立连接，形成"客户端→攻击者→服务器"的双向通信链路
客户端发送的所有请求，先经过攻击者，攻击者可监听、记录、篡改内容后，转发给服务器
服务器返回的所有响应，先经过攻击者，攻击者可监听、记录、篡改内容后，转发给客户端
通信双方全程无感知，攻击者完成账号密码窃取、数据篡改、钓鱼注入等攻击目标

典型案例：2013年FireSheep工具，可在公共WiFi中通过ARP欺骗，劫持大量网站的用户Cookie，实现会话劫持。

4. 核心安全危害

信息窃取：监听通信内容，窃取用户账号密码、银行卡信息、个人隐私、业务机密数据
数据篡改：篡改交易金额、订单信息、业务数据，造成用户资产损失与业务混乱
钓鱼欺诈：在页面中注入钓鱼弹窗、恶意代码，诱导用户下载木马、输入敏感信息
会话劫持：窃取用户会话Cookie，冒用用户身份登录网站，执行敏感操作
木马植入：在下载的文件中植入木马、病毒，控制用户设备

5. 全生命周期防御体系

事前核心防护（根本解决方案）

全站HTTPS与TLS安全配置 ：核心根本防御手段
- 全站启用HTTPS，禁用HTTP明文传输，使用TLS 1.2/1.3版本，禁用SSL、TLS 1.0/1.1等不安全协议
- 配置安全的加密套件，禁用弱加密算法，部署正确的SSL证书链
- 配置HSTS（HTTP Strict Transport Security）HTTP响应头，强制浏览器始终使用HTTPS访问网站，禁止降级到HTTP，彻底阻止SSL剥离攻击
严格的证书校验机制 ：
- 客户端与服务端均严格校验SSL证书的有效性、域名匹配性、颁发机构可信度，禁止信任自签名证书、未知根证书
- 部署证书固定（Certificate Pinning）技术，客户端仅信任预先固定的站点证书/公钥，防止伪造证书攻击
网络层防护 ：
- 局域网内配置静态ARP绑定，防止ARP欺骗
- 使用可信的DNS服务器，部署DNSSEC技术，防止DNS劫持
- 避免连接无密码的公共免费WiFi，敏感操作必须使用手机流量、企业VPN
端到端加密：核心敏感数据在传输前，先进行端到端加密，即使流量被劫持，攻击者也无法解密内容

事中防护

部署入侵检测系统（IDS）/入侵防御系统（IPS），检测ARP欺骗、异常DNS解析、SSL异常行为
终端安全软件，检测恶意热点、伪造证书、网络劫持行为
网站安全监控，识别页面内容被篡改、异常注入行为

事后修复

发现劫持行为时，立即断开网络连接，更换可信网络环境
重置所有被窃取的账号密码，终止异常会话，排查资产损失
排查劫持来源，修复网络、系统、应用的安全缺陷

6. 检测与应急处置要点

检测手段：网络抓包分析（Wireshark）、ARP缓存检查、DNS解析验证、证书有效性校验、网络劫持检测工具
应急流程：断开不可信网络→重置账号密码→排查数据泄露与资产损失→定位劫持来源→修复安全缺陷→终端病毒查杀

2.6 DDoS（Distributed Denial of Service，分布式拒绝服务攻击）

1. 基础定义与攻击本质

定义：攻击者控制大量傀儡主机（肉鸡）、物联网设备，同时向目标服务器/网络发起大量恶意请求，耗尽目标的带宽、系统资源、应用资源，导致目标无法处理正常用户的请求，业务彻底中断。
本质：以资源耗尽为核心的可用性攻击，不直接窃取数据，而是通过瘫痪业务，造成企业经济损失、品牌损害，甚至勒索敲诈。
核心触发点：公网可访问的服务器、网站、APP、游戏等在线业务。

2. 攻击类型与细分场景

按OSI七层模型，分为3大类，覆盖从网络层到应用层的全链路攻击：

攻击层级	攻击类型	核心原理	攻击特点
网络层DDoS（流量型攻击）	SYN Flood	利用TCP三次握手缺陷，发送大量伪造源IP的SYN请求，服务器半开连接耗尽，无法处理正常请求	最经典，耗尽服务器TCP连接资源
	UDP Flood	发送大量伪造的UDP数据包，占满目标带宽，导致正常流量无法通过	大流量攻击，主打带宽耗尽
	ICMP Flood（Ping Flood）	发送大量ICMP Echo请求，耗尽目标带宽与系统资源	简单粗暴，带宽型攻击
	DRDoS反射放大攻击	伪造目标IP，向大量开放的NTP/DNS/SSDP服务器发送请求，服务器将放大数十/数百倍的响应包发送给目标，实现超大规模流量攻击	攻击成本极低，流量放大效果极强，是当前主流大流量攻击
传输层DDoS	ACK Flood、RST Flood	发送大量伪造的TCP ACK/RST数据包，耗尽目标的防火墙、服务器处理性能	绕过基础防护，主打设备性能耗尽
应用层DDoS	HTTP/HTTPS Flood	控制大量肉鸡，模拟正常用户，向目标网站发起大量HTTP/HTTPS请求，耗尽应用服务器、数据库性能	模拟正常流量，难以被防护设备识别
	CC攻击（Challenge Collapsar）	针对网站的动态页面、数据库查询接口，发起大量并发请求，耗尽数据库与应用资源	小流量即可打瘫业务，是当前最主流的应用层攻击
	DNS Flood	向目标DNS服务器发起大量域名解析请求，耗尽DNS服务器资源，导致域名无法正常解析	针对DNS服务商，实现全站瘫痪

3. 完整攻击链路

攻击者通过木马、病毒，控制大量互联网主机、物联网设备，组建僵尸网络（Botnet）
攻击者通过控制端，向僵尸网络下发攻击指令，指定攻击目标、攻击类型、攻击时长
海量傀儡主机同时向目标发起恶意请求，形成分布式攻击流量
目标的带宽、防火墙、服务器、应用、数据库资源被快速耗尽，无法处理正常用户请求
目标业务彻底中断，攻击者持续攻击，直至达到勒索、打击竞争对手等目的

典型案例：2021年亚马逊AWS遭遇的2.3Tbps超大流量DDoS攻击，是迄今为止公开的最大规模DDoS攻击。

4. 核心安全危害

业务瘫痪：网站、APP、游戏等在线业务完全无法访问，持续中断服务
经济损失：电商、游戏等业务中断直接导致营收损失，同时需支付高额防护成本、带宽成本
品牌损害：业务长期不可用，导致用户流失，品牌公信力严重受损
勒索敲诈：攻击者以停止攻击为条件，向企业索要巨额比特币赎金
合规风险：关键信息基础设施业务中断，违反《网络安全法》相关规定，面临监管问责

5. 全生命周期防御体系

DDoS防护核心原则是纵深防御、分层清洗，没有单一的万能解决方案，必须构建多层防护体系。

事前核心防护体系

带宽与架构冗余 ：
- 预留充足的带宽冗余，应对突发流量攻击
- 采用分布式业务架构，多节点、多区域部署，避免单点故障，分散攻击压力
上游流量清洗（网络层防护） ：
- 接入高防IP/高防CDN/云清洗服务，将业务流量先经过高防节点清洗，仅将正常流量转发到源站
- 针对超大流量攻击，对接运营商级流量清洗服务，在骨干网层面拦截恶意流量
中间层防护 ：
- 部署专业抗DDoS硬件防火墙、IPS，拦截异常数据包、伪造源IP攻击
- 配置TCP连接防护规则，限制单IP的并发连接数、半开连接数，抵御SYN Flood等攻击
源站与应用层防护 ：
- 隐藏源站真实IP，仅允许高防节点的回源IP访问源站，避免攻击者直接攻击源站
- 应用层配置限流规则：限制单IP的请求频率、并发数，针对动态接口、数据库查询接口做精准限流
- 人机验证：针对异常请求，弹出验证码、滑块验证，区分正常用户与机器攻击，抵御CC攻击
- 静态资源全量接入CDN，分离动态请求与静态请求，减轻源站压力

事中防护

实时流量监控，建立DDoS攻击告警机制，快速识别攻击启动、攻击类型、攻击规模
攻击发生时，立即切换高防线路，启动流量清洗规则，封禁恶意IP段
针对应用层攻击，紧急升级限流规则、人机验证策略，关闭非核心业务接口，保障核心业务可用

事后优化

攻击结束后，复盘攻击数据，优化防护规则，补齐防护短板
定期开展DDoS攻防演练，验证防护体系的有效性
完善应急响应预案，明确攻击发生时的处置流程、责任人、升级机制

6. 检测与应急处置要点

检测手段：流量监控平台、DDoS防护设备告警、业务可用性监控、服务器资源监控
应急流程：启动应急预案→切换高防线路→启动流量清洗→封禁恶意IP→优化限流与防护规则→保障核心业务可用→攻击结束后复盘优化

三、六大攻击核心特性横向对比表

攻击类型	攻击层级	核心目标	攻击前提	核心利用点	核心防御要点	风险等级
XSS	应用层	会话劫持、数据窃取、代码执行	应用存在输入输出处理缺陷	浏览器执行恶意脚本	输出编码、CSP、HttpOnly Cookie	高-极高
CSRF	应用层/会话层	冒用用户身份执行敏感操作	用户保持目标网站登录状态	浏览器自动携带Cookie	CSRF Token、SameSite Cookie、同源校验	高
SQL注入	应用层/数据层	数据拖库、权限提升、服务器接管	应用存在SQL语句拼接缺陷	代码与数据未隔离	预编译参数化查询、最小权限原则	极高
越权访问	应用层/权限层	未授权数据访问、权限提升	服务端缺失权限校验逻辑	前端权限控制不可信	服务端全接口权限校验、RBAC模型	高-极高
中间人攻击	网络层/传输层	流量监听、数据窃取、内容篡改	攻击者可插入通信链路	明文传输、加密与证书缺陷	全站HTTPS、HSTS、严格证书校验	高
DDoS	网络层-应用层全链路	业务可用性瘫痪、服务中断	目标公网可访问、攻击者控制僵尸网络	资源耗尽	高防IP/CDN、分层流量清洗、应用层限流	极高

四、通用全生命周期安全防御体系

以上6类攻击的防御，均需融入企业整体安全体系，遵循以下通用安全原则，构建纵深防御架构：

SDL安全开发生命周期：将安全融入需求、设计、开发、测试、上线、运维全流程，从源头规避漏洞
最小权限原则：为系统、应用、数据库、用户分配业务必需的最小权限，禁止过度授权
纵深防御原则：构建多层防护体系，避免单一防护节点失效导致整体安全崩塌
永不信任原则（零信任架构）：默认不信任任何内部/外部请求，每一次访问都必须执行身份认证与权限校验
持续安全运营：定期开展漏洞扫描、渗透测试、代码审计、安全攻防演练，持续修复安全缺陷
应急响应能力：建立完善的安全事件应急响应预案，明确处置流程、责任人，提升攻击发生时的快速处置能力
安全意识培训：针对开发、运维、业务人员开展常态化安全培训，提升全员安全意识，规避人为因素导致的安全风险