高级的 P2P 攻击,是直接欺骗资源管理服务器 。如迅雷客户端会把自己发现的资源上传到资源管理服务器,然后推送给其它需要下载相同资源的用户,这样,一个链接就发布出去 。通过协议逆向,攻击者伪造出大批量的热门资源信息通过资源管理中心分发出去,瞬间就可以传遍整个 P2P 网络 。更为恐怖的是,这种攻击是无法停止的,即使是攻击者自身也无法停止,攻击一直持续到 P2P 官方发现问题更新服务器且下载用户重启下载软件为止 。
最后总结下,DDoS 不可能防得住,就好比你的店只能容纳 50 人,黑社会有 100 人,你就换一家大店,能容纳 500 人,然后黑社会又找来了 1000 人,这种堆人头的做法就是 DDoS 本质上的攻防之道,「道高一尺,魔高一丈,魔高一尺,道高一丈」,讲真,必要的时候就答应勒索你的人的条件吧,实在不行就报警吧 。流量劫持流量劫持应该算是黑产行业的一大经济支柱了吧?简直是让人恶心到吐,不吐槽了,还是继续谈干货吧,流量劫持基本分两种:DNS 劫持 和 HTTP 劫持,目的都是一样的,就是当用户访问网站的时候,给你展示的并不是或者不完全是 网站 提供的 “内容” 。
DNS 劫持DNS 劫持,也叫做域名劫持,可以这么理解,「你打了一辆车想去商场吃饭,结果你打的车是小作坊派来的,直接给你拉到小作坊去了」,DNS 的作用是把网络地址域名对应到真实的计算机能够识别的 IP 地址,以便计算机能够进一步通信,传递网址和内容等 。如果当用户通过某一个域名访问一个站点的时候,被篡改的 DNS 服务器返回的是一个恶意的钓鱼站点的 IP,用户就被劫持到了恶意钓鱼站点,然后继而会被钓鱼输入各种账号密码信息,泄漏隐私 。
文章插图
这类劫持,要不就是网络运营商搞的鬼,一般小的网络运营商与黑产勾结会劫持 DNS,要不就是电脑中毒,被恶意篡改了路由器的 DNS 配置,基本上做为开发者或站长却是很难察觉的,除非有用户反馈,现在升级版的 DNS 劫持还可以对特定用户、特定区域等使用了用户画像进行筛选用户劫持的办法,另外这类广告显示更加随机更小,一般站长除非用户投诉否则很难觉察到,就算觉察到了取证举报更难 。无论如何,如果接到有 DNS 劫持的反馈,一定要做好以下几件事:
- 取证很重要,时间、地点、IP、拨号账户、截屏、URL 地址等一定要有 。
- 可以跟劫持区域的电信运营商进行投诉反馈 。
- 如果投诉反馈无效,直接去工信部投诉,一般来说会加白你的域名 。
HTTPS 协议就是一种基于 SSL 协议的安全加密网络应用层协议,可以很好的防止 HTTP 劫持 。这里有篇 文章 讲的不错 。HTTPS 在这就不深讲了,后面有机会我会单独好好讲讲 HTTPS 。如果不想站点被 HTTP 劫持,赶紧将你的站点全站改造成 HTTPS 吧 。
服务器漏洞服务器除了以上提到的那些大名鼎鼎的漏洞和臭名昭著的攻击以外,其实还有很多其他的漏洞,往往也很容易被忽视,在这个小节也稍微介绍几种 。
越权操作漏洞如果你的系统是有登录控制的,那就要格外小心了,因为很有可能你的系统越权操作漏洞,越权操作漏洞可以简单的总结为 「A 用户能看到或者操作 B 用户的隐私内容」,如果你的系统中还有权限控制就更加需要小心了 。所以每一个请求都需要做 userid 的判断
【常见 Web 安全攻防总结】以下是一段有漏洞的后端示意代码:
1234567// ctx 为请求的 context 上下文let msgId = ctx.params.msgId;mysql.query('SELECT * FROM msg_table WHERE msg_id = ?',[msgId]);
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- 痔疮发作怎么办
- 痔疮出血怎么办
- 银屑病的治疗
- 抑郁症有哪些症状
- 毛囊炎传染吗
- 如何使用复印机,如何处理复印过程中的常见问题
- 100种常见室内绿植,常见佛珠材质的五行划分
- Winserver2019 web服务器使用自签名证书进行https加密域名访问
- Winserver 2019 搭建web服务器
- Linux系统安全攻防技术
