作者：juniu网络   来源:互联网    发布时间:2022-05-20

　　在某种程度上，互联网上的每个网站都非常容易遭受安全流量攻击。从人为失误到网络罪犯团伙发起的复杂流量攻击均在威胁范围内之内。

　　网络流量攻击者最主要的动机是求财。无论你运营的是电子商务项目还是简单的小型商业网站，潜在流量攻击的风险就在那里。

　　知己知彼百战不殆，当今网络时代，了解自己面对着何种威胁比以往任何时候都来得更为重要。每种恶意流量攻击都有自己的特性，不同种类的流量攻击那么多，似乎不太可能全方位无死角防护全部流量攻击。但大家仍然可以做许多工作来保护网站，缓解恶意黑客对网站造成的风险。

　　不妨先从仔细审视互联网上最常见的10种网络流量攻击开始，看看能够采取哪些办法来保护你的网站。

　　10种常见网站安全流量攻击

　　1. 跨站脚本(xss)precise security

　　近期的一项研究表明，跨站脚本流量攻击大约占据了所有流量攻击的40%，是最为常见的一类网络流量攻击。但尽管最为常见，大部分跨站脚本流量攻击却不是特别高端，多为业余网络罪犯使用别人编写的脚本发起的。

　　跨站脚本针对的是网站的客户，而不是网站运用本身。恶意黑客在有漏洞的网站里注进一段代码，然后网站访客执行这段代码。此类代码可以黑客侵进客户账户，激活木马程序，或者修改网站内容，诱骗客户给出私人信息。

　　设定网站运用防火墙(waf)可以保护网站不受跨站脚本流量攻击危害。waf就像个过滤器，能够识别并阻止对网站的恶意请求。购买网站托管服务的时候，网站托管公司通常已经为你的网站布署了waf，但你自己仍然可以再设一个。

　　2. 注进流量攻击

　　开放网站运用安全项目(owasp)新出炉的10大运用安全风险研究中，注进漏洞被列为网站最高风险因素。sql注进方法是网络罪犯最常用的注进手法。

　　注进流量攻击方法直接针对网站和服务器的信息库。执行时，流量攻击者注进一段能够揭示隐躲信息和客户输进的代码，获得信息修改权限，全面俘获运用。

　　保护网站不受注进流量攻击危害，主要落实到代码库组建上。比如说，缓解sql注进风险的首选方法就是始终尽量选用参数化语句。更进一步，可以考虑使用第1方身份验证工作流来外包你的信息库防护。

　　3. 模糊测试

　　开发人员使用模糊测试来查找软件、实际操作系统或网络中的编程错误和安全漏洞。然而，流量攻击者可以使用同样的技术来寻找你网站或服务器上的漏洞。

　　选用模糊测试方法，流量攻击者首先向运用输进大量随机信息(模糊)让运用崩溃。下一步就是用模糊测试工具发现运用的弱点。如果目标运用中存在漏洞，流量攻击者就可以展开进一步漏洞利用。

　　对抗模糊流量攻击的最佳方法就是保持更新安全设定和其他运用，尤其是在安全补丁发布后不更新就会遭遇恶意黑客利用漏洞的情况下。

　　4. 零日流量攻击

　　零日流量攻击是模糊流量攻击的扩展，但不要求识别漏洞本身。此类流量攻击最近的案例是谷歌发现的，他们在windows和chrome软件中发现了潜在的零日流量攻击。

　　在两种情况下，恶意黑客能够从零日流量攻击中获利。第一种情况是，如果能够获得关于即将到来的安全更新的信息，流量攻击者就可以在更新上线前分析出漏洞的位置。第2种情况是，网络罪犯获取补丁信息，然后流量攻击尚未更新系统的客户。这两种情况下，系统安全都会遭到破坏，至于后续影响程度，就取决于黑客的技术了。

　　保护自己和自身网站不受零日流量攻击影响最简便的方法，就是在新版本发布后及时更新你的软件。

　　5. 路径(目录)遍历

　　路径遍历流量攻击不像上述几种流量攻击方法那么常见，但仍然是任何网站运用的一大威胁。

　　路径遍历流量攻击针对网站 root文件夹，访问目标文件夹外部的未授权文件或目录。流量攻击者试图将chinamobile模式注进服务器目录，以便向上爬升。成功的路径遍历流量攻击能够获得网站访问权，染指配置文件、信息库和同一实体服务器上的其他网站和文件。

　　网站能否防护路径遍历流量攻击取决于你的输进净化程度。这意味着确保客户输进安全，而且不能从你的服务器恢复出客户输进内容。最直观的建议就是打造你的代码库，这样客户的任何信息都不会传输到文件系统api。即使这条路走不通，也有其他技术解决方案可用。

　　6. 分布式拒尽服务(ddos)

　　ddos流量攻击本身不能使恶意黑客突破安全措施，但会令网站暂时或永远掉线。延迟大巴斯基实验室《2017年it安全风险调查》指出，单次ddos流量攻击可令小公司平均损失12.3万美元，大型公司的损失水平在230万美元左右。

　　ddos旨在用请求洪水压垮目标网站服务器，让其他访客无法访问网站。僵尸网络通常能够利用之前感染的信息处理机从全球各地协同发送大量请求。而且，ddos流量攻击常与其他流量攻击方法搭配使用;流量攻击者利用ddos流量攻击吸引安全系统火力，从而暗中利用漏洞黑客侵进系统。

　　保护网站免遭ddos流量攻击侵害一般要从一些方面着手。首先，需根据内容分发网络(cdn)、负荷均衡器和可扩展资源缓解高峰流量。其次，需布署网站运用防火墙(waf)，防止ddos流量攻击隐蔽注进流量攻击或跨站脚本等其他网络流量攻击方法。

　　7. 中间人流量攻击

　　中间人流量攻击常见于客户与服务器间传输信息不加密的网站。作为客户，只要看看网站的url是不是以https开头就能发现这一潜在风险了，因为https中的“s”指的就是信息是加密的，缺了“s”就是未加密。

　　流量攻击者利用中间人种类的流量攻击收集信息，通常是隐私信息。信息在双方之间传输时可能遭到恶意黑客拦截，如果信息未加密，流量攻击者就能轻易读取个人信息、登录信息或其他隐私信息。

　　在网站上安装安全套接字层(ssl)就能缓解中间人流量攻击风险。ssl证书加密各方间传输的信息，流量攻击者即使拦截到了也无法轻易破解。现代托管提供商通常已经在托管服务包中配置了ssl证书。

　　8. 暴力破解流量攻击

　　暴力破解流量攻击是获取网站运用登录信息相当直接的一种方式。但同时也是非常非常容易缓解的流量攻击方式之一，尤其是从客户侧加以缓解最为方便。

　　暴力破解流量攻击中，流量攻击者试图猜解客户名和密码对，以便登录客户账户。当然，即使选用多台信息处理机，除非密码相当简单且明显，否则破解过程可能需耗费几年时间。

　　保护登录信息的最佳办法，是创建强密码，或者使用双因子身份验证(2fa)。作为网站有着者，你可以要求客户同时设定强密码和2fa，以便缓解网络罪犯猜出密码的风险。

　　9. 使用未知代码或第1方代码

　　尽管不是对网站的直接流量攻击，使用由第1方创建的未经验证代码，也可能导致严重的安全漏洞。

　　代码或运用的原始创建者可能会在代码中隐躲恶意字符串，或者无意中留下后门。一旦将“受感染”的代码引进网站，那你就会面临恶意字符串执行或后门遭利用的风险。其后果可以从单纯的信息传输直到网站管理权限陷落。

　　想要避免围绕潜在信息暴露的风险，请让你的开发人员分析并审计代码的很好地性。此外，确保所用插件(尤其是wordpress插件)及时更新，并定期接收安全补丁：研究显示，超过1.7万个wordpress插件(约占研究当时采样数量的47%)两年内没有更新。

　　10. 网络钓鱼

　　网络钓鱼是另一种没有直接针对网站的流量攻击方法，但大家不能将它排除在名单之外，因为网络钓鱼也会破坏你系统的完整性。依据fbi《互联网犯罪报告》的说法，其的原因在于网络钓鱼是最常见的社会工程网络犯罪。

　　网络钓鱼流量攻击用到的标准工具就是电子邮件。流量攻击者通常会伪装成其他人，诱骗受害者给出隐私信息或执行银行转账。此类流量攻击可以是古怪的419骗局(属于预付费欺诈类骗局)，或者涉及假冒电子邮件地址、貌似真实的网站和极具说服力用语的高端流量攻击。后者以鱼叉式网络钓鱼之名广为人知。

　　缓解网络钓鱼骗局风险最很好地的办法，是培训员工和自身，增强对此类欺诈的辨识水平。保持警惕，总是检查发送者电子邮件地址是否合法，邮件内容是否古怪，请求是否不合常理。另外，谨记：天上不会掉馅饼，事出反常必有妖。

　　结语

　　针对网站的流量攻击有多种形式，流量攻击者既可以是业余黑客，也会是协同作战的职业黑客团伙。

　　最核心的一条建议，就是在创建或运营网站时不要跳过安全功能，因为跳过安全设定可能会造成严重后果。

　　虽然不太可能彻底消除网站流量攻击风险，但你最少可以缓解遭流量攻击的可能性和流量攻击后果的严重性。