常见网络攻击类型的原理和危害性分析以及对应的解决措施

1.Webshell攻击

威胁级别：高

原理：Webshell攻击就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的，由于Webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。攻击者一般会利用中国菜刀工具上传Webshell到服务器。

危害：1、Webshell攻击具有隐蔽性,一般有隐藏在正常文件中并修改文件时间达到隐蔽，还有利用服务器漏洞进行隐藏。
2、Webshell攻击可以穿越服务器防火墙，由于与被控制的服务器或远程过80端口通信的，因此不会被防火墙拦截。
3、使用Webshell攻击一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录
4、攻击者可以利用Webshell攻击编辑、删除、下载网站中的任意文件或执行命令。

处置建议：
1、【遏制】：
通过防火墙配置IP黑名单，封堵威胁源IP地址，并断开受威胁主机的网络连接，防止恶意攻击持续扩散。
2、【溯源】：
查看受威胁主机的系统日志、web服务器日志、CIS历史攻击事件中是否包含恶意文件下载、远程代码执行等事件，针对该事件的处置建议进一步处理（如进行漏洞修复等）。
3、【清理】：
（1）通过事件中URL找到Webshell文件所在目录并进行删除，防止恶意行为持续发生；
（2）针对上述主机，建议使用终端杀毒软件进行查杀，或通过人工方式查看主机进程等信息定位是否有通过Webshell植入的恶意文件，清理恶意文件后，恢复该主机的网络连接。
4、【预防】：
（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新补丁，防止攻击者利用漏洞进行攻击；
（2）在网络入口处配置防火墙等安全设备，减少Webshell植入的可能。

2.蠕虫攻击(Worm)

威胁级别：高

原理：蠕虫是一种通过网络传播的主动攻击的恶性计算机病毒，它利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序，能够传播它自身功能或拷贝它的某些部分到其他的计算机系统中。蠕虫具有病毒的一些共性，如传播性、隐蔽性、破坏性等，不过与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，因此可潜入目标系统并允许其他人远程控制计算机。

危害：1、蠕虫具有主动攻击、行踪隐蔽、漏洞利用、降低系统性能、产生安全隐患、反复性和破坏性等特征。
2、控制主机实现文件传输和信息泄露。
3、消耗内存或网络带宽，导致计算机崩溃。
4、文件加密，达到勒索目的。

处置建议：
1、【遏制】：
将受威胁主机进行隔离，断开网络连接，防止恶意行为进一步扩散。
2、【溯源】：
查看受威胁主机的系统日志、应用日志、CIS历史攻击事件中是否包含恶意文件下载事件，针对该事件的处置建议进一步处理。
3、【清理】：
使用终端杀毒软件进行查杀，或通过人工方式查看主机进程、注册表等信息，定位蠕虫文件，并进行清理，完成后恢复该主机的网络连接，恢复后建议持续观察一段时间，确保业务正常。
4、【预防】：
（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新补丁，防止攻击者利用漏洞进行攻击；
（2）在网络入口处配置防火墙等安全设备，减少恶意入侵的可能；
（3）提高员工的安全意识，对来历不明的邮件中的附件、从网络下载后未经杀毒处理的软件慎重打开。

3.单源多(单)目的的可疑攻击

威胁级别：高

原理：单源多目的攻击是指一个源主机对多个主机实施同一类型或多类型的攻击，这些主机多是同一个网段的，通常的攻击形式，多为扫描攻击，通过扫描整个网段，来探测出存在漏洞的主机。

危害：单源多目的攻击大多通过扫描获取主机群漏洞信息，因此这类的攻击成功率更高，通过扫描发现存在漏洞的主机，对该主机进行攻击，攻击成功后利用旁注的方式，继续攻破同网段的其他主机，导致资产严重受损。

处置建议：1、【遏制】：
防火墙配置IP黑名单，封锁威胁源IP地址。
2、【溯源】：
搜索受威胁主机的历史事件，查看是否包含web扫描事件，以确认事件的攻击来源。
3、【清理】：
如果有漏洞ID，则根据漏洞ID排查受威胁主机是否存在该漏洞，根据应用软件的版本情况修补漏洞。如果有URL信息则重点排查该URL是否有漏洞。
4、【预防】：
（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新web服务器，防止攻击者利用漏洞进行攻击；
（2）在网络入口处配置防火墙等安全设备，减少恶意入侵的可能。

4.Ping隧道

威胁级别：高

原理：Ping数据隧道也叫作ICMP数据隧道，利用ICMP协议可以穿透防火墙的检测（通常防火墙是不会屏蔽ICMP协议的Ping数据包），这就给Ping作为一种隐蔽信道提供了条件，攻击者可以将恶意IP流量封装进Ping数据包中，从而进行主机信息窥探或执行攻击指令等危害操作。

危害：Ping数据隧道并不会带来直接的危害，但是攻击者可以利用Ping数据隧道，在ICMP传输过程中封装恶意流量数据，因此就间接带来被攻击的可能。攻击者利用Ping数据隧道传输的数据可包括但不局限：
1、端口扫描的数据包。
2、重要数据外发泄露。
3、木马以及流氓软件等。

处置建议：
1、【遏制】：
该事件表明主机上发生了数据泄露或者异常访问，请先确认该流量是否正常业务导致，若不是，则通过防火墙配置IP黑名单，封堵威胁源IP地址，并断开受威胁主机的网络连接，防止数据持续外发。
2、【溯源】：
搜索受威胁主机的CIS历史攻击事件，看是否包含恶意C&C、DGA、恶意文件下载事件，针对该事件的处置建议进一步处理（如进行漏洞修复等）。
3、【清理】：
针对上述主机，使用终端杀毒软件进行查杀，或通过人工方式查看主机进程、注册表等信息定位恶意文件，清理恶意文件后，恢复该主机的网络连接。
4、【预防】：
（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新补丁，防止攻击者利用漏洞进行攻击；
（2）在网络入口处配置防火墙等安全设备，减少恶意入侵的可能；
（3）提高员工的安全意识，对来历不明的邮件中的附件、从网络下载后未经杀毒处理的软件慎重打开。

5.疑似挖矿病毒(BitCoin)

威胁级别：高

原理：常见的挖矿病毒都是将挖矿程序封装，伪装成系统程序、添加自启动等持久化操作后植入肉鸡中运行，通过占用系统资源帮助黑客挖矿。挖矿攻击的流程是：矿机登录—任务下发—账号登录—挖矿—结果提交。

危害：挖矿攻击的危害不如注入攻击大，但是可以严重消耗系统资源，导致CPU利用率飙升，严重时候会导致主机发生拒绝服务，甚至瘫痪。

处置建议：
1、【遏制】：
在不影响正常业务的前提下，通过防火墙配置IP黑名单，封堵矿池IP地址，阻断其访问；将受威胁主机进行隔离，断开网络连接，防止恶意行为进一步扩散。
2、【溯源】：
查看受威胁主机的系统日志、应用日志、CIS历史攻击事件中是否包含恶意文件下载事件，针对该事件的处置建议进一步处理。
3、【清理】：
使用终端杀毒软件进行查杀，或通过人工方式查看主机进程、注册表等信息，定位挖矿程序，并进行清理，完成后恢复该主机的网络连接，恢复正常业务。恢复后可持续观察一段时间，确保业务正常。
4、【预防】：
（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新补丁，防止攻击者利用漏洞进行攻击；在网络入口处配置防火墙等安全设备，减少恶意入侵的可能；
（2）提高员工的安全意识，对来历不明的邮件中的附件、从网络下载后未经杀毒处理的软件慎重打开。

6.勒索病毒(Extortion Virus)

威胁级别：高

原理：病毒先把原文件拷贝出来一份，生成一个加密文件，然后病毒删除原文件。

危害：勒索病毒通常会对受害者主机进行锁定或者系统性地加密受害者硬盘上的文件，然后要求受害者缴纳赎金以取回对电脑的控制权，或取回受害者无法自行获取的解密密钥以解密文件。

处置建议：
1、【遏制】：
将受威胁主机进行隔离，断开网络连接，防止恶意行为进一步扩散。
2、【溯源】：
查看受威胁主机的系统日志、应用日志、CIS历史攻击事件中是否包含恶意文件下载事件，针对该事件的处置建议进一步处理。
3、【清理】：
根据勒索软件信息，搜索勒索软件是否有对应的数据解密程序，如果找不到解密程序，则需要重装系统，或者找专业的安全人员恢复系统；系统恢复后开启该主机的网络连接。
4、【预防】：
（1）勒索软件加密数据后，恢复的可能性较小，所以要定期做好数据备份，把重要数据加密转移到安全的存储介质上，比如云盘和移动硬盘；
（2）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新补丁，防止攻击者利用漏洞进行攻击；
（3）在网络入口处配置防火墙等安全设备，减少恶意入侵的可能；
（4）提高员工的安全意识，对来历不明的邮件中的附件、从网络下载后未经杀毒处理的软件慎重打开。

7.SQL 注入

威胁级别：中

原理：SQL注入是指web应用程序对用户输入数据的合法性没有判断,攻击者通过把SQL命令插入到web表单递交或插入到URL页面请求的查询字符串中，以此来实现欺骗数据库服务器执行非授权的任意查询。通过该SQL语句可以测试目标网站是否存在数据库安全漏洞，当测试出存在数据库漏洞，攻击者就执行相应对的SQL查询语句从数据库中获得用户以及密码等重要信息。

危害：SQL注入攻击危害较大，具体可以表现为：
1、数据库信息泄漏。
2、通过操作数据库对特定网页进行篡改。
3、网站被挂马，传播恶意软件。
4、数据库服务器被攻击，数据库的系统管理员帐户被窜改。
5、服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让攻击者得以修改或控制操作系统等。

处置建议：
1、【遏制】：
防火墙配置IP黑名单，封锁攻击IP地址，通过关闭受威胁主机网络连接进行隔离，防止攻击持续扩散。
2、【溯源】：
搜索受威胁主机的历史事件，查看是否包含web扫描事件，以确认事件的攻击来源。
3、【清理】：
排查并修改包含SQL注入漏洞的网页代码，修复后重启web服务；为了排查攻击者是否通过注入攻击植入恶意软件，建议使用终端杀毒软件进行查杀，或通过人工方式查看主机进程等信息，定位恶意程序，并进行清理，完成后恢复该主机的网络连接。
4、【预防】：
（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新web服务器，防止攻击者利用漏洞进行攻击；
（2）在网络入口处配置防火墙等安全设备，减少恶意入侵的可能。

8.XSS攻击

威胁级别：中

原理：XSS攻击即跨站脚本攻击，XSS是一种经常出现在web应用中的计算机安全漏洞，攻击者通过在将恶意代码植入到提供给其它用户使用的页面中，这些代码包括HTML代码和客户端脚本，一旦用户通过浏览器浏览了携带XSS的网页，将会触发XSS攻击。一般XSS攻击为反射性和存储型居多，攻击者多用“弹窗”的形式测试是否存在XSS漏洞。

危害：XSS攻击虽然危害不如SQL注入大，但是使用灵活，能导致的危害可包括但不局限为：
1、实现网络钓鱼，盗取浏览用户的账号信息。
2、盗取用户的cookie信息。
3、强制弹出广告页面。
4、进行大量的客户端攻击，如DDoS。

处置建议：
1、【遏制】：
防火墙配置IP黑名单，封锁XSS攻击IP地址，通过关闭受威胁主机网络连接进行隔离，防止攻击持续扩散。
2、【溯源】：
搜索受威胁主机的历史事件，查看是否包含web扫描事件，以确认事件的攻击来源。
3、【清理】：
通过事件中HTTP URL排查XSS漏洞页面，并清理存储型XSS在数据库中所植入的payload，更新web服务器或修改包含XSS漏洞的网页代码，完成上述操作后重启web服务，并恢复受威胁主机网络连接。
4、【预防】：
（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新web服务器，防止攻击者利用漏洞进行攻击；
（2）在网络入口处配置防火墙等安全设备，减少恶意入侵的可能。

9.Dos攻击事件

威胁级别：中

原理：DoS攻击即拒绝服务攻击，是指故意的攻击网络协议存在的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应，侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务。而在此攻击中并不包括侵入目标服务器或目标网络设备。

危害：DoS攻击会使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。其具体表现方式有以下几种：
1、造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。
2、向服务器提交大量请求，使服务器超负荷。
3、阻断某一用户访问服务器。
4、阻断某服务与特定系统或个人的通讯。

处置建议：
1、【遏制】：
（1）在不影响正常业务的前提下，通过防火墙配置IP黑名单，封堵恶意攻击源地址，阻断其访问；
（2）断开受威胁主机的网络连接进行隔离，防止恶意攻击持续扩散。
2、【溯源】：
通过情报进一步查询DoS攻击源IP的详细信息。
3、【清理】：
如果事件中包含漏洞ID，则根据漏洞ID排查受威胁主机是否存在该漏洞，根据系统（或应用）软件的版本情况修复漏洞，修复后恢复网络连接。
4、【预防】：
（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新补丁，防止攻击者利用漏洞进行攻击；
（2）在网络入口处配置防火墙等安全设备，减少恶意入侵的可能。

10.暴力破解

威胁级别：中

原理：Brute-Force Cracking即暴力破解，顾名思义就是攻击者利用准备好的一套账号字典和密码字典，一个个的去枚举，尝试成功登录，进而获得正确的账号和密码的一种行为，暴力破解的成功率取决于字典的大小。暴力破解不局限于网站，还包括各种网络服务，如：Telnet、POP3、SMB、MySQL等。

危害：暴力破解不会造成直接的入侵，但是攻击者通过暴力破解可以直接获得系统的账号和密码，以此为后续的入侵做准备。通过暴力破解可以登录Telnet服务，POP3服务，MySQL服务等，登录成功将会导致用户信息泄露，文件共享，邮件泄露或无法正常发送邮件等高危事件。

处置操作：
1、【遏制】：
（1）通过防火墙配置IP黑名单，封堵暴力破解的攻击源主机；
（2）对于攻击成功的暴力破解，断开受威胁主机的网络连接进行隔离，防止恶意攻击持续扩散。
2、【溯源】：
搜索受威胁主机的CIS历史攻击事件，看是否包含扫描类事件，针对该事件的处置建议进一步处理（如关闭不用的端口和服务等）。
3、【清理】：
（1）针对攻击成功的暴力破解，修改账号密码，防止此类事件再次发生；
（2）针对受威胁主机，建议使用终端杀毒软件进行全盘查杀，防止攻击者安装恶意文件；
（3）完成后恢复该主机的网络连接。
4、【预防】：
（1）对外开放的服务，加强密码管理，如使用强密码，并定期修改密码，密码验证过程增加锁定机制、验证码、双因子验证等；
（2）在网络入口部署入侵检测设备或防火墙，增强安全防护。

11.Telent服务弱密码

威胁级别：中

原理：设备开启了telnet服务，远程没有口令或者是很简单的口令，没有强制设置密码复杂度的要求，如没有特殊字符或者同时存在大写字母、小写字母、数字中的两种或三种。

危害：存在弱口令的用户的密码极易通过暴力破解等方式被窃取，以达到攻击者的非法目的。

处置建议：1、停止存在弱密码传输的服务，防止数据继续泄露。
2、不要使用admin或者123456这些弱密码
3、密码不要使用和用户名相同的密码
4、设置密码符合复杂度的要求，即同时存在大写字母、小写字母、数字中的两种或三种，如设置成字母+数字+特殊字符

12.明文密码传输

威胁级别：中

原理：明文密码（Cleartext Password）即传输或保存为明文的密码。具体是指保存密码或网络传送密码的时候，用的是没有隐藏、直接显示的明文字符，而不是经过加密后的密文。

威胁：明文密码传输会直接导致用户信息泄露，攻击者可以用抓包工具，轻而易举地获取到这些敏感信息，获取重要信息后可导致更深的入侵。

处置建议：
1、【遏制】：
停止存在明文密码传输的web服务，防止数据继续泄露。
2、【溯源】：
通过查看事件的HTTP URL详情，定位包含明文密码传输的网页。
3、【清理】：
针对上述主机上web服务，通过查看事件的HTTP URL详情，修改包含明文密码传输的页面，如针对密码加密处理或者使用HTTPS对站点加密，完成后恢复该web服务。
4、【预防】：
（1）不在网站页面中使用明文密码，并使用HTTPS协议传输；
（2）在网络入口部署入侵检测设备或防火墙，增强网站的安全防护。

13.端口扫描

威胁级别：低

原理：一个端口就是一个潜在的通信通道，攻击者通过发送一组端口扫描信息，以此来了解目标主机提供的计算机网络服务类型，接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。利用端口扫描工具，可以不留痕迹的发现远程服务器的各种TCP端口的分配，以及提供的服务软件版本。常用的端口扫描工具有nmap,scanport等。

危害：端口扫描不会带来直接的危害，但是端口扫描会暴露主机的各种信息，包括操作系统类型，版本、开启的端口以及网络服务。例如文件共享服务445端口、ssh服务22端口、远程桌面服务3389端口等。攻击者可以借助获得的端口信息来执行对应服务的攻击。

处置操作：
1、【遏制】：
（1）针对外网端口扫描，通过防火墙配置IP黑名单，封堵恶意扫描IP。
（2）若是内网端口扫描，则通过断开威胁来源主机的网络连接进行隔离。
2、【溯源】：
针对内网端口扫描，确认该行为是否为正常业务，若不是，表明威胁源主机很可能已经感染病毒或木马。
3、【清理】：
（1）针对上述主机，请使用终端杀毒软件进行查杀，或通过人工方式查看主机进程、注册表等信息定位恶意文件；
（2）清理恶意文件后，恢复该主机的网络连接。
4、【预防】：
（1）开启主机上的防火墙，减少对外暴露的端口或服务；
（2）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，对主机进行安全加固，及时更新补丁，防止攻击者利用漏洞进行攻击；
（3）在网络入口处配置防火墙等安全设备，减少恶意入侵的可能。

本文只列出了一部分常见的攻击类型，收集不易，如有不足之处还望指正！