当前位置：首页 > article >正文

【技术干货】三大常见网络攻击类型详解：DDoS/XSS/中间人攻击，原理、危害及防御方案

article 2026/3/18 2:07:22

1. DDoS攻击

1.1 什么是DDoS攻击？
DDoS（Distributed Denial of Service，分布式拒绝服务攻击）通过操控大量“僵尸设备”（Botnet）向目标服务器发送海量请求，耗尽服务器资源（带宽、CPU、内存），导致正常用户无法访问服务。

1.2 攻击原理与分类

流量型攻击：如UDP洪水、ICMP洪水，通过发送大量无效数据包占用带宽。
协议型攻击：如SYN洪水攻击，利用TCP三次握手漏洞耗尽连接池。
应用层攻击：如HTTP Flood，模拟高频合法请求（如频繁访问API接口）。

1.3 典型危害

服务瘫痪：网站/APP无法响应。
经济损失：电商宕机每小时损失可达百万级。
品牌信誉受损：用户信任度下降。

1.4 防御方案

流量清洗：部署抗D设备（如阿里云高防IP）过滤异常流量。
CDN加速：分散流量压力，隐藏真实服务器IP。
负载均衡：通过集群架构分摊请求压力。

2. XSS攻击

2.1 什么是XSS攻击？
XSS（跨站脚本攻击）通过向网页注入恶意脚本（JavaScript），在用户浏览器中执行，窃取Cookie、会话Token等敏感信息。

2.2 攻击类型与案例

反射型XSS：恶意链接诱导用户点击，如：

http://example.com?search=<script>alert('XSS')</script>

存储型XSS：恶意脚本存储到数据库（如论坛评论栏注入）。
DOM型XSS：通过修改页面DOM树触发攻击，无需服务器交互。

2.3 典型危害

用户数据泄露：盗取账号密码、银行卡信息。
钓鱼攻击：伪造登录页面诱导用户输入。
传播恶意代码：如网页挖矿脚本。

2.4 防御方案

输入输出转义：对用户输入内容进行HTML实体编码（如<转义为<）。
CSP（内容安全策略）：限制脚本来源，例如：
```
Content-Security-Policy: default-src 'self'
```
HttpOnly Cookie：防止JavaScript读取敏感Cookie。

3. 中间人攻击（MITM）

3.1 什么是中间人攻击？
攻击者在通信双方之间伪装成“中间人”，截获、篡改或窃取传输数据，常见于公共WiFi、HTTP明文传输场景。

3.2 攻击手法

ARP欺骗：伪造IP-MAC地址映射，劫持局域网流量。
DNS劫持：篡改DNS解析结果，将用户导向恶意站点。
SSL剥离：强制降级HTTPS为HTTP，明文窃取数据。

3.3 典型危害

敏感信息泄露：如账号密码、聊天记录。
数据篡改：修改转账金额或交易对象。
恶意软件植入：注入木马或勒索软件。

3.4 防御方案

强制HTTPS：使用HSTS头确保全站加密：
```
Strict-Transport-Security: max-age=31536000
```
证书校验：客户端验证服务器证书合法性，避免自签名证书风险。
网络隔离：禁止敏感操作在公共网络执行。

4. 总结与建议

攻击类型	核心目标	防御优先级
DDoS	服务可用性	高
XSS	用户数据安全	中
中间人攻击	数据传输机密性	高

【技术干货】三大常见网络攻击类型详解：DDoS/XSS/中间人攻击，原理、危害及防御方案

1. DDoS攻击 1.1 什么是DDoS攻击？ DDoS（Distributed Denial of Service，分布式拒绝服务攻击）通过操控大量“僵尸设备”（Botnet）向目标服务器发送海量请求，耗尽服务器资源（带宽、CPU…...

编程日记 2026/3/4 8:46:27

用Deepseek写一个五子棋微信小程序

在当今快节奏的生活中，休闲小游戏成为了许多人放松心情的好选择。五子棋作为一款经典的策略游戏，不仅规则简单，还能锻炼思维。最近，我借助 DeepSeek 的帮助，开发了一款五子棋微信小程序。在这篇文章中，我将…...

编程日记 2026/3/15 10:39:39

MWC 2025 | 紫光展锐与中国联通联合发布5G eSIM 平板

2025 年 3 月 3 日至 6 日，在全球移动通信行业的年度盛会 —— 世界移动通信大会（MWC 2025）上，紫光展锐联合中国联通重磅发布了支持eSIM的5G平板VN300E。该产品采用紫光展锐T9100高性能5G SoC芯片平台，内置8 TOPS算力…...

编程日记 2026/3/12 11:39:23

文章目录 5.7 – Input and Output Facilities补充内容io.input ([file])io.read ()io.write ()io.output ([file])io.lines ([filename])io.flush ()io.close ([file])io.open (filename [, mode])io.popen (prog [, mode])io.tmpfile ()io.type (ob)file:read ()file:lines (…...

编程日记 2026/1/19 14:09:56

操作系统控制台-健康守护我们的系统

引言基本准备体验功能健康守护系统诊断收获提升结语引言阿里云操作系统控制平台作为新一代云端服务器中枢平台，通过创新交互模式重构主机管理体验。操作系统控制台提供了一系列管理功能，包括运维监控、智能助手、扩展插件管理以及订阅服务等。用户可以…...

编程日记 2026/3/18 1:12:32

FreeRTOS任务状态查询

一.任务相关API vTaskList（），创建一个表格描述每个任务的详细信息 char biaoge[1000]; //定义一个缓存 vTaskList(biaoge); //将表格存到这缓存中 printf("%s /r/n",biaoge); 1.uxTaskPriorityGet（&#xf…...

编程日记 2026/3/14 19:43:56

blender学习25.3.6

【02-基础篇】Blender小凳子之凳面及凳脚的创作_哔哩哔哩_bilibili 【03-基础篇】Blender小凳子之其他细节调整优化_哔哩哔哩_bilibili 这篇文章写的全，不用自己写了 Blender 学习笔记（一）快捷键记录_blender4.1快捷键-CSDN博客 shifta&a…...

编程日记 2026/3/18 1:45:35

Tensorflow 2.0 GPU的使用与限制使用率及虚拟多GPU

Tensorflow 2.0 GPU的使用与限制使用率及虚拟多GPU 1. 获得当前主机上特定运算设备的列表2. 设置当前程序可见的设备范围3. 显存的使用4. 单GPU模拟多GPU环境先插入一行简单代码，以下复制即可用来设置GPU使用率： import tensorflow as tf import numpy…...

编程日记 2026/2/21 14:53:16

RabbitMQ 2025/3/5

高性能异步通信组件。同步调用以支付为例： 可见容易发生雪崩。异步调用以支付为例： 支付服务当甩手掌柜了，不管后面的几个服务的结果。只管库库发，后面那几个服务想取的时候就取，因为消息代理里可以一直装&#x…...

编程日记 2026/3/14 4:32:46

每日一题-----面试

一、什么是孤儿进程？什么是僵尸进程？ 1.孤儿进程是指父进程在子进程结束之前就已经退出，导致子进程失去了父进程的管理和控制，成为了 “孤儿”。此时，这些子进程会被系统的 init 进程（在 Linux 系统中&…...

编程日记 2025/7/12 14:20:45

JSP+Servlet实现对数据库增删改查功能

前提概要需要理解的重要概念 MVC模式： Model（person类）：数据模型View（JSP）：显示界面Controller（Servlet）：处理业务逻辑请求流程： 浏览器 …...

编程日记 2026/3/13 21:25:17

C++【类和对象】

类和对象 1.this 指针2.类的默认成员函数3.构造函数4.析构函数5.拷贝构造函数 1.this 指针接上文 this指针存在内存的栈区域。 2.类的默认成员函数定义：编译器自动生成的成员函数。一个类，我们不写的情况下会默认生成六个成员函数。 3.构造函数函…...

编程日记 2026/2/16 8:06:22

GStreamer —— 2.13、Windows下Qt加载GStreamer库后运行 - “教程13:播放控制“（附：完整源码）

运行效果(音频) 简介上一个教程演示了GStreamer工具。本教程介绍视频播放控制。快进、反向播放和慢动作都是技术统称为 Trick Modes，它们都有一个共同点修改 Normal playback rate。本教程介绍如何实现这些效果并在交易中添加了帧步进。特别是，它显…...

编程日记 2026/3/17 14:31:46

MongoDB winx64 msi包安装详细教程

首先我们可以从官网上选择对应版本和对应的包类型进行安装： 下载地址：Download MongoDB Community Server | MongoDB 这里可以根据自己的需求， 这里我选择的是8.0.5 msi的版本，采用的传统装软件的方式安装。无需配置命令。下载…...

编程日记 2026/3/14 16:28:30

要查看 SQLite 数据库中的所有表，可以通过查询 SQLite 的系统表 sqlite_master

要查看 SQLite 数据库中的所有表，可以查询 SQLite 的系统表 sqlite_master。每个 SQLite 数据库都包含一个名为 sqlite_master 的系统表。该表定义了数据库的模式，存储了数据库中所有表、索引、视图和触发器等对象的信息。通过查询 sqlite_master&am…...

编程日记 2026/2/9 18:07:13

WinUI 3 支持的三种窗口及受限的窗口透明

我的目标希望能够熟悉 WinUI 3 窗口的基本使用方式，了解可能出现的问题。 WinUI 3 支持三种窗口模式，分别为：常规窗口模式、画中画模式、全屏模式。窗口模式：常规即我们最常见的普通窗口。支持：显示最大化按钮…...

编程日记 2026/3/16 1:09:51

如何借助 ArcGIS Pro 高效统计基站 10km 范围内的村庄数量？

在当今数字化时代，地理信息系统（GIS）技术在各个领域都发挥着重要作用。特别是在通信行业，对于基站周边覆盖范围内的地理信息分析，能够帮助我们更好地进行网络规划、资源分配以及市场分析等工作。今天，就…...

编程日记 2026/3/8 2:28:57

Linux网络之数据链路层协议

目录数据链路层 MAC地址与IP地址数据帧 ARP协议 NAT技术代理服务器正向代理反向代理上期我们学习了网络层中的相关协议，为IP协议。IP协议通过报头中的目的IP地址告知了数据最终要传送的目的主机的IP地址，从而指引了数据在网络中的一步…...

编程日记 2026/3/13 22:42:55

如何使用 PyInstaller 打包 Python 脚本？一看就懂的完整教程！

PyInstaller 打包指令教程 1. 写在前面通常，在用 Python 编写完一个脚本后，需要将它部署并集成到一个更大的项目中。常见的集成方式有以下几种： 使用 PyInstaller 打包。使用 Docker 打包。将 Python 嵌入到 C 代码中，并封装成…...

编程日记 2026/3/9 12:15:38

解锁DeepSpeek-R1大模型微调：从训练到部署，打造定制化AI会话系统

目录 1. 前言 2.大模型微调概念简述 2.1. 按学习范式分类 2.2. 按参数更新范围分类 2.3. 大模型微调框架简介 3. DeepSpeek R1大模型微调实战 3.1.LLaMA-Factory基础环境安装 3.1大模型下载 3.2. 大模型训练 3.3. 大模型部署 3.4. 微调大模型融合基于SpirngBootVue2…...

编程日记 2026/3/14 1:06:08

Hadoop、Hive、Spark的关系

Part1：Hadoop、Hive、Spark关系概览 1、MapReduce on Hadoop 和spark都是数据计算框架，一般认为spark的速度比MR快2-3倍。 2、mapreduce是数据计算的过程，map将一个任务分成多个小任务，reduce的部分将结果汇总之后返回。 3、HIv…...

编程日记 2026/3/3 10:18:38

基于VMware虚拟机的Ubuntu22.04系统安装和配置（新手保姆级教程）

文章目录一、前期准备1. 硬件要求2. 软件下载2-1. 下载虚拟机运行软件二、安装虚拟机三、创建 Ubuntu 系统虚拟机四、Ubuntu 系统安装过程的配置五、更换国内镜像源六、设置静态 IP七、安装常用软件1. 编译工具2. 代码管理工具3. 安装代码编辑软件（VIM&#xff09…...

编程日记 2026/3/15 17:49:21

Python|基于DeepSeek大模型，自动生成语料数据（10）

前言本文是该专栏的第10篇，后面会持续分享AI大模型干货知识，记得关注。在本专栏之前，笔者在文章《Python|基于DeepSeek大模型，实现文本内容仿写（8）》中，有详细介绍通过Python+DeepSeek大模型，实现对目标文本内容的仿写。而在本文中，笔者将基于DeepSeek大模型，通…...

编程日记 2026/2/2 7:54:05