当前位置：首页 > article >正文

计算机网络——常见的网络攻击手段

article 2026/1/12 7:28:56

什么是XSS攻击，如何避免?

XSS 攻击，全称跨站脚本攻击（Cross-Site Scripting），这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，因此有人将跨站脚本攻击缩写为XSS。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS攻击一般分三种类型：存储型、反射型、DOM型XSS

XSS是如何攻击的？
拿反射型举个例子吧，流程图如下：

在这里插入图片描述
如何解决XSS攻击问题

不相信用户的输入，对输入进行过滤，过滤标签等，只允许合法值。
HTML 转义
对于链接跳转，如 <a href=“xxx” 等，要校验内容，禁止以script开头的非法链接。
限制输入长度等等

SYN泛洪攻击

TCP进入三次握手前，服务端会从CLOSED状态变为LISTEN状态,同时在内部创建了两个队列：半连接队列（SYN队列）和全连接队列（ACCEPT队列）。

什么是半连接队列（SYN队列）呢? 什么是全连接队列（ACCEPT队列）呢？
TCP三次握手时，客户端发送SYN到服务端，服务端收到之后，便回复ACK和SYN，状态由LISTEN变为SYN_RCVD，此时这个连接就被推入了SYN队列，即半连接队列。
当客户端回复ACK, 服务端接收后，三次握手就完成了。这时连接会等待被具体的应用取走，在被取走之前，它被推入ACCEPT队列，即全连接队列。

我们都知道 TCP 连接建立是需要三次握手,假设攻击者短时间伪造不同 IP 地址的 SYN 报文,服务端每接收到一个 SYN 报文,就进入 SYN_RCVD 状态,但服务端发送出去的 ACK + SYN 报文,无法得到未知 IP 主机的ACK 应答,久而久之就会占满服务端的 SYN 接收队列(未连接队列),使得服务器不能为正常用户服务。
处理方法是通过防火墙，或者增大半连接队列，缩短超时时间。

什么是DoS、DDoS、DRDoS攻击？

DOS: (Denial of Service),中文名称是拒绝服务,一切能引起DOS行为的攻击都被称为DOS攻击。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。
DDoS: (Distributed Denial of Service),中文名称是分布式拒绝服务。是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。常见的DDos有SYN Flood、Ping of Death、ACK Flood、UDP Flood等。
DRDoS: (Distributed Reflection Denial of Service)，中文名称是分布式反射拒绝服务，该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机，然后攻击主机对IP地址源做出大量回应，形成拒绝服务攻击。

什么是CSRF攻击，如何避免

什么是CSRF 攻击？

CSRF，跨站请求伪造（英语：Cross-site request forgery），简单点说就是，攻击者盗用了你的身份，以你的名义发送恶意请求。跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。

CSRF是如何攻击的呢？

我们来看下这个例子哈（来自百度百科）
在这里插入图片描述
Tom 登陆银行，没有退出，浏览器包含了Tom在银行的身份认证信息。
黑客Jerry将伪造的转账请求，包含在在帖子
Tom在银行网站保持登陆的情况下，浏览帖子
将伪造的转账请求连同身份认证信息，发送到银行网站
银行网站看到身份认证信息，以为就是Tom的合法操作，最后造成Tom资金损失。
如何解决CSRF攻击

检查Referer字段。HTTP头中有一个Referer字段，这个字段用以标明请求来源于哪个地址。
添加校验token。

计算机网络——常见的网络攻击手段

什么是XSS攻击，如何避免?

SYN泛洪攻击

什么是DoS、DDoS、DRDoS攻击？

什么是CSRF攻击，如何避免

相关文章：

计算机网络——常见的网络攻击手段

Android动态化技术优化

面向对象设计中的类的分类：实体类、控制类和边界类

鸿蒙ArkUI实战之TextArea组件、RichEditor组件、RichText组件、Search组件的使用

初创企业机器学习训练：云服务器配置对效率、成本与可扩展性的影响

【“星瑞” O6 评测】—NPU 部署 face parser 模型

56、如何快速让⼀个盒⼦⽔平垂直居中

互联网大厂Java面试：Spring Cloud与微服务的奇妙之旅

BDO分厂积极开展“五个一”安全活动

[Redis]1-高效的数据结构P2-Set

在ubuntu20.04上安装ros2

用ffmpeg 实现拉取h265的flv视频转存成264的mp4 实现方案

解决“驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接“问题

[密码学实战]基于Python的国密算法与通用密码学工具箱

论文降重GPT指令-实侧有效从98%降低到8%

Compose Multiplatform Android Logcat工具

[渗透测试]渗透测试靶场docker搭建 — —全集

JavaScript 渲染内容爬取：Puppeteer 入门

Ubuntu 系统下安装和使用性能分析工具 perf

神经网络：从基础到应用，开启智能时代的大门

人工智能-机器学习(线性回归，逻辑回归，聚类)

密码明文放在请求体是否有安全隐患？

EMQX学习笔记

探寻Gson解析遇到不存在键值时引发的Kotlin的空指针异常的原因

冰川流域提取分析——ArcGIS pro

wordpress 垂直越权（CVE=2021-21389）漏洞复现详细教程

MySQL 线上大表 DDL 如何避免锁表（pt-online-schema-change）

uni-app 状态管理深度解析：Vuex 与全局方案实战指南

剑指offer经典题目（五）

3、排序算法1---按考研大纲做的