互联网网络安全防护与应急响应手册.docxVIP

互联网网络安全防护与应急响应手册

第1章网络威胁态势感知与风险识别

1.1主流攻击手法与特征分析

针对Web应用的重放攻击（ReplayAttack）利用的是HTTP协议中TCP三次握手建立连接后，攻击者截取客户端发来的完整请求数据包，将其发送给服务器。在缺乏有效时间戳校验机制的旧版系统中，服务器会误判为合法请求从而执行恶意脚本，例如攻击者通过伪造用户登录请求，在数据库表中插入一条记录，随后向该账号发送一条稍后到达的“注销”请求，成功清空账户余额。针对物联网（IoT）设备的僵尸网络（Botnet）攻击常采用端口扫描与暴力破解结合的策略，攻击者利用开源工具如Nmap对目标设备端口进行批量探测，识别出开放的服务端口（如22,80,443），随后使用Hydra或JohntheRipper等工具对弱口令进行自动化暴力破解。一旦成功突破，攻击者即通过SSH或RDP协议连接控制主机，并恶意二进制代码。

针对数据库的SQL注入攻击是Web安全中最常见的漏洞之一，攻击者在恶意输入时，利用数据库查询语言（如MySQL的SELECT、INSERT）的语法漏洞，将用户输入直接拼接到SQL语句中。例如，在“用户名”字段输入1=1，服务器的查询语句变为SELECTFROMusersWHEREusername=1=1，导致数