You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

39 lines
4.3 KiB

---
layout: post
title: 关于网络攻防的一些看法
tags: [网络, 攻击, 防御]
---
今天我想谈一谈关于网络攻防的一些看法。<!--more-->
作为一个站长【就几个站也敢叫站长?(几个站也是站啊!)】,应该明白一个网站在网络中并不是安全的,随时都有可能某个欧洲人找到你网站的漏洞来攻击作为非洲人的你,所以我对网站的安全也是很看重的。
# 关于攻击方法
首先如果想防御网络攻击,必须先知道如何攻击。攻击的方法很多,大致分为三种:
1. 修改网站内容的攻击
2. 阻止用户访问的攻击
3. 窃取网站内容的攻击
在此之中,修改和窃取基本上都需要攻入服务器,比较困难,一般能获取信息和修改信息的网站大多数都是有权限限制的,即只允许你获取有限的信息,修改基本上也都是有区域和格式限制的。
像这类攻击大多都是注入攻击,即利用网站程序本身的漏洞攻击。如果想试试这类的攻击,可以来[实验吧](http://www.shiyanbar.com/ctf/practice)试试身手。
除了注入攻击还有一种就是XSS和CSRF攻击这种攻击还是蛮有意思的可以自己构建语句修改网站内容。
当然上述攻击只限于动态网站的攻击因为只有动态网站才有注入的可能性。不过除此之外还有一种攻击是针对网络的攻击即阻止用户访问正确内容的攻击这类攻击一般就是DDOS和中间人攻击当然中间人攻击还能窃取网站内容。
不过像我这种菜鸡还不会中间人攻击因为这种攻击还要抓包又要用什么WireShark之类的软件……而DDOS我又没有肉鸡虽然知道智能家居很好黑但是作为非洲人的我从来没碰到一个我能黑的智能家居产品……是你没努力吧
# 如何防御?
虽然我不是打广告但是CloudFlare真的还是蛮好用的至少用了这个只要配置好几乎所有的DDOS都不用怕了而且还是免费的。除了在国内访问不是很理想外其他都还不错都是ZF的错
不过即使用了CloudFlare也只是静态网站不用担心了动态网站还是得看网站程序本身了。
像用建站程序的人就只能看制作这个程序的人水平怎么样了,其实绝大多数的建站程序还是很不错的,也不用太担心。
问题就是自己写的动态网站了,自己写动态网站第一就是防注入,只要被注入,数据库就难保了,甚至整个服务器都会有风险。
第二就是防XSS&CSRFXSS虽然有时候很鸡肋但是有时有可能会发生网站数据泄露的问题。
第三就是防CC这里的CC不止要防DDOS中的CC还要防一些可能会存入数据库的CC比如自己建了一个论坛被屠版了怎么办被大量注册小号怎么办所以要注意限制用户发送请求的数量。
当然读取的CC也要防比如如果登录页面上对尝试登录的次数没有限制的话那么攻击者就可以不停地尝试直到发现一个正确的密码。而如果用户用了弱密码那么或许这个密码很快就可以被尝试出来。
对了还有一定要使用HTTPS这样可以避免很多问题。
针对不同的语言,防御的方法也不同,具体内容自己去搜索引擎上搜索吧。
当然有些攻击实在防不住那也没办法像网站被GFWban那种事除了恐怖分子就再没人能解了吧……当然如果不在乎域名的话像某些小黄网那样整天换域名也行。
还有就是使用云主机、虚拟空间等人一定要看好自己的密码,以及有可能可以找回密码的方法的密码(比如邮箱),不然被知道了密码,那基本上就无药可救了。
方法就是邮箱的密码一定不要和其他的密码相同,重要网站的密码和次要网站的密码一定不能相同,还有就是不要在可疑的网站上输入自己的密码,如果有必要,一定先用错误的密码试一遍。
# 结尾
总而言之互联网上虽然有闲人但是既闲又有心还欧的人不多所以只要祈祷自己的网站不要被炸它就不会被炸了233333