mabbs/_posts/2019-02-17-break.md

---
layout: post
title: 关于网络攻防的一些看法
tags: [网络, 攻击, 防御]
---

  今天我想谈一谈关于网络攻防的一些看法。<!--more-->    

  作为一个站长【就几个站也敢叫站长？（几个站也是站啊！）】，应该明白一个网站在网络中并不是安全的，随时都有可能某个欧洲人找到你网站的漏洞来攻击作为非洲人的你，所以我对网站的安全也是很看重的。
  
# 关于攻击方法
  首先如果想防御网络攻击，必须先知道如何攻击。攻击的方法很多，大致分为三种：   
  1. 修改网站内容的攻击   
  2. 阻止用户访问的攻击   
  3. 窃取网站内容的攻击   
  
  在此之中，修改和窃取基本上都需要攻入服务器，比较困难，一般能获取信息和修改信息的网站大多数都是有权限限制的，即只允许你获取有限的信息，修改基本上也都是有区域和格式限制的。
  像这类攻击大多都是注入攻击，即利用网站程序本身的漏洞攻击。如果想试试这类的攻击，可以来[实验吧](http://www.shiyanbar.com/ctf/practice)试试身手。   
  除了注入攻击，还有一种就是XSS和CSRF攻击，这种攻击还是蛮有意思的，可以自己构建语句修改网站内容。
  当然上述攻击只限于动态网站的攻击，因为只有动态网站才有注入的可能性。不过除此之外，还有一种攻击是针对网络的攻击，即阻止用户访问正确内容的攻击，这类攻击一般就是DDOS和中间人攻击，当然，中间人攻击还能窃取网站内容。   
  不过像我这种菜鸡，还不会中间人攻击，因为这种攻击还要抓包，又要用什么WireShark之类的软件……而DDOS我又没有肉鸡，虽然知道智能家居很好黑，但是作为非洲人的我从来没碰到一个我能黑的智能家居产品……（是你没努力吧！）   
  
# 如何防御？
  虽然我不是打广告，但是CloudFlare真的还是蛮好用的，至少用了这个，只要配置好，几乎所有的DDOS都不用怕了，而且还是免费的。除了在国内访问不是很理想外，其他都还不错（都是ZF的错！）   
  不过即使用了CloudFlare，也只是静态网站不用担心了，动态网站还是得看网站程序本身了。   
  像用建站程序的人就只能看制作这个程序的人水平怎么样了，其实绝大多数的建站程序还是很不错的，也不用太担心。   
  问题就是自己写的动态网站了，自己写动态网站第一就是防注入，只要被注入，数据库就难保了，甚至整个服务器都会有风险。   
  第二就是防XSS&CSRF，XSS虽然有时候很鸡肋，但是有时有可能会发生网站数据泄露的问题。   
  第三就是防CC，这里的CC不止要防DDOS中的CC，还要防一些可能会存入数据库的CC，比如自己建了一个论坛，被屠版了怎么办？被大量注册小号怎么办？所以要注意限制用户发送请求的数量。   
  当然读取的CC也要防，比如如果登录页面上对尝试登录的次数没有限制的话，那么攻击者就可以不停地尝试，直到发现一个正确的密码。而如果用户用了弱密码，那么或许这个密码很快就可以被尝试出来。   
  对了，还有一定要使用HTTPS，这样可以避免很多问题。   
  针对不同的语言，防御的方法也不同，具体内容自己去搜索引擎上搜索吧。   
  当然有些攻击实在防不住，那也没办法，像网站被GFWban，那种事除了恐怖分子就再没人能解了吧……当然如果不在乎域名的话，像某些小黄网那样整天换域名也行。
  还有就是使用云主机、虚拟空间等人一定要看好自己的密码，以及有可能可以找回密码的方法的密码（比如邮箱），不然被知道了密码，那基本上就无药可救了。   
  方法就是邮箱的密码一定不要和其他的密码相同，重要网站的密码和次要网站的密码一定不能相同，还有就是不要在可疑的网站上输入自己的密码，如果有必要，一定先用错误的密码试一遍。   
  
# 结尾
  总而言之，互联网上虽然有闲人，但是既闲又有心还欧的人不多，所以只要祈祷自己的网站不要被炸，它就不会被炸了233333