服务器受到攻击的几种方式

服务器受攻击的方式主要有以下几种：

1．数据包洪水攻击

一种中断服务器或本地网络的方法是数据包洪水攻击，它通常使用Internet控制报文协议（ICMP）包或是UDP包。在最简单的形式下，这些攻击都是使服务器或网络的负载过重，这意味着黑客的网络速度必须比目标的网络速度要快。使用UDP包的优势是不会有任何包返回到黑客的计算机。而使用ICMP包的优势是黑客能让攻击更加富于变化，发送有缺陷的包会搞乱并锁住受害者的网络。目前流行的趋势是黑客欺骗目标服务器，让其相信正在受到来自自身的洪水攻击。

2．磁盘攻击

这是一种更残忍的攻击，它不仅仅影响目标计算机的通信，还破坏其硬件。伪造的用户请求利用写命令攻击目标计算机的硬盘，让其超过极限，并强制关闭。这不仅仅是破坏，受害者会遭遇不幸，因为信息会暂时不可达，甚至丢失。

3．路由不可达

通常，DoS攻击集中在路由器上，攻击者首先获得控制权并操纵目标机器。当攻击者能够更改路由器的路由表条目的时候，会导致整个网络不可达。这种攻击是非常阴险的，因为它开始出现的时候往往令人莫名其妙。毕竟，你的服务器会很快失效，而且当整个网络不可达，还是有很多原因需要详审的。

4．分布式拒绝服务攻击

最有威胁的攻击是分布式拒绝服务攻击（DDoS）。当很多堡垒主机被感染，并一起向你的服务器发起拒绝服务攻击的时候，你将伤痕累累。繁殖性攻击是最恶劣的，因为攻击程序会不通过人工干涉蔓延。Apache服务器特别容易受攻击，无论是对分布式拒绝服务攻击还是隐藏来源的攻击。为什么呢？因为Apache服务器无处不在。在万维网上分布着无数的Apache服务器，因此为Apache定制的病毒（特别是SSL蠕虫）潜伏在许多主机上；带宽如今已经非常充裕，因此有很多的空间可供黑客操纵。蠕虫攻击利用服务器代码的漏洞，通过SSL握手将自己安装在Apache服务器上。黑客利用缓冲溢出将一个伪造的密钥安装在服务器上（适用于运行低于0.9.6e版本的OpenSSL的服务器）。攻击者能够在被感染的主机上执行恶意代码，在许多这样的病毒作用下，下一步就是对特定的目标发动一场浩大的分布式拒绝服务攻击了。通过将这样的蠕虫散播到大量的主机上，大规模的点对点攻击得以进行，对目标计算机或者网络带来不可挽回的损失。

1、跨站脚本-XSS

相关研究表明，跨站脚本攻击大约占据了所有攻击的40%，是最为常见的一类网络攻击。但尽管最为常见，大部分跨站脚本攻击却不是特别高端，多为业余网络罪犯使用别人编写的脚本发起的。

跨站脚本针对的是网站的用户，而不是Web应用本身。恶意黑客在有漏洞的网站里注入一段代码，然后网站访客执行这段代码。此类代码可以入侵用户账户，激活木马程序，或者修改网站内容，诱骗用户给出私人信息。

防御方法：设置Web应用防火墙可以保护网站不受跨站脚本攻击危害。WAF就像个过滤器，能够识别并阻止对网站的恶意请求。购买网站托管服务的时候，Web托管公司通常已经为你的网站部署了WAF，但你自己仍然可以再设一个。

2、注入攻击

开放Web应用安全项目新出炉的十大应用安全风险研究中，注入漏洞被列为网站最高风险因素。SQL注入方法是网络罪犯最常见的注入方法。

注入攻击方法直接针对网站和服务器的数据库。执行时，攻击者注入一段能够揭示隐藏数据和用户输入的代码，获得数据修改权限，全面俘获应用。

防御方法：保护网站不受注入攻击危害，主要落实到代码库构建上。比如说：缓解SQL注入风险的首选方法就是始终尽量采用参数化语句。更进一步，可以考虑使用第三方身份验证工作流来外包你的数据库防护。

3、模糊测试

开发人员使用模糊测试来查找软件、操作系统或网络中的编程错误和安全漏洞。然而，攻击者可以使用同样的技术来寻找你网站或服务器上的漏洞。

采用模糊测试方法，攻击者首先向应用输入大量随机数据让应用崩溃。下一步就是用模糊测试工具发现应用的弱点，如果目标应用中存在漏洞，攻击者即可展开进一步漏洞利用。

防御方法：对抗模糊攻击的最佳方法就是保持更新安全设置和其他应用，尤其是在安全补丁发布后不更新就会遭遇恶意黑客利用漏洞的情况下。

4、零日攻击

零日攻击是模糊攻击的扩展，但不要求识别漏洞本身。此类攻击最近的案例是谷歌发现的，在Windows和chrome软件中发现了潜在的零日攻击。

在两种情况下，恶意黑客能够从零日攻击中获利。第一种情况是：如果能够获得关于即将到来的安全更新的信息，攻击者就可以在更新上线前分析出漏洞的位置。第二种情况是：网络罪犯获取补丁信息，然后攻击尚未更新系统的用户。这两种情况，系统安全都会遭到破坏，至于后续影响程度，就取决于黑客的技术了。

防御方法：保护自己和自身网站不受零日攻击影响最简便的方法，就是在新版本发布后及时更新你的软件。

5、路径(目录)遍历

路径遍历攻击针对Web

root文件夹，访问目标文件夹外部的未授权文件或目录。攻击者试图将移动模式注入服务器目录，以便向上爬升。成功的路径遍历攻击能够获得网站访问权，染指配置文件、数据库和同一实体服务器上的其他网站和文件。

防御方法：网站能否抵御路径遍历攻击取决于你的输入净化程度。这意味着保证用户输入安全，并且不能从你的服务器恢复出用户输入内容。最直观的建议就是打造你的代码库，这样用户的任何信息都不会传输到文件系统API。即使这条路走不通，也有其他技术解决方案可用。

---