網站攻擊的類型有哪些 為什么會被攻擊

現在網絡與越來越多的行業開始掛鉤，并且產生的效果是很好的，在網絡發揮優勢的同時，也面臨著被攻擊的風險，那么網站攻擊的類型有哪些？應該怎么解決？下面由新網介紹一下。
 
  網站攻擊的類型
  CC攻擊
  相對來說，這種攻擊的危害大一些。主機空間都有一個參數 IIS 連接數，當被訪問網站超出IIS 連接數時，網站就會出現Service Unavailable 。攻擊者就是利用被控制的機器不斷地向被攻擊網站發送訪問請求，迫使IIS 連接數超出限制，當CPU 資源或者帶寬資源耗盡，那么網站也就被攻擊垮了。對于達到百兆的攻擊，防火墻就相當吃力，有時甚至造成防火墻的CPU資源耗盡造成防火墻死機。達到百兆以上，運營商一般都會在上層路由封這個被攻擊的IP。

  針對CC攻擊，一般的租用有防CC攻擊軟件的空間、VPS或服務器就可以了，或者租用章魚主機，這種機器對CC攻擊防御效果更好。
  流量攻擊
  就是DDOS攻擊，這種攻擊的危害是最大的。原理就是向目標服務器發送大量數據包，占用其帶寬。對于流量攻擊，單純地加防火墻沒用，必須要有足夠的帶寬和防火墻配合起來才能防御。如果想防御10G 的流量攻擊，那就必須用大約20G 的硬件防火墻加上近20G 的帶寬資源。如果單用硬防機器的成本相當高，10G硬防也要上萬元一個月。

  網站為什么容易被攻擊
  1、注入漏洞
  問題：當用戶提供的數據被作為指令的一部分發送到轉換器(將文本指令轉換成可執行的機器指令)的時候，黑客會欺騙轉換器。攻擊者可以利用注入漏洞創 建、讀取、更新或者刪除應用軟件上的任意數據。在最壞的情況下，攻擊者可以利用這些漏洞完全控制應用軟件和底層系統，甚至繞過系統底層的防火墻。
  真實案例：俄羅斯黑客在2006年1月份攻破了美國羅得島政府網站，竊取了大量信用卡資料。黑客們聲稱SQL注入攻擊竊取了5.3萬個信用卡賬號， 而主機服務供應商則聲稱只被竊取了4113個信用卡賬號。
  如何保護用戶：盡可能不要使用轉換器。OWASP組織說：“如果你必須使用轉換器，那么，避免遭受注入攻擊的最好方法是使用安全的API，比如參數 化指令和對象關系映射庫。”
  2、跨站腳本(XSS)
  問題：XSS漏洞是最普遍和最致命的網絡應用軟件安全漏洞，當一款應用軟件將用戶數據發送到不帶認證或者不對內容進行編碼的網絡瀏覽器時容易發生。黑客可以利用瀏覽器中的惡意腳本獲得用戶的數據，破壞網站，插入有害內容，以及展開釣魚式攻擊和惡意攻擊。
  真實案例：惡意攻擊者去年針對Paypal發起了攻擊，他們將Paypal用戶重新引導到另一個惡意網站并警告用戶，他們的賬戶已經失竊。用戶們被引導到另一個釣魚式網站上，然后輸入自己的Paypal登錄信息、社會保險號和信用卡資料。Paypal公司稱，它在2006年6月修復了那個漏洞。
  如何保護用戶：利用一個白名單來驗證接到的所有數據，來自白名單之外的數據一律攔截。另外，還可以對所有接收到的數據進行編碼。OWASP說：“驗證機制可以檢測攻擊，編碼則可以防止其他惡意攻擊者在瀏覽器上運行的內容中插入其他腳本。”
  3、惡意文件執行
  問題：黑客們可以遠程執行代碼、遠程安裝rootkits工具或者完全攻破一個系統。任何一款接受來自用戶的文件名或者文件的網絡應用軟件都是存在漏洞的。漏洞可能是用PHP語言寫的，PHP是網絡開發過程中應用最普遍的一種腳本語言。

  真實案例：一位青少年程序員在2002年發現了Guess.com網站是存在漏洞的，攻擊者可以從Guess數據庫中竊取20萬個客戶的資料，包括用戶名、信用卡號和有效期等。Guess公司在次年受到聯邦貿易委員會調查之后，同意升級其安全系統。
  如何保護用戶：不要將用戶提供的任何文件寫入基于服務器的資源，比如鏡像和腳本等。設定防火墻規則，防止外部網站與內部系統之間建立任何新的連接。
 
  網站被攻擊了怎么辦？
  1、重新換一臺服務器，或者換一個IP，然后使用加速樂CDN把源站IP給隱藏了。另外，需要說明的是CDN也可以一定程度上防御DDOS和CC攻擊；
  2、做完上面第1步后，或者你不想換服務器/IP，那么最快速的就是找第三方云安全防護服務來防御了，推薦：抗D保。防御方面確實做得不錯，而且在后臺控制面板中有很多規則可以靈活配置，做到防御系統自動防御，也可以人工判斷異常攻擊IP來源；
  3、另外，針對CC的攻擊是可以在網站程序上來實現的，就看你們有沒有這樣的技術了。

  通過以上新網的介紹我們了解了網站攻擊的相關內容，網站攻擊包括流量攻擊，資源管理器攻擊等，我們要通過合理的程序來進行修復。