网络攻击总结

SYN攻击

TCP/IP常用报文字段：

• 序号：seq序号，占32位，用来标识从TCP源端向目的端发送的字节流，发起方发送数据是对此进行标记。
• 确认序号：ack序号，占32位，只有在ACK标志位为1时，确认序号段才有效，ack=seq+1。
• 标志位：
  URG : 紧急指针（urgent pointer）有效。
  ACK：确认序号有效。
  PSH：接收方应该尽快将这个报文交给应用层。
  RST：重置连接。
  SYN：发起一个新连接。
  FIN：释放一个连接。

---

SYN攻击

在三次握手过程中，Server发送SYN-ACK之后，收到Client的ACK之前的TCP连接称为半连接（half-open connect），此时Server处于SYN_RCVD状态，当收到ACK后，Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址，并向Server不断地发送SYN包，Server回复确认包，并等待Client的确认，由于源地址是不存在的，因此，Server需要不断重发直至超时，这些伪造的SYN包将产时间占用未连接队列，导致正常的SYN请求因为队列满而被丢弃，从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击，检测SYN攻击的方式非常简单，即当Server上有大量半连接状态且源IP地址是随机的，则可以断定遭到SYN攻击了，使用如下命令可以让之现行：
#netstat -nap | grep SYN_RECV

XSS (Cross Site Script) ，跨站脚本攻击。

攻击者在网页中嵌入客户端脚本(例如JavaScript)，当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的，比如获取用户的Cookie，导航到恶意网站，携带木马等。XSS属于被动式的攻击。

CSRF(Cross Site Request Forgery)，跨站点伪造请求。

通过伪造连接请求在用户不知情的情况下，让用户以自己的身份来完成攻击者需要达到的一些目的。csrf 的攻击不同于xss csrf 需要被攻击者的主动行为触发。

cookie劫持，通过获取页面的权限

在页面中写一个简单的到恶意站点的请求，并携带用户的cookie 获取cookie后通过cookie 就可以直以被盗用户的身份登录站点。这就是cookie 劫持。