网络攻击:被动攻击与主动攻击的分类与特点
网络攻击是指通过网络对目标系统、设备或数据进行未授权的访问、干扰或破坏的行为。根据攻击方式和目标的不同,可分为被动攻击和主动攻击两大类,两者在目标、手段和影响上有显著区别。
被动攻击(Passive Attacks)
被动攻击的核心特点是不直接干扰系统运行,而是通过窃听、监视等方式获取敏感信息,主要破坏数据的保密性。攻击者不会修改数据或中断服务,因此难以被察觉。
主要类型
- 消息内容监听(Eavesdropping)
- 攻击者通过监听网络传输(如未加密的通信信道),窃取敏感信息(如用户名、密码、交易数据、私人消息等)。
- 示例:在公共 Wi-Fi 中监听 HTTP 明文传输的登录信息,或通过网络嗅探工具(如 Wireshark)捕获未加密的数据包。
- 业务流分析(Traffic Analysis)
- 攻击者不直接获取消息内容,而是通过分析通信模式(如通信频率、数据量、源地址、目标地址、传输时间等)推断敏感信息。
- 示例:通过分析某公司与银行之间的通信频率和数据量,推测其业务规模或交易周期;通过监测军事基地的网络流量峰值,判断可能的军事行动。
防御手段
- 加密传输:使用 SSL/TLS 等加密协议对通信内容进行加密(如 HTTPS),使监听的消息无法被解析。
- 流量混淆:通过随机化数据包大小、添加冗余数据等方式,干扰攻击者的业务流分析。
- 物理隔离:对敏感网络(如内部办公网)采取物理隔离措施,限制外部访问。
主动攻击(Active Attacks)
主动攻击的核心特点是主动干预系统运行,通过修改数据、伪造身份、中断服务等方式破坏系统的可用性、完整性或真实性,攻击行为通常会对系统造成直接影响,较容易被检测到。
主要类型
- 破坏可用性(中断,Interruption)
- 攻击目标:使系统或服务无法正常提供服务。
- 示例:
- DDoS(分布式拒绝服务)攻击:通过大量虚假请求耗尽目标服务器的带宽或资源,导致合法用户无法访问。
- 物理破坏:切断网络线路、损坏服务器硬件等。
- 破坏完整性(篡改,Modification)
- 攻击目标:未经授权修改数据内容,导致信息失真。
- 示例:
- 篡改传输中的消息:如在银行转账请求中修改金额或收款账户。
- 恶意篡改文件:入侵服务器后修改数据库中的数据(如篡改用户余额、订单信息)。
- 破坏真实性(伪造,Fabrication)
- 攻击目标:伪造身份或数据,欺骗系统或用户。
- 示例:
- 身份伪造:冒充合法用户发送请求(如仿冒管理员发送指令)。
- 数据伪造:生成虚假交易记录、虚假订单等,干扰系统正常运行。
- 重放攻击(Replay Attack):截取合法的通信数据(如认证令牌),在未来重复发送以欺骗系统。
防御手段
- 访问控制:通过身份认证(如密码、生物识别)和权限管理,限制未授权用户的操作。
- 数据校验:使用哈希算法(如 SHA-256)或数字签名验证数据完整性,发现被篡改的内容。
- 入侵检测 / 防御系统(IDS/IPS):实时监控网络流量,识别异常行为(如 DDoS 攻击、异常数据修改)并及时阻断。
- 冗余设计:对关键服务采用集群部署、多线路备份等冗余方案,提高抗攻击能力(如某台服务器被攻击时,自动切换到备用服务器)。
被动攻击与主动攻击的对比
| 维度 | 被动攻击 | 主动攻击 |
|---|---|---|
| 攻击方式 | 监听、分析(不干预系统) | 修改、伪造、中断(干预系统) |
| 主要危害 | 破坏保密性 | 破坏可用性、完整性、真实性 |
| 可检测性 | 较难(无明显异常行为) | 较易(系统出现异常响应) |
| 典型案例 | 网络嗅探、业务流分析 | DDoS 攻击、数据篡改、身份伪造 |