XSS攻击的定义，类型以及防御方法？

XXS攻击全称跨站脚本攻击，是一种在Web应用中的计算机安全漏洞，它允许恶意Web用户将代码植入到提供给其他使用的页面中。
XSS攻击有哪几种类型下面就由锐速云的小编为大家介绍一下
经常见到XSS攻击有三种：反射XSS攻击、DOM-based型XSS攻击以及储存型XSS攻击。
[if !supportLists]1、[endif]反射型XSS攻击
反射性XSS一般是攻击者通过特定手法(如电子邮件)，诱使用户去访问一个包含恶意代码的URL，当受害者点击这些专门设计链接的时候，恶意代码会直接在受害主机上的浏览器上执行，反射型XSS通常出现在网站搜索栏，用户登入口等地方，常用来窃取客户端或进行钓鱼欺骗。
[if !supportLists]2、[endif]存储型XSS攻击
存储型XSS攻击也叫持久型XSS，主要将XSS代码提交储存在服务器端(数据库，内存，文件系统等)下次请求目标页面时不用在提交XSS代码。当目标用户访问该页面获取数据时，XSS代码会从服务器解析之后加载出来，返回到浏览器做正常的HTML和JS解析执行，XSS攻击就发生了。储存型XSS一般出现在网站留言，评论，博客日志等交互处，恶意脚本储存到客户端或者服务端的数据库中。
[if !supportLists]3、[endif]DOM-based型XSS攻击
DOM-based型XSS攻击它是基于DOM的XSS攻击是指通过恶意脚本修改页面的DOM结构，是纯粹发生在客户端的攻击。DOM型XSS攻击中，取出和执行恶意代码由浏览器端完成，属于前端JavaScript自身的安全漏洞。
如何防御XSS攻击
[if !supportLists]1、[endif]对输入内容的特定字符进行编码，列如表示html标记<>等符号。
[if !supportLists]2、[endif]对重要的cookie设置>

拒绝服务指通过向服务器发送大量垃圾信息或干扰信息的方式，导致服务器无法向正常用户提供服务的现象，最常见的拒绝服务攻击有计算机网络带宽攻击和连通性攻击。 

1、带宽攻击

带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。

2、连通性攻击

连通性攻击指用大量的连接请求冲击计算机，使得所有可用的 *** 作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。常用的攻击手段有：同步洪流、Land攻击、Ping洪流、UDP攻击、OOB等。

拒绝服务攻击的属性分类法：

即将攻击属性分为攻击静态属性、攻击动态属性和攻击交互属性三类，根据DoS攻击的这些属性的不同，就可以对攻击进行详细的分类。

凡是在攻击开始前就已经确定，在一次连续的攻击中通常不会再发生改变的属性，称为攻击静态属性。攻击静态属性是由攻击者和攻击本身所确定的，是攻击基本的属性。

那些在攻击过程中可以进行动态改变的属性，如攻击的目标选取、时间选择、使用源地址的方式，称为攻击动态属性。

而那些不仅与攻击者相关而且与具体受害者的配置、检测与服务能力也有关系的属性，称为攻击交互属性。

以上内容参考 百度百科-拒绝服务

以上内容参考 百度百科-拒绝服务攻击

DDoS攻击是基于反射的体积分布式拒绝服务攻击，攻击者利用开放式DNS解析器的功能，便于使用更大量的流量压倒目标服务器或网络，从而呈现服务器和它周围的基础设施无法进入。

那么DNS是如何放大攻击工作的呢？

其实所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。比如当在许多请求中放大成本差异时，就会由此产生的流量可能会破坏网络基础设施。所以通过发送导致大量响应的小查询，恶意用户可以从更少的内容获得更多。由具有在每个机器人这个倍数乘以僵尸网络进行类似的请求，攻击者就是从检测既混淆和收获提高了攻击流量的好处。

这些机器人可以比喻成一个恶意的人打电话给餐馆并说“我将拥有一切，请给我回电话并告诉我整个订单。”当餐厅给出的号码是目标受害者的电话号码，目标就能迅速接收来自餐馆的电话，其中包含许多他们未请求的信息。

每个机器人都会要求使用欺骗性IP地址打开DNS解析器，那么该IP地址已更改为目标受害者的真实源IP地址，目标会从DNS解析器接收响应。为了创建大量流量，攻击者会从DNS解析器生成响应的方式构造请求。结果，目标接收到攻击者初始流量的放大，并且他们的网络被虚假流量阻塞，导致拒绝服务。
DNS放大有四个步骤：

那么问题来了怎样去减轻DNS放大攻击呢？

对于运营网站或服务的个人或公司来说，缓解选项是有限的。个人的服务器虽然可能是目标，但是不会感受到体积攻击的主要影响。一般产生了大量的流量，服务器周围的基础设施会产生影响。ISP或者其他上游基础架构提供商就无法处理传入流量而不会变得不堪重负。ISP可能将所有流量黑洞到目标受害者的IP地址，保护自己并使目标站点脱机。

源IP验证 - 停止欺骗数据包离开网络

攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址，所以一般会降低基于UDP的放大攻击有效性的关键组件是Internet服务提供商拒绝任何内部流量欺骗的IP地址。从网络内部发送一个数据包，其源地址使其看起来像是在网络外部发起的，那么它可能是一个欺骗性数据包，这种可以被丢弃。
其实通过正确配置的防火墙和足够的网络容量阻止DNS放大攻击等反射攻击是微不足道的。但是我们的DDos能提供全面的（DDos）攻击防护，缓存加速，隐藏源站，能帮您减轻这些攻击。

DDOS攻击主要分为三类：流量型攻击；连接型攻击；特殊协议缺陷。

1、   Ip lood

攻击原理：此攻击以多个随机的源主机地址向目的主机发送超大量的随机或特定的IP包，造成目标主机不能处理其他正常的IP报文。

2、     Syn Flood

攻击原理：依据tcp建立连接的三次握手。此攻击以多个随机的源主机地址向目的主机发送syn包，而在收到目的主机的syn＋ack包后并不回应，目的主机就为这些源主机建立大量的连接队列，由于没有收到ack一直维护这些连接队列，造成资源的大量消耗而不能向正常的请求提供服务。

3、    Udp 反射 Flood

攻击原理：有时被保护服务器也有同外部服务器进行udp交互的需求，攻击者就会利用此交互对被保护服务器进行udp反射放大攻击。此攻击在短时间那冒充被攻击地址向外部公用的服务器发送大量的udp请求包，外部服务器收到虚假的udp请求就会回复大量的回应包给被攻击服务器地址，造成目标主机被保护服务器不能处理其他正常的交互流。

---