CC攻击

CC攻击（Challenge Collapsar，挑战黑洞）是DDoS攻击的变种，专门针对Web应用的层7（应用层）攻击。攻击者通过控制大量代理服务器、肉鸡，向目标网站的特定页面（如动态页面、搜索页面、登录页面）发送大量合法的HTTP/HTTPS请求，消耗目标服务器的CPU、内存、带宽资源，导致页面加载缓慢甚至无法访问。CC攻击的核心特征是“请求合法、难以拦截”——不同于UDP洪水攻击的虚假数据包，CC攻击的请求符合HTTP协议规范，WAF需通过行为分析（如请求频率、来源IP、会话特征）才能识别，常被用于攻击电商网站、游戏服务器、政企官网。

DoS攻击

DoS攻击（Denial of Service，拒绝服务攻击）是通过单一或少量攻击源，向目标系统发送大量恶意请求、利用系统漏洞，或消耗目标的网络带宽、计算资源，导致目标系统无法为合法用户提供服务。DoS攻击的常见方式包括：TCP SYN洪水攻击（耗尽服务器的连接队列）、UDP洪水攻击（占用目标带宽）、Ping洪水攻击（ICMP数据包轰炸）、利用系统漏洞的拒绝服务攻击（如触发缓冲区溢出导致系统崩溃）。DoS攻击的目标是“使系统不可用”，而非窃取数据，但其造成的业务中断会带来直接经济损失。

DDoS攻击

DDoS攻击（Distributed Denial of Service，分布式拒绝服务攻击）是DoS攻击的升级版，攻击者控制大量肉鸡（僵尸网络），从多个IP地址、多个地理位置向目标发起攻击，其攻击流量远大于单源DoS攻击，防御难度更高。常见的DDoS攻击类型包括：流量型攻击（UDP洪水、SYN洪水、反射放大攻击，如DNS反射、NTP反射，利用公共服务器放大攻击流量）、应用层攻击（即CC攻击）、协议层攻击（如TCP连接耗尽、碎片包攻击）。DDoS攻击是网络黑产中敲诈勒索的常用手段，攻击者通常要求目标企业支付虚拟货币，否则持续攻击。

C2

C2（Command and Control，命令与控制）是APT攻击、僵尸网络攻击中的核心基础设施，指攻击者用于与受控主机（肉鸡、恶意软件）进行通信的服务器集群。C2服务器的核心功能是向受控主机下发攻击指令（如发起DDoS攻击、窃取数据、下载新的恶意程序），并接收受控主机回传的信息（如窃取的密码、系统截图、网络拓扑）。C2的通信方式具有极强的隐蔽性，常用的通信协议包括HTTP/HTTPS（伪装成正常网页访问）、DNS（利用DNS查询传递指令）、SMTP（邮件协议），甚至会使用加密通信、跳转变频等方式规避检测。防御方的核心目标之一是识别并阻断C2通信，切断攻击者与受控主机的联系。

APT攻击

APT攻击（Advanced Persistent Threat，高级可持续性攻击）是由组织化的攻击团队（如国家背景的黑客组织、大型黑产团伙）发起的、针对特定目标的长期网络攻击。APT攻击的核心特征包括：

• 高级性

  ：使用0day/1day漏洞、定制化恶意软件、复杂的社会工程学手段，攻击手法远超普通黑客；

• 持续性

  ：攻击周期长达数月甚至数年，攻击者会持续收集目标信息、渗透内网、维持控制权；

• 针对性

  ：目标通常是政府机构、军工企业、金融机构、大型科技企业，旨在窃取核心机密、商业数据或进行长期监控；

• 隐蔽性

  ：攻击过程中尽量避免触发安全告警，通过合法账户、正常通信协议、文件加密等方式隐藏踪迹。

APT攻击的典型流程包括：情报收集→鱼叉钓鱼/水坑攻击植入恶意软件→C2通信→内网横向移动→提权→数据窃取→长期潜伏。

提权

提权（Privilege Escalation）是攻击者将低权限账户/进程提升为高权限（如Linux的root权限、Windows的Administrator/System权限）的过程，是渗透测试/攻击中的关键步骤。提权的方式分为两类：

• 纵向提权

  ：同一用户的权限提升，如普通用户通过系统漏洞获取管理员权限；

• 横向提权

  ：获取同级别其他用户的权限（如窃取其他普通用户的密码），但通常“提权”特指纵向提权。

常见的提权手段包括：利用操作系统内核漏洞提权（如Linux的Dirty COW漏洞）、利用错误配置提权（如文件权限过大、服务以高权限运行）、利用第三方软件漏洞提权（如数据库、Web服务器的高权限进程）、破解高权限账户密码等。提权成功后，攻击者可完全掌控目标系统，进行数据篡改、后门植入、内网渗透等操作。

横向移动

横向移动（Lateral Movement）是内网渗透中的核心攻击手段，指攻击者在获取某一台内网主机的权限后，以该主机为跳板，向同一内网中的其他主机、服务器、网络设备发起攻击，扩大控制范围。横向移动的前提是攻击者已突破外网边界（如拿下Web服务器），并进入内网环境。常见的横向移动手段包括：

• 扫描内网存活主机、开放端口；
• 利用内网共享文件（SMB）的漏洞（如永恒之蓝漏洞）攻击相邻主机；
• 窃取内网账户凭证（如哈希值、明文密码），通过远程桌面（RDP）、SSH登录其他主机；
• 利用内网DNS、DHCP服务器的漏洞进行渗透；
• 植入内网木马，控制更多主机。

横向移动的最终目标是获取内网核心服务器（如数据库服务器、域控制器）的权限，窃取核心数据。

撞库攻击

撞库攻击是攻击者利用互联网上泄露的用户账号密码数据，批量尝试登录其他网站/APP，以获取用户在多个平台的通用账号密码。其核心原理是“用户复用密码”——大量用户会在不同平台使用相同的账号（如手机号、邮箱）和密码，攻击者将泄露的“账号-密码”组合整理成字典，通过自动化脚本批量登录目标平台。撞库攻击的实施成本低、成功率高，常见于电商、社交、金融类平台，攻击者可通过撞库获取用户的支付信息、隐私数据，甚至进行账号盗刷、诈骗。防御撞库的核心手段是强制用户开启二次验证（如短信验证码、人脸识别）、限制登录频率、检测异常登录行为。

挂马

挂马是攻击者将网页木马、恶意代码嵌入到目标网站的合法页面（如首页、文章详情页）中的攻击手段，当用户访问该页面时，恶意代码会自动执行，导致用户主机被植入木马、跳转至钓鱼网站或下载恶意软件。挂马的常见方式包括：

• 利用Web漏洞（如SQL注入、文件包含）修改网站页面代码；
• 入侵网站服务器，直接编辑网页文件；
• 利用第三方组件（如广告插件、评论系统）的漏洞植入恶意代码。

挂马的目标通常是流量较大的网站，攻击者可通过“一人挂马，万人中马”的方式批量获取肉鸡，是网络黑产中“抓鸡”的常用手段。

蜜罐

蜜罐（Honeypot）是一种主动的网络安全防御技术，本质是“诱敌深入”的情报收集系统。蜜罐会模拟存在漏洞的系统、服务、数据（如伪造的数据库、未打补丁的服务器、虚假的机密文件），吸引攻击者发起攻击，同时通过监控系统记录攻击者的IP地址、攻击手法、使用的工具、攻击路径等信息。蜜罐的核心价值是：

• 收集攻击情报，提前感知新型攻击手段；
• 分析攻击者的行为特征，优化防御策略；
• 迷惑攻击者，使其将精力消耗在蜜罐上，保护真实系统；
• 部分高交互蜜罐可实现反制，追踪攻击者的真实身份。

根据交互程度，蜜罐可分为低交互蜜罐（仅模拟基本服务，如端口开放）、中交互蜜罐（模拟部分系统功能）、高交互蜜罐（真实系统，仅做隔离处理）。

鱼叉攻击

鱼叉攻击（Spear Phishing）是针对性极强的网络钓鱼攻击，攻击者会先收集目标个人/企业的详细信息（如姓名、职位、邮箱、社交关系、业务往来），然后制作高度定制化的钓鱼邮件/链接，伪装成目标信任的对象（如同事、客户、银行、官方机构）发送。与普通钓鱼攻击的“撒网式”不同，鱼叉攻击的欺骗性极高——例如，攻击者伪装成企业CEO向财务人员发送邮件，要求紧急转账；或伪装成合作方发送含木马的合同附件。鱼叉攻击是APT攻击、企业数据泄露的主要初始手段，防御难度远高于普通钓鱼。

抓鸡

抓鸡是攻击者批量获取公网中存在漏洞的主机，并将其变为“肉鸡”的过程，是构建僵尸网络的核心步骤。抓鸡的典型流程包括：

• 扫描公网IP段，探测存在漏洞的主机（如未打补丁的Windows服务器、弱密码的路由器、存在漏洞的物联网设备）；
• 利用EXP自动攻击漏洞主机，植入木马/后门；
• 通过C2服务器控制已攻陷的主机，将其加入僵尸网络；
• 定期维护肉鸡，清理无用主机，补充新肉鸡。

抓鸡的工具通常是自动化的扫描+攻击脚本（如“扫鸡器”），攻击者可通过抓鸡获取数千甚至数万台肉鸡，用于发起DDoS攻击、挖矿、窃取数据等非法活动。

网络钓鱼(Phishing)

网络钓鱼是攻击者利用欺骗性的电子邮件、伪造的Web站点、虚假的短信，诱骗用户泄露敏感信息（如账号密码、银行卡号、身份证号、验证码）的攻击手段。“Phishing”由“Fishing”（钓鱼）和“Phone”（电话）组合而来，源于早期黑客通过电话诈骗获取信息，后延伸至网络场景。网络钓鱼的常见形式包括：

• 伪造银行、支付平台的登录页面，诱骗用户输入账号密码；
• 发送含钓鱼链接的邮件，声称“账号异常”“中奖通知”，引导用户点击；
• 仿冒运营商、政务平台发送短信，要求用户点击链接验证信息。

网络钓鱼的受害者多为普通用户，攻击者获取信息后会进行盗刷、诈骗、身份冒用等操作。

钓鲸攻击

钓鲸攻击（Whaling）是网络钓鱼的高级形式，专门针对企业高管、政府高官、行业领袖等“高价值目标”。攻击者会花费大量时间收集目标的详细信息（如公开演讲、社交动态、业务合作、家庭信息），制作高度个性化的钓鱼内容——例如，伪装成律师发送“法律函件”、伪装成合作伙伴发送“合同修订版”、伪装成家人发送“紧急求助信息”。钓鲸攻击的目标是获取企业核心机密（如商业计划、财务数据、客户信息）或诱导高管进行大额转账（如“紧急付款指令”），其造成的损失远大于普通钓鱼攻击。

水坑攻击

水坑攻击（Watering Hole Attack）是一种“守株待兔”式的攻击手段，攻击者先分析目标群体的上网行为（如经常访问的行业网站、论坛、下载站点），然后攻击这些“必经之路”的网站，植入恶意代码。当目标访问该网站时，恶意代码会自动执行，导致目标主机被攻陷。水坑攻击的核心逻辑是“瞄准目标的习惯，而非直接瞄准目标”，适用于攻击防御能力较强的组织（如政府机构、军工企业）——例如，攻击者发现某军工单位员工常访问某技术论坛，便攻陷该论坛并植入木马，从而获取该单位的内网权限。水坑攻击的隐蔽性极强，因为目标访问的是信任的网站，降低了警惕性。