文章总结： 本文系统梳理了12种常见网络攻击类型，包括恶意软件、中间人攻击、SQL注入、密码攻击等，用通俗比喻解析技术原理与危害，并给出使用密码管理器、开启双因素认证、及时更新系统等实用防护建议。 综合评分： 85 文章分类： 网络安全,安全意识,恶意软件,WEB安全,社会工程学

---

网络攻击到底有哪些类型？

原创

iconic iconic

老登的安全观

2026年6月12日 09:30 广东

在小说阅读器读本章

去阅读

佛系随性笔记，记录最好的自己！

说实话，网络安全这行有个毛病：喜欢把简单的事说复杂。动不动就”APT攻击”、”0day漏洞”、”社工钓鱼”，客户听得一愣一愣的，心想这帮人到底在说啥？

今天老登给你换个路子，不用专业术语吓唬人，咱们就当茶余饭后唠嗑，把市面上最常见的十几种网络攻击类型掰开揉碎了讲明白。看完你就能去跟同事吹牛了。

1. 恶意软件，电脑里的”传染病”

恶意软件，英文叫 Malware，说白了就是不安好心的软件。你以为下载了个破解版 Photoshop，结果电脑开始弹广告、文件被加密、摄像头莫名亮灯，恭喜，中招了。

恶意软件是个大家族，家里成员各有各的坏法：

病毒：这玩意儿最经典。它像流感一样会传染，你运行了一个带毒的程序，它就把自己复制到别的文件里。最难搞的是，病毒是唯一能”感染”其他文件的恶意软件，跟牛皮癣似的，杀都杀不干净。

蠕虫：比病毒更狠。病毒需要你手贱点一下才会中招，蠕虫不用，它自己就能复制传播。一台中招，整个办公室网段跟着遭殃。

木马：名字起得特别好，源自特洛伊木马。它装得人畜无害，甚至看起来就是个正经软件。你主动下载、主动安装、主动运行，等发现不对劲的时候，你的密码已经被传走了。

勒索软件：这几年最火的品种。它把你文件全加密，然后弹个窗：”想解密？打钱，比特币。”不给钱？文件没了。CryptoLocker、Petya、Locky 这些名字你可能没听过，但它们背后的团队每年薅走企业几百亿美元。这生意比贩毒还暴利，关键还不犯法，交赎金的人根本不敢报警，因为报警就意味着承认自己安全做得烂。

广告软件：相对温和，但烦人。你打开电脑，弹窗跟下雨似的，关一个蹦三个。

间谍软件：偷偷记录你的一切，你打了什么字、浏览过什么网站、输入了什么密码。它不破坏你的文件，但把你的人生扒了个底朝天。

一句话总结：病毒会传染，蠕虫自己跑，木马装好人，勒索要赎金。记不住别的，记住这四个就行。

2. 中间人攻击，你以为是跟他聊天，其实是跟我聊天

中间人攻击（MitM），老登最喜欢的比喻是：你给女朋友写信，邮递员拆开看完，抄一份，封好继续送。你以为邮件没动过，实际上每句话都被人看光了。

在网络世界里，常见的 MitM 玩法有这些：

Wi-Fi 窃听：星巴克的免费 Wi-Fi，最香也最毒。你连上去查余额，隔壁桌大哥正用抓包工具看着你的每一笔请求。更阴的招是搭个”邪恶双胞胎”，热点名叫”Starbucks_WiFi_Free”，跟真的一模一样，你连上去那一刻，你就进他的网了。

DNS 欺骗：DNS 就是互联网的电话本，你输入 baidu.com，DNS 告诉你去哪个 IP。黑客把这个电话本给改了，你明明输的是 baidu.com，跳过去的是个假网站，长得一模一样，但登录框会把你的账号密码直接发给黑客。

SSL 剥离：你跟银行之间本来是有加密的（那把小绿锁），黑客在中间把你降级成没加密的明文连接。你看网址前面还是 http 不是 https，但大部分人根本不看。

ARP 欺骗：局域网专属玩法。你跟同事用同一个交换机，黑客假装成网关，你的所有流量先到他那儿转一圈，再出去。

⚠️ 注意：有些资料把 IP 地址欺骗、邮箱劫持、HTTPS 域名造假也归到 MitM 里，严格来说不太准确。IP 欺骗是”冒充你是谁”，邮箱劫持是”直接偷号”，HTTPS 造假是”骗你点假链接”，都不是典型的信息流拦截。但广义上它们都能达到类似效果，所以常放一起讲。

一句话记住中间人攻击：你以为你在跟银行说话，其实你俩中间坐了个翻译。

#

3. SQL 注入，网页后门最经典的一招

SQL 注入，江湖上简称 SQLi。要理解这玩意儿，你得先知道网站是怎么工作的。

你在登录框输入用户名和密码，网站后端会拼一条 SQL 语句去数据库查：SELECT * FROM users WHERE username='老登' AND password='123456'。正常情况下，用户名和密码都对，登录成功。

但如果程序员偷懒，没做参数过滤，黑客输入的用户名是：

老登' OR '1'='1

拼出来的语句就变成了：

SELECT * FROM users WHERE username='老登' OR '1'='1' AND password='随便'

“1=1″永远是成立的，于是，黑客没密码也登录进去了。这就是 SQL 注入。

常见的 SQL 注入分三种：

带内注入：最常见的。黑客把恶意的 SQL 塞进输入框，数据库直接把结果返在网页上，黑客一看就知道数据库里有什么表、什么字段。

盲注：数据库不直接返回结果，但会通过响应时间或者返回状态给线索。比如发一个条件”如果数据库里第一张表的第一个字母是A，就睡5秒再返回”，黑客边试边猜，跟玩海龟汤似的。

带外注入：数据库不直接跟黑客通信，而是让数据库主动去连黑客控制的 DNS 服务器，通过 DNS 请求把数据传出去。

一句话：SQL 注入就是往输入框里塞代码，让数据库把你当管理员伺候。

#

4. 密码攻击，谁没偷过懒呢？

密码这事，说出来都是泪。人人都知道密码要复杂，但80%的人还是用 123456、password、生日加姓名。黑客最爱这种用户。

密码攻击说白了就四种套路：

暴力破解：没有技术含量，纯莽。黑客拿个脚本，把 000000 到 999999 全试一遍。你密码设 6 位纯数字？几十秒搞定。加了大小写字母和符号？时间指数级上涨。这就是为什么各大网站逼你设复杂密码，不是刁难你，是保护你。

字典攻击：比暴力破解聪明。黑客先收集你的信息，你是哪里人、养什么宠物、喜欢什么球队，然后拿这些词来拼。你用猫咪名字当密码？字典攻击一猜一个准。

键盘记录器：你电脑里被安了个小间谍，每次敲键盘它都记下来。你密码再复杂也没用，因为它是看着你手打的。

撞库：最不要脸的一招。黑客从 A 网站偷了 100 万个账号密码，拿去 B 网站试。因为大多数人所有网站共用一套密码，A 网站一漏，B、C、D 全遭殃。Verizon 的报告说，81% 的数据泄露都是因为密码管理不善，这不是技术问题，是人性问题。

血泪教训：别以为”老登123″是强密码，换个顺序”123老登”别人也猜得到。

#

5. 跨站脚本攻击（XSS），你的浏览器被骗了

XSS，全称 Cross-Site Scripting。名字里带 Scripting 但缩写成了 XSS，因为 CSS 已经被”层叠样式表”占用了。这也算网络安全圈的一个冷笑话。

XSS 的本质是：黑客把一段 JavaScript 代码偷偷塞进网页里，你的浏览器傻乎乎地执行了。这代码能干的事多了，偷你的登录 Cookie、重定向到钓鱼网站、甚至在你浏览器里操控你的账户。

三种经典玩法：

存储型 XSS（Type-I）：黑客把恶意代码写到网站的留言板或者评论区。这代码被保存在服务器上，每个打开这个页面的人都会中招。就像有人在学校黑板上写了个恶作剧，谁看谁倒霉。

反射型 XSS（Type-II）：黑客发你一个链接，里面藏着恶意代码。你不小心点开，浏览器执行了那段代码，你的信息就被传走了。这种不持久，但胜在灵活，配合钓鱼邮件一骗一个准。

DOM 型 XSS（Type-0）：这是三种里面最刁的。恶意代码不经过服务器，全在浏览器里完成，JavaScript 写了段 JavaScript 去坑 JavaScript。服务器根本不知道发生了什么，因为攻击全程都在你本地浏览器上演。

一句话：XSS 就是把恶意代码塞进正常网页，骗你浏览器去执行。你的浏览器以为在执行网站自己的代码，实际上是个披着羊皮的狼。

#

6. 物联网（IoT）攻击，你家摄像头在帮黑客看片

现在啥都联网：智能门锁、智能灯泡、智能冰箱、智能马桶盖（对，真有这玩意儿）。方便是真方便，安全隐患也是真吓人。

2016 年有个经典的案例，Mirai 僵尸网络。黑客没用什么高精尖技术，就干了一件事：扫描全网那些用了默认密码的摄像头和路由器（比如 admin/admin、root/1234），感染了几十万台设备。然后指挥这堆”肉鸡”同时攻击 DNS 服务商 Dyn，直接把美国东海岸给打趴了，Twitter 上不去、Netflix 看不了、Reddit 也崩了。始作俑者不是国家级的黑客团队，就是几个大学生。

你家里的智能电视、智能音箱、智能摄像头，出厂密码你改了吗？没改的话，它们可能已经在帮别人干活了。

IoT 攻击常见的切入点：

• 默认密码没改：最常见也最容易防
• 设备固件从来不更新：厂商修了漏洞你没打补丁
• Wi-Fi 密码太弱：你家那个”88888888″的 Wi-Fi 密码，隔壁老王拿手机五秒钟就能连上

现在你想想：你家的智能门锁、智能猫眼、智能摄像头，全都连着同一个 Wi-Fi。黑客进了你的网，他比你了解你家。

#

7. Rootkit，电脑里的”幽灵”

Rootkit 是恶意软件里最恐怖的一档。为什么恐怖？因为它藏在你系统的最底层，你根本看不见它。

正常的杀毒软件扫描 C 盘，查进程列表，看注册表，Rootkit 在这些步骤之前就已经把自己藏好了。它怎么藏的？

• 内核模式 Rootkit：直接修改操作系统内核。操作系统是电脑的”最高领导”，它被策反了，下面的小弟（杀毒软件、任务管理器）怎么可能发现问题？
• 引导加载程序 Rootkit：在操作系统启动之前就加载了。你电脑还没进入 Windows，Rootkit 已经坐在驾驶位上了。
• 硬件/固件 Rootkit：藏在硬盘控制器、BIOS 甚至路由器固件里。重装系统都杀不干净，因为你格式化的是硬盘，它藏在硬盘以外的芯片里。
• 内存 Rootkit：只待在内存里，重启就消失，但重启之前它干的坏事已经够多了。
• 应用程序 Rootkit：替换正常的系统文件，把后门打包成看起来合法的程序。

Rootkit 的恐怖在于：你开着任务管理器，看 CPU 占用 100%，风扇狂转，但进程列表干干净净，因为占用资源的那个东西，系统压根不让你看见。

#

8. 零日漏洞，厂商还不知道，黑客先知道了

零日漏洞（0-day）是所有安全工程师的噩梦。

什么叫零日？就是厂商发现漏洞的那一天，这天是”第 0 天”。在此之前，漏洞已经存在，黑客可能已经用了好几个月，而厂商毫不知情。由于没有补丁，这个漏洞是彻底敞开的门，安全设备也没法防，因为特征库里根本没有这个漏洞的记录。

三个概念别搞混：

• 零日漏洞：一个没人知道（除了黑客）的系统缺陷
• 零日漏洞利用：黑客拿这个缺陷写出来的攻击工具
• 零日攻击：利用这个工具发动的实际入侵

零日漏洞在黑客黑市上什么价？iOS 的零日漏洞能卖到上百万美元。这种漏洞通常不是小毛贼用的，背后多半是国家级团队或者顶级犯罪组织。普通企业碰到的概率不高，但碰上一次，基本就等于敞开门让人家搬。

零日漏洞就像是你的房子有个后门，你住了三年都不知道，突然有一天发现地下室被人住了半年。

#

9. 生日攻击，黑客也会算概率

生日攻击听起来喜庆，实际上是数学应用到黑客领域的一个经典案例。

先讲”生日悖论”：一个房间里要多少人，才能保证至少有两个人生日相同？直觉告诉你要一两百人，但实际上23 个人就够了，概率超过 50%。

怎么算的？反过来想，先算”所有人都不同生日”的概率。

第 1 个人随便哪天都行（365/365）。第 2 个人不能跟第 1 个人撞（364/365）。第 3 个人得避开前两个人（363/365）。依此类推到第 23 个人：

365/365 × 364/365 × 363/365 × … × 343/365 ≈ 0.493

这是”全部不同”的概率，那”至少两个相同”就是 1 – 0.493 ≈ 50.7%。70 个人就是 99.9%。要 100%？367 个人，鸽巢原理，365 天装 367 人，必有人共用一天。

把这个思路搬到密码学里就是生日攻击。黑客不需要找一个跟你密码哈希值完全相同的值，只需要在规定次数内找到任意两个值哈希一样就行。后者的难度是指数级下降的。

一句话：生日攻击跟双色球中奖的数学逻辑差不多，不是非要中头奖，中末等奖也行，概率一下就高了。

#

10. 网络钓鱼，最老套的骗术，最管用的攻击

钓鱼攻击是网络安全里投入产出比最高的攻击方式。不用写漏洞利用代码，不用搭服务器，一封邮件就行。

基本套路：你收到一封邮件，发件人看起来是”支付宝安全中心”。正文说你的账户有异常登录，请点击链接验证。你点进去，网站跟支付宝一模一样。输入账号密码，密码直接发给了黑客。

就这么简单。

但钓鱼也在进化：

电子邮件钓鱼：最基础款，广撒网，一天发几百万封。总有上当的。

鱼叉式钓鱼（Spear Phishing）：精准打击。黑客提前摸清了你的身份、职位、公司关系，给你单独写了一封量身定制的邮件。”张总，关于上次董事会的纪要详见附件。”你点开附件，中招。

鲸钓（Whaling）：鱼叉式钓鱼的豪华版，目标专指 CEO、CFO 这种”大鱼”。一封来自”公司律师”的邮件，附了一份”诉讼文件”，老板一般不敢不点。

短信钓鱼和电话钓鱼：你收到的”【顺丰快递】你的包裹派送失败，点击链接查看”就是短信钓鱼。电话钓鱼更直接，”你好，我是淘宝客服，你有一个订单需要退款……”

社交媒体钓鱼：黑客在微博/微信上冒充客服，你发私信投诉，他让你点链接”处理工单”，然后就上钩了。

钓鱼攻击最可怕的地方在于：它骗的不是电脑，是人。你能给电脑打补丁，但你没法给人打补丁。

#

11. 凭证重用攻击，懒是人的天性

你用多少个网站？都用同一套密码？

恭喜，你就是凭证重用攻击的完美目标。

攻击者从某个泄露的数据库里拿到你的账号密码，然后用程序自动去试，淘宝、京东、微博、GitHub、公司内网系统……一个一个撞过去。你某个小破论坛的密码泄露了，结果你的银行账户也跟着遭殃。

统计说只有 0.1% 的被盗凭证能成功复用，但考虑到一个数据库动不动几千万条记录，0.1% 也有好几万人。而且撞库是全自动的，攻击者成本几乎为零。

这个问题跟第 4 章讲的密码攻击是亲兄弟。第 4 章讲的是”怎么偷密码”，这一章讲的是”偷到一个密码能祸害多少个地方”。

如果你所有账户密码都是同一个，请马上去改。先改邮箱，再改银行，再改微信。其他的可以慢慢来。

#

12. 怎么防？

教科书那套”部署纵深防御体系”、”建立零信任架构”你听得进吗？我换个说法：

1. 密码管理器，装一个。

别再挑战自己的记忆力了。LastPass、1Password、KeePass，挑一个。全平台一个强密码的后果你已经知道了，所以每个网站用不同的，让软件帮你记。

2. 能开双因素认证的都开了。

手机验证码也好、指纹也好、Face ID 也好。黑客偷了你的密码但没你的手机，他就进不去。多一道门，贼就多一份麻烦。

3. 更新！更新！更新！

手机弹”系统更新”就点，不要每次点”稍后”。厂商修漏洞你都不给机会装，这跟天冷了不穿秋裤一个道理。

4. 别什么 Wi-Fi 都连。

咖啡店的免费 Wi-Fi，尽量别用。实在要用，别登录任何账号。手机热点比公共 Wi-Fi 安全 100 倍。

5. 看见”紧急””您的账户有风险””请立即”这些词，先冷静。

骗子就靠制造恐慌让你来不及思考。银行不会通过邮件让你点链接改密码，快递不会让你输入银行卡号，领导不会用陌生号码让你转账。

6. 备份。

重要文件备三份，两个不同介质，一份放异地。勒索软件加密了你的文件？没事，格式化重装，从备份恢复。

#

结语

这篇文章列了 11 种攻击类型，看着多，但底层逻辑就几条：

• 系统有漏洞 → 打补丁
• 密码太弱 → 用密码管理器 + 双因素
• 人容易上当 → 收到可疑消息先停下来想一想

网络安全的本质不是技术对抗，是概率管理。你做到这几条，不是绝对不会被攻击，但别人先躺，你站着。

深圳

注释：如有失误，望批评指正！

后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。

后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731、0830、0911、2026、007、008”有相关资料可供下载！

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老登的安全观 iconic iconic《网络攻击到底有哪些类型？》