主動攻擊

主動攻擊包括拒絕服務攻擊（DoS）、分佈式拒絕服務（DDos）、信息篡改、資源使用、欺騙、偽裝、重放等攻擊方法。

主動攻擊包含對數據流的某些修改，或者生成一個假的數據流。它可分為五類：

偽裝

偽裝是一個實體假裝成另外一個實體。偽裝攻擊往往連同另一類主動攻擊一起進行。假如，身份鑑別的序列被捕獲，並在有效地身份鑑別發生時做出回答，有可能使具有很少特權的實體得到額外的特權，這樣不具有這些特權的人獲得了這些特權。

回答（重放）

回答攻擊包含數據單元的被動捕獲，隨之再重傳這些數據，從而產生一個非授權的效果。

修改報文

修改報文攻擊意味着合法報文的某些部分已被修改，或者報文的延遲和重新排序，從而產生非授權的效果。

拒絕服務（DoS）

DoS攻擊是指利用合理的服務請求來佔用過多的服務資源，從而使合法的用户得不到服務響應。這種攻擊行為使網站服務器充斥大量要求回覆的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至於癱瘓而停正提供正常的網絡服務。 ^[1] 

拒絕服務攻擊是阻止或禁止通信設施的正常使用和管理。這種攻擊可能針對專門的目標（如安全審計服務），抑制所有報文直接送到目的站；也可能破壞整個網絡，使網絡不可用或網絡超負荷，從而降低網絡性能。

主動攻擊和被動攻擊具有相反的特性。被動攻擊難以檢測出來，然而有阻止其成功的方法。而主動攻擊難以絕對地阻止，因為要做到這些，就要對所有通信設施、通路在任何時間進行完全的保護。因此，對主動攻擊採取的方法，並從破壞中恢復。因此制止的效應也可能對防止破壞做出貢獻。 ^[2] 

分佈式拒絕服務（DDoS）

分佈式拒絕服務（洪水攻擊）是在傳統的Dos攻擊基礎上產生的一類攻擊方式，它使許多分佈的主機同時攻擊一個目標，從而使目標癱瘓等。一個比較完善的DDos攻擊體系分為四大部分：黑客，控制傀儡機，攻擊傀儡機，受害者。最重要的是第二，三部分，分別用於控制和實際發起攻擊。對於第四部分的受害者來説，DDos的實際攻擊包是從第三部分的攻擊傀儡機上發起的，第二部分只發布控制命令而不參加實際的攻擊。主動攻擊難以預防，但卻容易檢測，所以重點是在於檢測並從破壞中回覆。 ^[2] 

網絡攻擊手段形式多樣，將網絡主動攻擊分為六大類進行研究：

探測型攻擊：通過各種掃描技術快速準確地獲取敵方網絡的重要信息，代表性的攻擊手段有端口掃描、服務漏洞掃描和操作系統漏洞掃描。

肢解型攻擊：集中攻擊敵方信息系統關鍵結點，如 FTP、WEB、DNS和E-Mail 服務器等，破壞敵方的信息集成，代表性的攻擊手段有緩衝區溢出攻擊和後門攻擊。

病毒型攻擊：通過在敵方網絡安置可控的病毒或惡意代碼，在必要的時候引爆病毒或惡意代碼，使敵方控制中心癱瘓，代表性的攻擊手段有惡意代碼的開發和注入技術。

內置型攻擊：深入敵方的網絡內部，安置木馬或者通過安裝網絡嗅探程序，源源不斷地向我方提供敵方的信息情報，代表性的攻擊手段有遠程控制攻擊和TCP劫持。

欺騙型攻擊：通過傳輸虛假的信息欺騙敵方，使敵方指揮系統對收到的信息真假難辨，無法決策，或者做出錯誤決策，代表性的攻擊手段有IP欺騙攻擊。

阻塞型攻擊：阻塞敵方信息流，使敵方網絡無法進行正常傳輸，代表性的攻擊手段有DoS攻擊和DDoS攻擊。 ^[3] 

主動攻擊響應就是在入侵檢測系統檢測到攻擊後，系統根據攻擊類型自動選擇預定義的響應措施來阻斷當前的攻擊，防止後續攻擊的發生，以及進行攻擊取證和對攻擊所造成的破壞進行恢復。當前實際應用的主動響應技術非常有限，主要有以下三種：

ICMP不可達響應

ICMII，不可達響應就是在入侵檢測系統檢測到特定的攻擊事件後，通過向被攻擊主機或攻擊源發送ICMP端口或目的不可達報文來阻斷攻擊。

TCP-RST響應

TCP-RST響應也稱阻斷會話響應。在入侵檢測系統檢測到特定的攻擊事件後，通過阻斷攻擊者和受害者之間的TCP，會話來阻斷攻擊。這種阻斷會話機制是入侵檢測系統中使用最多的主動響應機制。

防火牆聯動響應

防火牆聯動響應就是當入侵檢測系統檢測到攻擊事件後向防火牆發送規則用於阻斷當前以及後續攻擊。然而防火牆聯動響應還處於簡單的基於地址的包過濾階段，這種聯動方式對採取了IP地址欺騙的攻擊毫無作用。 ^[4]