主动攻击包含攻击者访问他所需信息的故意行为。比如远程登录到指定机器的端口 25 找出公司运行的邮件服务器的信息；伪造无效 IP 地址去连接服务器，使接受到错误 IP 地址的系统浪费时间去连接哪个非法地址。攻击者是在主动地做一些不利于你或你的公司系统的事情。

主动攻击是指攻击者主动发起攻击，目的是破坏网络系统或获取敏感信息。主动攻击的特点是攻击者会主动发起攻击，并且攻击通常会对目标系统造成明显的损害。

主动攻击常见的方式有以下几种：

DDoS 攻击：攻击者通过利用多台计算机或设备，向目标网站发送大量请求，导致网站瘫痪。SQL 注入攻击：攻击者通过构造恶意数据，插入到网站的数据库中，获取数据库内容或执行恶意操作。XSS 攻击：攻击者在网站上植入恶意代码，当用户访问该网站时，代码会在用户浏览器中执行，导致信息泄露或恶意操作。拒绝服务攻击：攻击者通过发送大量垃圾数据流，使得目标系统无法正常工作。远程代码执行攻击：攻击者通过利用系统漏洞，在远程主机上执行恶意代码。权限提升攻击：攻击者通过利用系统漏洞，获取高权限账户的访问权限。

主动攻击响应就是在入侵检测系统检测到攻击后，系统根据攻击类型自动选择预定义的响应措施来阻断当前的攻击，防止后续攻击的发生，以及进行攻击取证和对攻击所造成的破坏进行恢复。当前实际应用的主动响应技术非常有限，主要有以下三种：

响应技术

ICMP 不可达响应

ICMII，不可达响应就是在入侵检测系统检测到特定的攻击事件后，通过向被攻击主机或攻击源发送 ICMP 端口或目的不可达报文来阻断攻击。

TCP-RST 响应

TCP-RST 响应也称阻断会话响应。在入侵检测系统检测到特定的攻击事件后，通过阻断攻击者和受害者之间的 TCP，会话来阻断攻击。这种阻断会话机制是入侵检测系统中使用最多的主动响应机制。

防火墙联动响应

防火墙联动响应就是当入侵检测系统检测到攻击事件后向防火墙发送规则用于阻断当前以及后续攻击。然而防火墙联动响应还处于简单的基于地址的包过滤阶段，这种联动方式对采取了 IP 地址欺骗的攻击毫无作用。

被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。

被动攻击是指攻击者通过监听网络通信来获取信息的行为。这种攻击通常是不会对目标系统造成明显损害，但是可能会收集到大量敏感信息，对目标造成严重的信息泄露风险。

被动攻击常见的方式有以下几种：

网络监听攻击：攻击者在网络中设置嗅探器，监听网络中的数据流量，获取网络通信内容。协议分析攻击：攻击者分析网络协议，提取数据包中的信息。ARP 欺骗攻击：攻击者通过伪装自己的 MAC 地址和 IP 地址，获取网络中的数据流量。DNS 欺骗攻击：攻击者通过修改 DNS 解析结果，获取用户的网络流量。中间人攻击：攻击者在两方通信的中间，获取通信内容。

为了防范被动攻击，建议使用加密协议，如 HTTPS、SSH 等进行通信，并定期检查网络安全，及时发现并修复漏洞。

窃听、监听都具有被动攻击的本性，攻击者的目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解，一次电话通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。为此要防止对手获悉这些传输的内容。

通信流量分析的攻击较难捉摸。假如有一个方法可屏蔽报文内容或其他信息通信，那么即使这些内容被截获，也无法从这些报文中获得信息。最常用的屏蔽内容技术是加密。然而即使用加密保护内容，攻击者仍有可能观察到这些传输的报文形式。攻击者可能确定通信主机的位置和标识，也可能观察到正在交换的报文频度和长度。而这些信息对猜测正在发生的通信特性是有用的。

对被动攻击的检测十分困难，因为攻击并不涉及数据的任何改变。然而阻止这些攻击的成功是可行的，因此，对被动攻击强调的是阻止而不是检测。