Mac防火墻上的所有選項建議都打開，除非工作需求否則最好是全部打開，因為關閉防火墻后無法阻止來自互聯網或其他網絡的非法連接，甚至會遭受黑客攻擊，Mac相對安全性高但不保證不會被攻擊。

Mac防火墻選項如下：

• 打開防火墻

  如果防火墻關閉，請點按“打開防火墻”以打開防火墻保護。

• 防火墻選項

  點按“防火墻選項”按鈕以更改防火墻設置。

• 阻止所有傳入連接

  在“防火墻選項”中，選擇可防止非必要服務和 App 的傳入連接。基本的互聯網服務是一組 App，允許您的 Mac 在網絡上查找由其他電腦所提供的服務。此設置會防止與其他所有共享服務的連接。

• 添加

  在“防火墻選項”中，若要添加 App 或服務，請點按添加按鈕 ，在列表中選擇項目，然后點按“添加”。

• 移除

  在“防火墻選項”中，若要移除 App，請在列表中選擇該 App，然后點按移除按鈕 。

• 自動允許內建軟件接收傳入連接

  在“防火墻選項”中，選擇以允許將由有效的證書頒發機構簽名的內建 App 和服務自動添加到允許的 App 列表，而無需您授權。自動允許已下載的簽名軟件接收傳入連接在“防火墻選項”中，選擇以允許將由有效的證書頒發機構簽名的已下載 App 和服務自動添加到允許的 App 列表，而無需您授權。

• 啟用隱身模式

  在“防火墻選項”中，選擇可防止 Mac 對那些用來顯現其存在的探測請求作出響應。Mac 仍將響應來自經授權的 App 的請求，而未經授權的請求，如 ICMP (ping)，則無法獲得響應。

• 高級

  點按以提高 Mac 的安全性，方法是更改“高級”偏好設置中的設置。

使用高仿DNS服務器目的如下：

• 保障DNS服務器被攻擊時用戶也能正常訪問：用戶訪問網站一般都是通過域名進行訪問，域名又需要使用DNS服務器進行解析才能正常訪問，如果DNS服務器因而DDoS攻擊而無法正常運轉時，也就意味著你的網站通過域名是不能正常訪問的。而高防DNS能夠保證域名解析免受DDoS攻擊影響，即使受到攻擊也能快速恢復DNS服務器的正常工作。

• 具有普通DNS不具有的快速解析能力：用戶訪問網站時響應速度不單單取決于網站服務器的帶寬和性能，DNS對域名的解析速度的快慢也是一個重要的影響。高防DNS服務器在帶寬上比較充足，在進行域名解析會比普通DNS解析快，這也意味著能加快你網站所訪問的時間。

• 可隨意配置解析時間：高防DNS可以隨意配置TTL的時間，當網站被訪問過網頁的信息就會緩存在DNS服務器中，這樣能夠加速網站的打開速度，如果網站的域名ip更換需要重新解析，如果解析的時間沒有超過TTL的時間時，這就以為這網站同樣不能正常打開。

黑客攻擊IoT設備方法有以下這些：

• 直接物理訪問攻擊：攻擊者可能具有直接物理訪問系統的權限，因為目前大部分IoT設備都以易用性為基礎這樣導致攻擊者很簡單就可以直接訪問。這意味著攻擊者可以物理觸摸設備。可以觸摸設備的人有可能將其拆開，替換其內部存儲器的內容，用分析儀嗅探其接口，鍵入命令，或者在某人背后偷看以破壞密碼，以及其他多種利用方式。

• 無線攻擊：隨著無線技術的無處不在，攻擊者不一定需要直接的物理訪問來攻擊設備。它們可能在無線電范圍內就足夠了。因此，站在人行道上外面的攻擊者可以訪問智能家居或智能建筑設備。

• 通過互聯網攻擊：只要將設備連接到互聯網，就可以潛在地利用許多漏洞。攻擊者甚至不需要具有訪問權限即可發起成功的攻擊。在某些情況下，攻擊者僅必須能夠發現設備并向其發送消息，或者能夠攔截與設備之間的消息。

• 旁道攻擊：旁道攻擊是利用嵌入式系統中的硬件安全缺陷來攻擊它們。旁道攻擊是最困難和最昂貴的攻擊類型，因為它需要精確了解目標系統的硬件設計和物理可用性。為了進行側信道攻擊，黑客收集系統功耗、電磁泄漏、操作時間等信息。因此，他們可以計算出系統和連接設備的內部操作，竊取密碼密鑰，甚至獲得對系統的控制權。

• 基于軟件的攻擊：基于軟件的攻擊針對系統的大腦管理設備的應用程序。對軟件的成功攻擊使黑客能夠訪問數據或獲得對嵌入式系統的控制。搜索軟件設計和代碼中的漏洞是最常見的攻擊手段，因為可以遠程進行此類攻擊。而且，基于軟件的攻擊不需要黑客的專業知識，因為他們可以使用典型的攻擊，例如部署惡意軟件和暴力破解。

預防黑客攻擊IoT設備的方法有以下這些：

• 確保設備設計安全：在購買物聯網設備或解決方案之前，請確保其設計上的安全性。如果提供商不能提供足夠的詳細信息，則應重新考慮使用特定的設備或解決方案。你還應該確保制造商在設備使用期間提供及時的更新。

• 重新命名路由器：更改你的路由器的名稱。制造商提供的名稱用于識別路由器的型號。路由器的名稱必須設置成不常見的，并且與你的個人信息沒有關聯。

• 了解你的網絡和連接的設備：當你的設備連接到互聯網時，它就會變得脆弱。隨著越來越多的設備連接到網絡上，跟蹤它變得非常困難。為了安全起見，您必須了解網絡、連接到它的設備以及設備可以訪問的信息類型。如果設備有以社交共享為特色的應用程序，請仔細選擇權限。

• 使用強大的加密協議：你的路由器應該有一個強大的加密方法。不要使用公共WiFi網絡或沒有可靠加密協議的網絡。使用最新的加密標準，如WPA2，而不是WEP或WPA。及時安裝更新和補丁有助于將風險降到最低水平。

• 使用強密碼：首先要做的是更改默認密碼。網絡攻擊者可能已經知道了物聯網設備的默認密碼和用戶名。其次，使用難以識別的強密碼和用戶名。放棄“password”或“123456”之類的密碼。密碼應該由小寫、大寫、數字和特殊字符組成。另外，請確保您經常更改您的密碼和用戶名。

• 檢查設備的設置：通常，智能設備的默認設置可能對您的設備不安全。最糟糕的是，有些設備不允許更改這些設置。必須要更改設置的內容有弱憑證、侵入性特性、權限和打開的端口。

• 安裝防火墻和其他安全解決方案：安全網關位于物聯網設備和網絡之間。它們擁有比物聯網設備更多的處理能力和內存。您可以安裝更強大的功能，如防火墻，以防止黑客訪問您的物聯網設備。防火墻系統通過網絡阻止未經授權的流量，并運行IDS或IPS(入侵檢測或入侵預防系統)來檢查網絡系統。為了使您的工作更容易，您可以使用漏洞掃描器監測系統內的安全弱點，可以使用端口掃描器來標識打開的端口。

• 使用單獨的網絡：如果你正在經營一家大企業，那么這條建議就是為你準備的。除了為物聯網設備使用商業網絡外，為智能設備使用單獨的網絡是確保物聯網安全的最具戰略意義的方法之一。即使黑客引誘進入物聯網設備，他們也無法獲得你的業務數據或嗅探銀行轉賬。

• 確保“通用即插即用”(UPnP)關閉：通用即插即用是一組網絡協議，它允許網絡設備無縫地發現其他設備的存在。但同樣的情況也讓你更容易暴露在黑客面前。通用即插即用現在已經成為許多路由器的默認設置。所以，如果您不想為了方便而犧牲安全性，請檢查設置并禁用此功能。

• 實現物理安全：如果你有特權用手機控制智能設備，那么要加倍小心，不要丟失你的手機。設備上有Pin、密碼或生物識別等保護。除此之外，請確保您可以遠程刪除信息，并對重要的數據進行自動備份或選擇性備份。

• 提高消費者的安全意識：許多消費者在購買物聯網設備時忽視了安全性。用戶必須知道最新的安全措施，必須知道如何更新默認憑證和更新應用程序。避免潛在的安全威脅。

常見的網絡攻擊類型和應對方法有以下這些：

• Dos攻擊

  DOS攻擊通過協議方式，或抓住系統漏洞，借助代理服務器模擬多個用戶不停的對網站進行訪問請求，集中對目標進行網絡攻擊，讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰，例如瘋狂Ping攻擊。
  
  應對方法：
  - 擴展訪問列表是防止DOS攻擊的有效工具，例如Show IP access-list。
  - 讓路由器具備TCP攔截功能，在對方發送數據流時可以很好的監控和攔截。
  - 防止DOS攻擊的根本是利用設備規則來合理的屏蔽持續的、高頻度的數據沖擊。
  - 對用戶操作進行記錄，高于一定頻率則禁封訪問ip。

• ARP攻擊

  通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷或中間人攻擊。
  
  應對方法：
  - 安裝ARP防火墻：360安全衛士（內置）、金山貝殼ARP專殺、金山衛士
  - 安裝專門的殺毒軟件: 利用局域網ARP欺騙檢測工具來確定ARP攻擊源，然后利用ARP專殺工具進行殺毒。
  - 通過“網絡參數”-“LAN口參數”來查找路由器的MAC地址和IP地址，在局域網中的每臺電腦中實現靜態ARP綁定。

• XSS攻擊

  攻擊者通過在鏈接中插入惡意代碼，用戶一旦點開鏈接，攻擊著能夠盜取用戶信息。攻擊著通常會用十六進制鏈接編碼，提高可信度。網站在接收到包含惡意代碼的請求之后會產成一個看似合法實則包含惡意代碼的頁面。
  
  應對方法：
  - 網站開發者：驗證所有輸入數據，檢測攻擊；對所有輸出數據進行適當的編碼。
  - 用戶：在瀏覽器設置中關閉JavaScript。如果使用IE瀏覽器，將安全級別設置到“高”。

• SQL注入

  通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，“#”、“’”、“–”、“’ or 1=1 ’ ” 等sql注入最常見。
  
  應對方法：
  - 在客戶端、服務器、數據庫均進行SQL銘感字符過濾；
  - 限制 Web 應用程序所用的數據庫訪問帳號權限。

• 域名攻擊

  通過攻擊域名解析服務器（DNS），或偽造域名解析服務器（DNS）的方法，把目標網站域名解析到錯誤的地址，使得域名被盜或DNS域名劫持。
  
  應對方法：
  - 選擇大型知名域名注冊商，填寫真實信息，鎖定域名禁止轉移；
  - 保證域名注冊郵箱安全；
  - 選擇大型穩定域名解析商：鎖定解析。

• 嗅探掃描

  網絡嗅探也叫網絡監聽，是將網絡上傳輸的數據未經用戶許可進行捕獲并進行分析的一種行為。許多網絡入侵往往伴隨著網絡嗅探行為，許多網絡攻擊也都借助于網絡嗅探，如著名的會話劫持。
  
  應對方法：
  - 探測網卡是否處于混雜模式；通過防火墻，實時觀看目前網絡帶寬的分布情況。
  - 數據加密技術：對帳號、口令和那些敏感私密數據進行加密傳輸,網站中使用https最好。
  - 使用安全拓撲結構，但花銷很大。

• 病毒攻擊

  黑客向宿主計算機中插入病毒，病毒通過復制對系統進行破壞，計算機病毒有許多感染方式，可以通過文件（宏病毒）、硬盤和網絡等。
  
  應對方法：
  - 開啟網絡防火墻；
  - 關閉不常用端口，只開啟平時使用的端口，減少病毒攻擊的可能；
  - 定時打補丁，修復計算機漏洞。

非持久型XSS漏洞主要有以下特征：

• 即時性，不經過服務器存儲，直接通過HTTP的GET和POST請求就能完成一次，拿到用戶隱私數據。

• 需要誘騙點擊,必須要通過用戶點擊鏈接才能發起。

• 反饋率低，所以較難發現和響應修復。

• 盜取用戶敏感保密信息。

• 由于XSS攻擊在用戶當前使用的應用程序中執行，用戶將會看到與其有關的個性化信息，如賬戶信息或歡迎回來消息，克隆的Web站點不會顯示個性化信息。

• 許多瀏覽器與安全防護軟件產品都內置釣魚攻擊過濾器，可阻止用戶訪問惡意的克隆站點。

• 釣魚攻擊中使用的克隆Web站點一經發現，就會立即被關閉。

真正的服務器不允許 ssh 直接連接，需要通過堡壘機進行連接，堡壘機只允許建立隧道，不能登錄系統所以設置步驟如下：

1. 安裝Xshell

   安裝xhsell，然后打開xshell,新建站點，在連接窗口，輸入堡壘機IP、port；

   

2. 身份驗證設置

   進入用戶身份驗證頁面連接方法選擇 Public Key,用戶名：堡壘機用戶名，用戶密鑰：本地私鑰；

   

3. 建立隧道

   在堡壘機屬性中的ssh中設置建立連接隧道；

   

4. 隧道建立成功

   隧道建立成功，如圖所示；

   

5. 連接內部服務器

   隧道建好后，就可以開始連接內部服務器了，新建站點，設置代理；

   

6. 連接成功

   連接成功后即可遠程連接內部服務器了。

   

合格的日志審計設備應具有以下功能：

• 日志監控能力：支持對采集器、采集器資產的實時狀態進行監控，支持查看CPU、磁盤、內存總量及當前使用情況，支持查看資產的概覽信息及資產關聯的事件分布。

• 日志采集功能：提供全面的日志采集能力，支持網絡安全設備、網絡設備、數據庫、windows/linux主機日志、web服務器日志、虛擬化平臺日志以及自定義等日志。提供多種的數據源管理功能：支持數據源的信息展示與管理、采集器的信息展示與管理以及agent的信息展示與管理；提供分布式外置采集器、Agent等多種日志采集方式；支持IPv4、IPv6日志采集、分析以及檢索查詢。

• 日志存儲功能：提供原始日志、范式化日志的存儲，可自定義存儲周期，支持FTP日志備份以及NFS網絡文件共享存儲等多種存儲擴展方式。

• 日志檢索功能：提供豐富靈活的日志查詢方式，支持全文、key-value、多kv布爾組合、括弧、正則、模糊等檢索；提供便捷的日志檢索操作，支持保存檢索、從已保存的檢索導入見多條件等。

• 日志分析功能：提供便捷的日志分析操作，支持對日志進行分組、分組查詢以及從葉子節點可直接查詢分析日志。

• 日志轉發功能：支持原始日志、范式化日志轉發。

• 日志事件告警功能：內置豐富的單源、多源事件關聯分析規則，支持自定義事件規則，可按照日志、字段布爾邏輯關系等方式自定義規則；支持時間的查詢、查詢結果統計以及統計結果的展示等；支持對告警規則的自定義，可設置針對事件的各種篩選規則、告警等級等。

• 日志報表管理功能：支持豐富的內置報表以及靈活的自定義報表模式，支持編輯報表的目錄接口、引用統計項、設置報表標題、展示頁眉和頁碼、報表配置基本內容（名稱、描述等）；支持實時報表、定時報表、周期性任務報表等方式；支持html，pdf，word格式的報表文件以及報表logo的靈活配置。

針對E-mail的攻擊有以下這些：

• 匿名轉發攻擊：現在因特網上有大量的匿名轉發者（或稱為匿名服務器），發送者將郵件發送給匿名轉發者，并告訴這個郵件希望發送給誰。該匿名轉發者刪去所有的返回地址信息，再郵發給真正的收件者，并將自己的地址作為返回地址插入郵件中。實現匿名的一種最簡單的方法，是簡單地改變電子郵件軟件里的發送者的名字。但這是一種表面現象，因為通過信息表頭中的其他信息。仍能夠跟蹤發送者。而讓自己的地址完全不出現在郵件中的唯一方法是讓其他人發送這個郵件，郵件中的發信地址就變成了轉發者的地址了。

• E-mail欺騙：E-mail欺騙行為表現形式可能各異，但原理相同，通常是欺騙用戶完成一個毀壞性操作或暴露敏感信息（如口令）的操作。E-mail假稱來自系統管理員，要求用戶將他們的口令改變為特定的字串，并威脅如果用戶不照此辦理，將關閉用戶的賬戶。

• E-mail轟炸：E-mail轟炸可被描述為不停地接到大量同一內容的E-mail。這里，主要的風險來自E-mail服務器。如果服務器接到很多的E-mail，服務器就會脫網，系統甚至可能崩潰。不能服務，可由不同原因引起，可能由于網絡連接超載，也可能由于缺少系統資源。因此，如果系統突然變得遲鈍，或E-mail速度大幅減慢，或不能收發E-mail，就應該小心。E-mail服務器可能正忙于處理極大數量的信息。

• E-mail炸彈：這種攻擊就是它使用最少的資源，做了超量的工作，有簡單的用戶界面以及嘗試著去隱蔽攻擊者的地址源頭。另一種防止E-mail炸彈的辦法方法是在路由的層次上，限制網絡的傳輸。或者編寫一個Script程序，每當E-mail連接到自己的郵件服務器的時候，它就“捕捉到”E-mail的地址。

• 垃圾郵件攻擊：垃圾郵件還沒有一個非常嚴格的定義。一般來說，凡是未經用戶許可就強行發送到用戶的郵箱中的任何電子郵件都是垃圾郵件。這種攻擊本身并沒有什么危害但一般會配合釣魚攻擊等來增強危害。

• 釣魚郵件：釣魚郵件指利用偽裝的電郵，欺騙收件人將賬號、口令等信息回復給指定的接收者；或引導收件人連接到特制的網頁，這些網頁通常會偽裝成和真實網站一樣，如銀行或理財的網頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取。

防止E-mail中毒預防措施有以下這些：

• 使用優秀的防毒軟件對電子郵件進行專門的保護：使用優秀的防毒軟件定期掃描所有的文件夾，無論是公共的還是私人的。選用的防毒軟件首先必須有能力發現并消除任何類型的病毒，無論這些病毒是隱藏在郵件文本內，還是躲在附件內。當然，有能力掃描壓縮文件也是必須的。其次，該防毒軟件還必須在收到郵件的同時對該郵件進行病毒掃描，并在每次打開、保存和發送后再次進行掃描。

• 使用防毒軟件同時保護客戶機和服務器：一方面，只有客戶機的防毒軟件才能訪問個人目錄，并且防止病毒從外部入侵。另一方面，只有服務器的防毒軟件才能進行全局監測和查殺病毒。這是防止病毒在整個系統中擴散的唯一途徑，也是阻止病毒入侵到本地郵件系統計算機的唯一方法。同時，在這里，也可以防止病毒通過郵件系統中擴散、在使用之前對進出系統的郵件進行掃描以及阻止病毒從沒有進行本地保護卻連到郵件系統的計算機上入侵。

• 使用特定的SMTP殺毒軟件：SMTP殺毒軟件具有獨特的功能，它能在那些從因特網上下載的受染郵件到達本地郵件服務器之前攔截它們，從而保持本地網絡的無毒狀態。

• 定期升級病毒庫：特別是防病毒軟件廠商提供的升級服務是非常周到的，其軟件病毒庫都處在時時更新狀態中，廠商會根據最近流行病毒的情況，隨時更新病毒代碼到病毒庫中，如果用戶不及時升級，就很難對新病毒進行查殺，這時就不能怪殺毒軟件找不到病毒了。

• 設置郵箱自動過濾功能：通過WEB上網收發郵件的朋友可以使用郵箱提供的自動過濾郵件功能，這樣不僅能夠防止垃圾郵件，還可以過濾掉一些帶病毒郵件不進行收件箱中，這樣也減少了病毒感染的機會。做法是，把陌生的郵件發送人地址列入自動過濾，以后就不會再有相同地址的郵件出現了。

• 不要輕易打開附件中的文檔文件：對方發送過來的電子E-mail信件及相關附件的文檔，首先要用“save as” 命令保存起來，待用殺毒軟件檢查無毒后才可以打開使用。

非持久型XSS漏洞主要有以下特征：

• 即時性，不經過服務器存儲，直接通過HTTP的GET和POST請求就能完成一次，拿到用戶隱私數據。

• 需要誘騙點擊,必須要通過用戶點擊鏈接才能發起。

• 反饋率低，所以較難發現和響應修復。

• 盜取用戶敏感保密信息。

• 由于XSS攻擊在用戶當前使用的應用程序中執行，用戶將會看到與其有關的個性化信息，如賬戶信息或歡迎回來消息，克隆的Web站點不會顯示個性化信息。

• 許多瀏覽器與安全防護軟件產品都內置釣魚攻擊過濾器，可阻止用戶訪問惡意的克隆站點。

• 釣魚攻擊中使用的克隆Web站點一經發現，就會立即被關閉。

• 物理安全策略:制定物理安全策略的目的是保護計算機系統、交換機、路由器、服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽等攻擊；驗證用戶身份和使用權限，防止用戶越權操作；確保網絡設備有一個良好的電磁兼容環境；建立完備的機房安全管理制度，防止非法人員進入網絡中心進行偷竊和破壞活動等。

• 訪問控制策略:訪問控制的主要任務是保證網絡資源不被非法使用和訪問。它通過減少用戶對資源的訪問來降低資源被攻擊的概率，以達到保護網絡系統安全的目的。訪問控制策略是保證網絡安全最重要的核心策略之一，是維護網絡系統安全、保護網絡資源的重要手段。

• 信息加密策略:信息加密的目的是要保護網絡系統中存儲的數據和在通信鏈路上傳輸的數據安全。網絡加密可以在數據鏈路層、網絡層和應用層實現，用戶可根據不同的需要，選擇適當的加密方式。加密是實現網絡安全的最有效的技術之一。

• 安全管理策略:在網絡安全中，加強網絡的安全管理，制定有關規章制度，對確保網絡的安全、可靠運行，起到十分有效的作用。使用計算機網絡的各企事業單位，應建立相應的網絡安全管理辦法，加強內部管理，提高整體網絡安全意識。網絡安全管理策略包括：確定安全管理等級和安全管理范圍，制定有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施等。

信息安全的目的就是要保證信息資產的三個元素：保密性，完整性和可用性（CIA），CIA這個也就是這三個元素開始為人們所關注的時間的先后。現在系統設計中所使用的安全模型的出現的順序也大概如此，先出現專門針對保密性的BLP模型，然后出現針對完整性的Biba模型、Clark-Wilson模型等，在訪問控制中所使用的訪問控制列表/矩陣（Access Control List(ACL)/Access Control Matrix(ACM)），在CISSP的CBK內容中也把它劃分到安全模型的范圍內。

• 保密性（confidentiality）：確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。

• 完整性（integrity）：確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統及信息進行不恰當的篡改，保持信息內、外部表示的一致性。

• 可用性（availability）：確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。

大數據基礎設施容易遭受以下威脅：

• 非授權訪問：即沒有預先經過同意，就使用網絡或計算機資源。例如，有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大使用權限，越權訪問信息。主要形式有假冒、身份攻擊、非法用戶進入網絡系統進行違法操作，以及合法用戶以未授權方式進行操作等；

• 信息泄露或丟失：包括數據在傳輸中泄漏或丟失（例如，利用電磁泄漏或搭線竊聽方式截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，竊取有用信息等）、在存儲介質中丟失或泄漏，以及“黑客”通過建立隱蔽隧道竊取敏感信息等；

• 網絡基礎設施傳輸過程中破壞數據完整性：大數據采用的分布式和虛擬化架構，意味著比傳統的基礎設施有更多的數據傳輸，大量數據在一個共享的系統里被集成和復制，當加密強度不夠的數據在傳輸時，攻擊者能通過實施嗅探、中間人攻擊、重放攻擊來竊取或篡改數據；

• 拒絕服務攻擊：即通過對網絡服務系統的不斷干擾，改變其正常的作業流程或執行無關程序，導致系統響應遲緩，影響合法用戶的正常使用，甚至使合法用戶遭到排斥，不能得到相應的服務；

• 網絡病毒傳播：即通過信息網絡傳播計算機病毒。針對虛擬化技術的安全漏洞攻擊，黑客可利用虛擬機管理系統自身的漏洞，入侵到宿主機或同個宿主機上的其他虛擬機。

針對網絡路由協議的攻擊有以下這些：

• 黑洞攻擊：黑洞攻擊指的是攻擊者廣播路由信息，或將所截獲的信息進行篡改，宣稱自己到達網絡中所有節點的距離最短或開銷最小。這樣的話，收到此信息的節點都會將數據包發往該節點，從而形成一個吸收數據的“黑洞”。

• 灰洞攻擊：灰洞是一種比黑洞更加危險的攻擊方式，它的行為介于正常節點和黑洞節點之間。有些情況下，它會正常地傳送數據，但在有些情況觸發下可能就會吸收數據包，產生黑洞效應。因此，它比黑洞攻擊更加危險，也更加難以檢測。

• 蟲洞攻擊：蟲洞攻擊也稱為隧道攻擊，兩個互相串謀的惡意節點建立一條私有信道，數據在一個惡意節點處進行封裝，通過私有信道傳遞給另一個惡意節點，解包后再將數據注入網絡。當惡意節點M收到源節點S發送的RREQ，它通過隧道把分組傳給惡意節點N，節點N再向下繼續把RREQ傳給目的節點。同樣地，節點N也可以把RREP通過隧道傳給源節點S。節點M和N假稱它們之間有一條最短路徑，欺騙源節點選擇它們控制的這條隧道路徑。蟲洞攻擊破壞了網絡中鄰居節點的完整性，使得實際距離在多跳以外的節點誤認為彼此相鄰，嚴重的情況下可能導致網絡中大部分的通信量被吸引到攻擊者所控制的鏈路上。

• 偽造路由錯誤攻擊：路由破壞中的偽造路由錯誤攻擊是指攻擊者向活動路由中的某個節點發送非法的路由錯誤消息報文，讓該節點誤以為這一活動路由斷裂并向源節點發送路由斷裂報文，使源節點重新發起路由發現過程，從而破壞活動路由上的通信。

• Rushing攻擊：在按需路由協議中，節點只會處理第一個到達的RREQ報文，而將其他相同的RREQ拋棄。Rushing攻擊正是利用了這個弱點。攻擊者比其他節點更快地轉發路由申請報文，使得其他節點首先收到它所轉發的報文，這有可能導致所有建立的路由都要通過攻擊者。

• 拒絕服務攻擊：攻擊者不斷向某個節點發送大量攜帶虛假地址或錯誤路徑的路由信息，其目的是為了占用帶寬等網絡資源，消耗被攻擊者的能源、內存和CPU處理時間，使正常的路由信息無法得到及時更新和有效處理，最終造成通信延時，而且還可能造成網絡分割或擁塞。這一攻擊方法具體可通過路由重播、睡眠剝奪攻擊等方式來實施。

• 偽造路由發現報文：惡意節點偽造路由信息并在移動Ad Hoc網絡中傳播，使網絡中的合法節點頻繁地執行無用的操作，以消耗網絡的帶寬、節點計算能力、電池資源等，影響整個網絡的性能。

• 路由表溢出攻擊：這種攻擊是迫使單個合法節點癱瘓的一種方法。惡意節點為了使某個合法節點不能正常執行路由協議，向這個節點發送大量偽造的路由請求，造成該節點的路由表溢出，從而使合法的路由請求包無法得到處理。該方法一般用于對關鍵節點的攻擊。

預防針對路由交換協議攻擊的方法有以下這些：

• 禁用一些不需要的服務項：無論是路由器、服務器和任務站上的不需要的服務全部都要禁用掉，不然有時候服務會被利用就不好了，這樣也可以幫助保護路由器的安全；

• 要及時更新路由器的操作系統：其實就是固件更新，因為路由器中也是包含有操作系統的，所以不定時的要修正一些編程錯誤或者軟件的瑕疵等缺點，所以及時給路由器更新系統是很重要的；

• 為無線網絡設置高強度密碼：無線被連接控制也是很危險的，所有我們在開啟無線的時候最好一WPA2的方式對無線設置高強度密碼，這樣可以就可以防止別人隨意的連接我們的無線網絡了；

• 修改路由器默認的登錄口令：我們的路由器的登錄口令都是默認的，比如TP-LINK的默認口令就是admin，所以這就會導致很容易讓黑客入侵并利用，所以建議在路由器設置里面修改一下默認口令可以在一定程度上增加我們路由器的安全；

• 將路由器管理后臺的地址修改：一般路由器管理后臺的地址為192.168.1.1，我們在設置中可以把地址修改成別的地址，這樣讓黑客連接路由器的后臺地址都找不到了更沒有途徑可以讓黑客入侵了。

提高云計算系統身份認證安全性方法有以下這些：

• 集中用戶認證：采用主流認證方式，如LDAP、數字證書認證、令牌卡認證、硬件信息綁定認證和生物特征認證，支持多因子認證；對不同類型和等級的系統、服務、端口采用相應等級的一種或多種組合認證方式，以滿足云計算系統中不同子系統的安全等級與成本及易用性的平衡要求；提供用戶訪問日志記錄，記錄用戶登錄信息，包括系統標識、登錄用戶、登錄時間、登錄IP、登錄終端等標識。

• 集中用戶授權：根據用戶、用戶組、用戶級別的定義來對云計算系統資源的訪問進行集中授權；采用集中授權或分級授權機制，支持細顆粒度授權策略。

• 訪問策略管理：采用用戶身份與終端綁定的策略、完整性認證檢查策略和口令策略進行身份認證；支持采用集中授權或分級授權策略進行授權；設置賬號安全策略，包括口令連續錯誤鎖定賬號、長期不用導致賬號失效、用戶賬號未退出時禁止重復登錄等。

• 集中賬號管理：根據“業務需要”原則，應至少采用口令、令牌（如Secure ID和證書）、生物特征等方式中的一種驗證訪問賬戶信息的人員身份；必須分配唯一的用戶賬號給每個有權訪問賬戶信息的系統用戶；必須對用戶密碼采取嚴格管理措施，降低用戶密碼遭竊取或泄露的風險；必須在用戶賬號登錄次數與時間上嚴格控制。

• 相關功能要求：支持對用戶認證信息、授權信息等詳細日志的集中存儲和查詢；支持對認證、授權等敏感數據的加密存儲及傳輸。

攻防對抗主要是三個層面的對抗：

• 信息對抗：信息對抗的目的是知己知彼，從兩方面進行：數據化和社會化。數據化指的是企業自身安全風險數據建設與分析，需要根據基線數據、拓撲數據、業務數據梳理清楚可能存在的攻擊路徑與攻擊面，針對性設防。攻擊者得手的原因往往并非我們沒有設防，而是不清楚存在哪些攻擊面與路徑。同時需要注意的是，這些數據是動態變化的，需要持續運營，對于業務環境變更帶來的新的攻擊面與路徑需要及時補防，往往紕漏也出現在對業務變更跟進不夠及時的情況下。

• 技術對抗：在攻防技術對抗方面，業界通常是一片悲觀情緒，認為防守方總是處于劣勢。在通用的安全技術方面確實如此，因為防守者面對的是一個開放性的安全防御難題，建設的防御體系往往如同“馬其諾防線”一樣被攻擊者繞開。

• 運營能力對抗：運營能力主要體現在兩方面，一是風險閉環，簡單說就是“一個問題不能犯兩次”，通過閉環運營讓企業自身安全能力不可逆地走向更好。二是執行力，因為涉及管理方面，就不細說了。