iot设备的网络信息安全风险受到的攻击形式有哪些

物联网的引入已经推动了多个行业的发展，例如农业、公用事业、制造业和零售业。
物联网解决方案有助于提高工厂和工作场所的生产率和效率。同样，由物联网驱动的医疗设备也导致了互联和主动的医疗保健方法的发展。
智慧城市还利用物联网来构建联网的交通信号灯和停车场，以减少交通流量不断增加的影响。
但是，物联网安全威胁的影响可能被证明是物联网实施中的主要问题。诸如DDoS、勒索软件和社会工程学之类的IoT安全威胁可用于窃取人员和组织的关键数据。攻击者可以利用IoT基础设施中的安全漏洞来执行复杂的网络攻击。

网络安全问题分为很多类，比如说系统安全，web安全，无线安全，物联网安全等等。就我个人学习而言，我是学习web安全的，所谓的web安全也就是我们常见的网站安全。
web安全：当网站源码的程序员对源码编写的时候，没有给赋值的参数进行过滤，那么会产生很多安全漏洞，比较常见的漏洞就是SQL注入漏洞，XSS漏洞，文件包含漏洞，越权漏洞，等等。其实这些漏洞很容易杜绝，但是程序员因为懒惰所以铸成大错，当然，在服务器配置方面也会出现漏洞，比如说常见的，目录遍历，敏感下载，文件上传，解析漏洞等等。都是因为服务器的配置不当而产生的，产生这些漏洞非常容易让攻击者获得想要的数据，比如说网站管理员的账号密码，如果漏洞严重，可以直接提权服务器，拿到服务器的shell权限。
系统安全：系统安全的漏洞一般都是权限类漏洞，用户没有及时更新补丁，或者开放了敏感端口，敏感服务，等等，都可以被黑客利用，详细的可以看看缓冲区溢出漏洞原理。
无线安全和物联网安全，这些的话，我也没有深究过，我们说的无线常用的就是wifl，或者说是无线设备，攻击者可以伪造页面，植入木马等等获取到连入恶意wifl的主机权限，物联网我们最常见的就是自动贩卖机或者是一些智能设备了，那么就自动贩卖机来说，自动贩卖机是一个沙盒系统，说到底他还是个系统，当用户通过某种方式获取到可以对系统进行 *** 作的时候，那岂不是可以任意的买东西，等等。
当然。网络安全不是一两句话就可以说完的，这里只是举几个常见的例子，具体不懂得可以追问，手工打字，望楼主采纳。

过去一年中，全球各地的物联网恶意攻击事件大幅增加，其中就包括了两次非常有名的DDoS攻击：一次发生在通过Akamai托管的“Krebs on Security”博客网站上，另一次则发生在为众多社交网站的关键互联网基础设施提供支持的Dyn DNS服务器上。
在这两个案例中，攻击者利用物联网设备（如IP监控摄像头、DVR以及其他与目标无关的消费类设备）创建了能够破坏目标（不相关）服务的僵尸网络。在DNS事件中，许多常用的互联网服务都遭到了破坏，包括Netflix、Spotify、Twitter、Tumblr等等。
可以看出，黑客在众多攻击事件中使用的套路是：将恶意代码写入通常位于网络附近或边缘位置的设备的非易失性存储中，令该设备被劫持成为恶意僵尸网络的一部分。而物联网边缘网络和设备之所以被黑客盯上，其原因就在于通常情况下，在企业认识到加密安全保护是新设计中稳健周全的基础支柱要素之前，大多数物联网设备都已经被部署完毕，这就让它们非常轻易地成为了黑客攻击入侵的目标。
更加聪明的深度防御
一般的物联网管理者，往往在软件安全方面投入了大量安全监管精力，但是却很容易忽略硬件选项。然而如果不同时考虑硬件和软件的话，则无法实现“自动防御故障”安全保护。
针对物联网领域的安全隐患，美光科技提出的策略是：设计具有相应的恶意软件抵御能力的设备，并使之具有适当级别的保护冗余，以防未来暴露出一些意想不到的安全漏洞。这也就是说，最好的深度防御其实是硬件和软件的强强联合。
美光科技认为，存储正是打通软件和硬件安全方案的关键点，因此其安全防御的思路，就是通过软件和硬件结合的存储级别的安全防护，来解决当前困扰物联网行业的安全难题。

答:ddos与pdos攻击的区别:Ddos是分布式拒绝服务，Pdos是永久拒绝服务

全称Distributed Denial of Service，中文意思为“分布式拒绝服务”，就是利用大量合法的分布式服务器对目标发送请求，从而导致正常合法用户无法获得服务。通俗点讲就是利用网络节点资源如：IDC服务器、个人PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求，从而导致服务器拥塞而无法对外提供正常服务，只能宣布game over。

永久拒绝服务攻击(PDoS)，也被称为phlashing，是一种严重破坏系统的攻击，需要更换或重新安装硬件。与分布式拒绝服务攻击不同，PDO利用的攻击安全漏洞允许远程管理受害者硬件管理接口中的网络硬件，如路由器、打印机或其他远程管理网络。攻击者利用这些漏洞用修改、损坏或有缺陷的固件映像替换设备固件，合法完成后称为闪存。因此，这种“砖块”装置在维修或更换之前，不可能用于原来的用途。

PDoS是一种纯粹的硬件目标攻击，与DDoS攻击中使用僵尸网络或根/虚拟服务器相比，速度更快，所需资源更少。由于这些特征以及在启用网络的嵌入式设备(NEED)上的安全漏洞的潜在和高概率，这种技术已经引起许多黑客团体的注意。

PhlashDance是Rich Smith(Hewlett-Packard系统安全实验室的员工)创建的工具，用于在2008年伦敦EUSecWest应用安全会议上检测和演示PDoS漏洞。

本文来源：

1、DDoS攻击

IT专家认为分布式拒绝服务攻击就是：大量数据包涌入受害者的网络，让有效请求无法通过。但这只是最基本的DDoS攻击形式，防御方面的改进已经迫使攻击者改变了他们的攻击方式。DDoS攻击使用的数据包越来越多，攻击流量最多达到100Gbps。

攻击者还开始针对基础设施的其他部分，其中企业域名服务的服务器的攻击者最喜欢的目标。因为当攻击者成功攻击DNS服务器后，客户将无法访问企业的服务。

大规模DDoS攻击通常会采用“低且慢”的攻击，这种攻击使用特制的请求来让web应用程序或设备来处理特定的服务，以快速消耗处理和内存资源。这种应用层攻击占所有攻击的四分之一。

此外，攻击者还会寻找目标网站的网址，然后呼叫该网站的后端数据库，对这些网页的频繁呼叫将很快消耗掉网站的资源。

在速度慢的攻击中，路由器将崩溃，因此，企业无法使用设备来阻止不好的流量。这些攻击还可以通过云DDoS防护服务。企业应该采用混合的方法，使用web应用程序防火墙、网络安全设备和内容分发网络来建立一个多层次的防御，以尽可能早地筛选出不需要的流量。

2、旧版本浏览器

每年涉及数百万美元的银行账户欺诈网络攻击都是利用浏览器漏洞，更常见的是，利用处理Oracle的Java和Adobe的Flash及Reader的浏览器插件。漏洞利用工具包汇聚了十几个针对各种易受攻击组件的漏洞利用，如果企业没有及时更新，攻击者将通过这种工具包迅速侵入企业的系统。

例如，最新版本的Blackhole漏洞利用工具包包含7个针对Java浏览器插件的漏洞利用，5个针对Adobe PDF Reader插件，2个针对Flash。

企业应该特别注意Oracle的Java插件，因为Java被广泛部署，但却鲜少修复。 企业应该利用补丁修复管理产品来阻止这种漏洞利用攻击。

3、不良网站

知名的合法网站开始成为攻击者的目标，因为攻击者可以利用用户对这些网站的信任。企业不可能阻止员工访问这些知名网站，并且企业的技术防御总是不够。

还有另一种更阴险的攻击--恶意广告攻击，这种攻击将恶意内容插入广告网络中，恶意广告可能只是偶尔出现在广告跳转中，这使这种攻击很难察觉。

同样的，企业应该采用多层次的防御方法，例如，安全代理服务器结合员工计算机上的反恶意软件保护来阻止已知威胁的执行。

4、移动应用程序

BYOD趋势导致企业内消费者设备激增，但移动应用程序安全性很差，这使企业数据处于危险之中。

60%的移动应用程序从设备获取独特的硬件信息并通过网络接口传出去，更糟糕的是，10%的应用程序没有安全地传输用户的登录凭证。

此外，支持很多移动应用的Web服务也很不安全。由于用户不喜欢输入密码来使用移动设备上的服务，移动应用经常使用没有过期的会话令牌。而攻击者可以在热点嗅探流量并获取这些令牌，从而访问用户的账户。

企业很难限制员工使用的应用程序，但企业可以限制员工放到其设备的数据以及限制进入企业的设备。

5、SQL注入

对于SQL注入攻击，最简单的办法就是检查所有用户提供的输入，以确保其有效性。

企业在修复SQL漏洞时，通常专注于他们的主要网站，而忽视了其他连接的网站，例如远程协作系统等。攻击者可以利用这些网站来感染员工的系统，然后侵入内部网络。

为了减少SQL注入问题的风险，企业应该选择自己的软件开发框架，只要开发人员坚持按照该框架来编程，并保持更新，他们将创造出安全的代码。

6、证书的危害

企业不能盲目地信任证书，攻击者可能使用偷来的证书创建假的网站和服务，或者使用这些证书来签署恶意代码，使这些代码看起来合法。

此外，糟糕的证书管理也会让企业付出巨大的代价。企业应该跟踪证书使用情况，并及时撤销问题证书。

7、跨站脚本问题

跨站脚本利用了浏览器对网站的信任，代码安全公司Veracode发现，超过70%的应用程序包含跨站脚本漏洞，这是影响商业开源和内部开发软件的首要漏洞问题。

企业可以利用自动代码检查工具来检测跨站脚本问题，企业还应该修改其开发流程，在将程序投入生产环境之前，检查程序的漏洞问题。

8、“物联网”漏洞

在物联网中，路由器、打印机、门锁等一切事物都通过互联网连接，在很多情况下，这些设备使用的是较旧版本的软件，而这通常很难更新。 攻击者很容易利用这些设备来侵入企业内部网络。

企业应该及时发现和禁用其环境中任何UPnP端点，并通过有效的工具来发现易受攻击的设备。

9、情报机器人

并非所有攻击的目的都是攻击企业的防御系统。自动web机器人可以收集你网页中的信息，从而让你的竞争对手更了解你的情况，但这并不会破坏你的网络。

企业可以利用web应用程序防火墙服务来判断哪些流量连接到良好的搜索索引机器人，而哪些连接到竞争对手的市场情报机器人或者假的谷歌机器人。这些服务可以防止企业信息流到竞争对手。

10、新技术 旧问题

不同企业可能会遇到不同的威胁，有网上业务的企业可能会有SQL注入和HTML5问题，有很多远程办公人员的企业可能会有移动问题。企业不应该试图将每一种威胁降到最低，而应该专注于最常被利用的漏洞，并解决漏洞问题。同时，培养开发人员采用安全做法，并让开发人员互相检查代码以减少漏洞。

扩展资料

方法技巧：

1、正确配置

多数防火墙损害是由于其错误配置造成的，而不是由防火墙的缺陷造成的。这至少说明一点，保障安全设备的正确配置很有意义。在防御自己的网络时，实施恰当的安全工具和策略是很重要的。因而，如果企业的设备过期了，遗漏了关键的补丁或没有配置，企业网络遭受暴露的可能性就很大了。

有人也许会说，我拥有强健的防火墙规则，我的网络固若金汤。但是，如果路由器运行在一个有严重漏洞的老 *** 作系统上，其中的安全漏洞随时可被利用，这不是相当于搂着一颗随时有可能发生爆炸的定时炸d吗

2、打破壁垒

企业的低效安全是企业文化问题的一个症状。IT和IT运营团队都要为管理、支持、保障越来越复杂的网络环境负责，并呼吁更多的资源参与到安全工作中。

随着工作日益增多，每一个部门都非常重视自己的业务应用，复杂的连通性需求也牵涉到多个方面，如应用程序的所有者和防火墙的管理员等。企业应当考虑打破无形的壁垒，让有关各方都能够相互有效交流，在不影响工作效率的前提下改善安全性。

3、过程自动化

如果你解决了上述两个问题，就需要自动化来强化安全和运营了。许多企业认为，在管理网络安全设备时，耗时过多、手工 *** 作、易于出错等是最大的困难。如果让人工去发现由于某个变化而影响的防火墙规则，这是相当耗时且易于出错的。

企业不妨借助自动化技术来保障准确性，减少风险，极大地减少处理变化时所花费的时间。这时，IT就可以更快捷地应对变化的业务需求。

4、减少复杂性

企业IT环境中往往有多种设备和策略都与关键业务应用紧密联系，因而在保障网络、应用程序、信息安全时，往往存在诸多困难。而且通常一种设备、策略或应用对另一种设备或策略、应用的影响并不明显。

例如，如果安全策略发生了变化，那么它对维持企业运行的关键业务应用会产生怎样的影响反过来也是一样，如果应用程序发生了变化，对安全策略和网络会有影响吗这不仅是一个安全问题(应当移除与退役应用程序相关的不再使用的规则)，而且还是一个保障业务高效运行的问题。

5、反思网络安全

在规划防御时，根据一个干净的没有遭受损害的网络来制定计划也为了一种标准。但是，如今恶意软件深藏不露，针对性攻击日益强烈，而且网络越来越开放，上述标准就成为了一种错误的假设。反思网络安全意味着IT要从一种不同的假设开始，要假定自己已经遭受了黑客攻击。IT应当重新规划企业防御，只有这样才能使安全状况焕然一新。

尽管IPv4中常见的攻击方式将在IPv6网络中失效，使来自网络层的一些安全攻击得以抑制，但采用IPv6并不意味着关紧了安全的大门，来自应用层的威胁将以新的方式出现。 总有人误认为“网络改成IPv6，安全问题就全面解决了”。诚然，IPv4中常见的一些攻击方式将在IPv6网络中失效，例如网络侦察、报头攻击、碎片攻击、假冒地址及蠕虫病毒等，但IPv6不仅不可能彻底解决所有安全问题，反而还会产生新的安全问题。
虽然与IPv4相比，IPv6在网络保密性、完整性方面做了更好的改进，在可控性和抗否认性方面有了新的保证，但目前多数网络攻击和威胁来自应用层而非网络层。因此，保护网络安全与信息安全，只靠一两项技术并不能实现，还需配合多种手段，诸如认证体系、加密体系、密钥分发体系、可信计算体系等。

安全新问题如影随形

IPv6是新的协议，在其发展过程中必定会产生一些新的安全问题，主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术，如SNMP（简单网络管理）等，不管是移植还是重建，其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟，因此缺乏对IPv6网络进行监测和管理的手段，对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、***、IDS（入侵检测系统）、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上，IPv6环境下的病毒已经出现。例如，有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能，所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战，目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外，DHCP（ Dynamic Host Configuration Protocol,动态主机配置协议）必须经过升级才可以支持IPv6地址，DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞，例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源，攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道，从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议，而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性，如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证，以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。
需要指出的是，虽然IPSec能够防止多种攻击，但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议，只能负责其下层的网络安全，不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头，例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础，同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现，IPv6报头采用基本报头+扩展报头链组成的形式，这种设计可以更方便地增添选项，以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit，使路由器可以加快对数据包的处理速度，网络转发效率得以提高，从而改善网络的整体吞吐量，使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段，其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum，中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制，链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算，增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中，有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说，这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系，网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务，那么就可以只给这台服务器分配一个本地网络地址，而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构，因此，IPv6接入路由器对用户进入时进行源地址检查，使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑，允许核心路由器根据需要，开启反向路由检测功能，防止源路由篡改和攻击。
IPv6固有的对身份验证的支持，以及对数据完整性和数据机密性的支持和改进，使得IPv6增强了防止未授权访问的能力，更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证，网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT（Network Address Translation，网络地址转换），允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接，系统都会在两端主机上对数据包进行 IPSec封装，中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护，使得敏感数据可以在IPv6 网络上安全地传递，因此，无需针对特别的网络应用部署ALG(应用层网关)，就可保证端到端的网络透明性，有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础，有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时，能进一步增强对DNS新的攻击方式的防护，例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等，这些攻击会控制DNS服务器，将合法网站的IP地址篡改为假冒、恶意网站的IP地址。

---