接下來換下一科資訊安全技術概論，首先先了解有那些攻擊手法吧

常見網路攻擊手法

網路釣魚

通常利用電子郵件、簡訊，利用信件內容夾帶惡意連結的網址，讓受害者點選到特定網站，誘騙獲取使用者輸入相關資料(帳密、信用卡等個人資料)。

防護

• 收到陌生簡訊時，需要提高警覺，不誤按連結
• 裝防毒軟體
• 不輕易提供個資

DDoS阻斷服務攻擊

利用大量的流量使目標伺服器或其周圍的基礎設施不堪重負，從而阻斷目標伺服器、服務或網路的正常流量，導致無法正常提供服務，可用性受到風險

緩解

主要是區分攻擊流量和正常流量，利用各種設備禁止異常IP

• 防火牆，限制異常IP位址發出的請求
• 黑洞引導，傳送至一個「黑洞」（空介面或不存在的電腦位址）
• WAF(Web application firewall，保護目標伺服器免受來自特定類型的惡意流量的攻擊

網頁注入攻擊

2021 OWASP Top 10，排行第三

注入攻擊，

• SQL注入
• 命令注入
• 跨站腳本
• XML外部實體注入(XXE)

預防方式

不要輕易信任使用者輸入

• 使用參數化
• 使用正規表示法(Regex)或者輸入參數限制
• 限制系統帳號權限，以防發生問題時，獲得過大的權限

勒索軟體

一種惡意軟體或惡意程式碼，透過破壞或封鎖重要資料或系統的存取權來威脅受害人，要求被害者付贖金，使用密碼學加解密演算法來加密檔案，使得檔案無法使用

預防

• 隨時做好資料備份及備援
• 不任意點開來路不明、惡意郵件

零時差惡意攻擊

利用已知的安全漏洞，但未修補程式的漏洞或尚未更新至安全版本的軟體

預防

• 定期接收新漏洞資訊
• 時常更新軟體

物聯網(loT)攻擊

現今家中的物聯網裝置越來越多，但往往忽略它的存在，缺乏一些資安意識，忘記更新安全版本或者維護時限過了進行汰換，或者使用預設密碼沒有變更密碼

預防

• 定期檢查修補程式和更新
• 變更預設密碼，使用強且不同的密碼

DNS攻擊

網域名稱系統（Domain Name System，DNS）是網際網路的一項服務，負責紀錄網域名稱(有特定意思，比較方便記)與IP(一串數字不容易記)的對應

這次去資安大會有聽到相關的，後面有時間再針對這個攻擊紀錄一篇學習筆記～記!!!

參考資料

• ITRI College+ 工研院產業學院課程
• 資訊安全技術概論
• 最常見的網路攻擊有哪些？ cisco
• 何謂網路釣魚
• 什麼是 DDoS 攻擊？
• 什麼是零時差漏洞 (Zero-Day Vulnerability)? 有哪些漏洞攻擊手法?
• 物聯網的安全問題，威脅和防禦

如果有任何錯誤的地方歡迎提出。

後記

可以觀看我們團隊的鐵人發文喔~

• 打造你的主題地圖！Mapbox 也可以！(ft. React)
• 新手進化日記，從React至Redux Saga