網(wǎng)路安全概論課件

1、第七章 網(wǎng)路安全概論本投影片（下稱教用資源）僅授權(quán)給採用教用資源相關(guān)之旗標(biāo)書籍為教科書之授課老師（下稱老師）專用，老師為教學(xué)使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內(nèi)容之80%）以製作為輔助教學(xué)之教學(xué)投影片，並於授課時(shí)搭配旗標(biāo)書籍公開播放，但不得為網(wǎng)際網(wǎng)路公開傳輸之遠(yuǎn)距教學(xué)、網(wǎng)路教學(xué)等之使用；除此之外，老師不得再授權(quán)予任何第三人使用，並不得將依此授權(quán)所製作之教學(xué)投影片之相關(guān)著作物移作他用。2第七章 網(wǎng)路安全概論本章主要內(nèi)容介紹網(wǎng)路安全概念與發(fā)展趨勢(shì)。首先介紹電腦網(wǎng)路之基本架構(gòu)、網(wǎng)路協(xié)定，並介紹網(wǎng)路的安全威脅，以及在架構(gòu)上需要如何防範(fàn)，然後說明網(wǎng)路安全的趨勢(shì)，最後介紹

2、網(wǎng)路攻擊的技術(shù)，讓讀者由淺入深，了解網(wǎng)路安全相關(guān)議題。電腦網(wǎng)路簡介網(wǎng)路安全威脅網(wǎng)路安全概念網(wǎng)路安全發(fā)展趨勢(shì)網(wǎng)路攻擊技術(shù)7.1電腦網(wǎng)路簡介今日的世界，電腦網(wǎng)路與生活密不可分。電腦網(wǎng)路可以由兩臺(tái)電腦連線組成，也可以由上千臺(tái)電腦組成。我們通常稱辦公區(qū)域電腦組成的網(wǎng)路為 區(qū)域網(wǎng)路 (Local Area Network，LAN )；由區(qū)域網(wǎng)路再延伸出去組成範(fàn)圍更大的網(wǎng)路，比如整個(gè)城市甚至整個(gè)國家，這樣的網(wǎng)路稱為 廣域網(wǎng)路 (Wide Area Network， WAN)。電腦網(wǎng)路 ( Computer Network ) 表示許多電腦之間連接形成通路，建立資料傳輸?shù)耐ǖ?。而各個(gè)獨(dú)立的小網(wǎng)路再互相連接形

3、成大網(wǎng)路 ( internet network ) ，簡稱 internet 。第一個(gè)字母用小寫表示互連的網(wǎng)路，用大寫的 Internet 表示現(xiàn)行的網(wǎng)際網(wǎng)路。電腦網(wǎng)路可看成將分散於各地的電腦主機(jī)(Hosts)相互連接，彼此間可以互傳訊息或共享資源的網(wǎng)路架構(gòu)。Internet 是全球性電腦網(wǎng)路，連接全球網(wǎng)路，形成一個(gè)大網(wǎng)路，包含無數(shù)的電腦組成之 WAN 與 LAN。 而 WWW ( World Wide Web 或簡稱 Web）是 Internet 的一種應(yīng)用，可提供圖形化 ( Graphic User Interface，GUI )、容易瀏覽的介面。Web 可以用網(wǎng)頁互相連結(jié)，簡易將文字、圖

4、像、動(dòng)畫、聲音等所有的物件連結(jié)。企業(yè)組織獨(dú)立的一個(gè)網(wǎng)路架構(gòu)稱為企業(yè)內(nèi)網(wǎng)路 ( Intranet )，Intranet 是相對(duì)於 Internet 產(chǎn)生的概念。Intranet 是指Internet 網(wǎng)際網(wǎng)路無法存取的網(wǎng)路段，通常安裝在企業(yè)或組織內(nèi)部，使用 Internet 通訊標(biāo)準(zhǔn)，在企業(yè)內(nèi)使用防火牆及網(wǎng)路位址轉(zhuǎn)換 ( Network Address Translation，NAT ) 與 Internet 連接。圖 7-1 表示簡單的網(wǎng)路架構(gòu)。圖 7-1 網(wǎng)路架構(gòu)7.1.1網(wǎng)路協(xié)定電腦網(wǎng)路中，電腦之間的互通協(xié)定非常複雜，藉由抽象的階層概念，可使系統(tǒng)發(fā)展變得簡易。為提供良好的互通性，構(gòu)成網(wǎng)路分

5、層的抽象層稱為協(xié)定 Protocol ，是電腦之間彼此交換資訊的規(guī)定。電腦網(wǎng)路必須提供互通的協(xié)定，其協(xié)定要符合效益、合宜與穩(wěn)定，為了處理協(xié)定的複雜工作，發(fā)展出基本設(shè)計(jì)的建構(gòu)稱為 網(wǎng)路協(xié)定架構(gòu) 。主要的網(wǎng)路協(xié)定架構(gòu)有兩種，一種是 OSI協(xié)定架構(gòu) ( 或稱為 OSI 架構(gòu) )，另一種是DoD協(xié)定架構(gòu) ( 網(wǎng)際網(wǎng)路協(xié)定架構(gòu) ) 。OSI 協(xié)定架構(gòu)除了少數(shù)特殊系統(tǒng)使用之外，網(wǎng)際網(wǎng)路協(xié)定架構(gòu)已被廣泛使用。OSI協(xié)定架構(gòu)國際標(biāo)準(zhǔn)組織 ( International Organization for Standardization，ISO ) 是第一個(gè)正式定義方法以連接電腦之組織，該組織所提出的架構(gòu)，稱為開

6、放系統(tǒng)連接 ( Open System Interconnection， OSI ) 協(xié)定架構(gòu)。 OSI協(xié)定架構(gòu)將網(wǎng)路協(xié)定依功能分為七個(gè)層次，如圖 7-2所示。，國際電信團(tuán)體 ITU ( International Telecommunication Union， ITU ) 依據(jù)此模式，制定一系列協(xié)定規(guī)格，此系列被稱為 X dot 系列，如 X.25、X.400 、 或 X.500 等。以下簡要介紹OSI協(xié)定架構(gòu)。最底層是實(shí)體層 ( Physical Layer )，處理通訊連結(jié)位元傳輸。其上一層是資料鏈結(jié)層 ( Data Link Layer )， 將資料收集起來，成為一個(gè)資料框 ( Fr

7、ame )，網(wǎng)路卡將通訊連結(jié)位元組合成資料框，上送至主機(jī)。再往上一層是網(wǎng)路層 ( Network Layer )，處理資料稱為封包 ( Packet )。網(wǎng)路中，每一網(wǎng)路節(jié)點(diǎn)路由器或交換器，都有此三層之架構(gòu)。第四層是傳輸層 ( Transport Layer )，建構(gòu)程序間之通道，通常在終端機(jī)執(zhí)行，不是在路由器或交換器，此層的資料單元稱為訊息 (Message )。第五層是會(huì)議層 ( Session Layer ) ，提供一個(gè)名稱以結(jié)合屬於相同的應(yīng)用程式，但可能不屬於同一資料流，如視訊傳輸中，影像與聲音資料流。第六層是展現(xiàn)層 ( Presentation Layer ) ，負(fù)責(zé)同層協(xié)定資料交換

8、格式。最上層是應(yīng)用層 ( Application Layer ) ，定義應(yīng)用程式間相互運(yùn)作之協(xié)定；如 FTP 傳輸協(xié)定，定義檔案傳輸?shù)母黜?xiàng)命令之執(zhí)行協(xié)定。圖 7-2 OSI 協(xié)定架構(gòu)DoD協(xié)定架構(gòu)DoD 協(xié)定架構(gòu)是網(wǎng)際網(wǎng)路協(xié)定架構(gòu)，主有四層，強(qiáng)調(diào)以TCP/IP為主的網(wǎng)際網(wǎng)路。DoD 協(xié)定架構(gòu)是從較早的分封交換網(wǎng)路 ARPANET 為基礎(chǔ)發(fā)展出來，該協(xié)定架構(gòu)由美國國防部 (Department of Defense， DoD ) 提供資金發(fā)展。ARPANET 早在 OSI 協(xié)定架構(gòu)出現(xiàn)之前即已開始發(fā)展，在發(fā)展過程中並獲取 OSI 架構(gòu)的經(jīng)驗(yàn)，最後發(fā)展出網(wǎng)際網(wǎng)路協(xié)定架構(gòu)。有別於OSI架構(gòu)，網(wǎng)際網(wǎng)路

9、協(xié)定架構(gòu)使用四層架構(gòu)模型。最底層為鏈結(jié)層 (Link Layer)，其協(xié)定由硬體或驅(qū)動(dòng)程式軟體組成。第二層為網(wǎng)路層 (Network Layer) 或 IP 層 ( Internet Protocol Layer )。第三層為傳輸層(Transport Layer)，包含兩個(gè)主要協(xié)定，TCP (Transmission Control Protocol ) 和 UDP (User Datagram Protocol )；TCP 與 UDP 提供兩個(gè)網(wǎng)路邏輯通道，TCP 提供可靠位元組資料流通道，UDP 提供非可靠位元組資料通道。傳輸層之上為應(yīng)用層(Application Layer)，執(zhí)行應(yīng)用

10、程協(xié)定，如 FTP、Telnet、Http、SMTP ( Simple Mail Transfer Protocol )，使應(yīng)用程式可以互相溝通。圖 7-3 表示DoD 協(xié)定架構(gòu)。圖 7-3 DoD 協(xié)定架構(gòu)7.1.2網(wǎng)路 IP 定址網(wǎng)路連接層是建構(gòu)網(wǎng)路之基礎(chǔ)，定義網(wǎng)路上每一節(jié)點(diǎn)都有一個(gè) IP 位址 ( Internet Address ) ，是一種在Internet上給主機(jī)定址的方式，常見的主機(jī)定址方式是 IPv4 定址模式，IPv4 意義為 IP version 4。近年來，因?yàn)榫W(wǎng)際網(wǎng)路蓬勃發(fā)展，新規(guī)範(fàn) IPv6 定址模式以因應(yīng)網(wǎng)路定址資源之不足。在IPv4 中，規(guī)範(fàn)節(jié)點(diǎn)的IP位址由 32

11、個(gè)位元組成，在理論上可以提供42億個(gè)IP位址。但由於早期編碼上的問題，許多位址實(shí)際上不能使用，加上網(wǎng)際網(wǎng)路的快速發(fā)展，許多專家擔(dān)心IP位址不夠用，所以在IPv6新版本定址方式，採用 128 位元的定址方式。在IPv4 中，32個(gè)位元的IP位址，在書寫表達(dá)上，使用四個(gè)十進(jìn)位數(shù)字，以小數(shù)點(diǎn)分開書寫；換言之，使用XXX . XXX . XXX . XXX 的形式表示，每個(gè) XXX 代表小於或等於 255 的十進(jìn)位數(shù)字，例如 172 . 87. 23 . 101。參考圖 7-4 IPv4 定址方式。圖 7-4 IPv4 定址方式7.1.3傳輸層網(wǎng)路協(xié)定傳輸層的協(xié)定能夠協(xié)助解決諸如：資料是否已經(jīng)到達(dá)目的

12、地、資料是否按照正確的順序到達(dá)，等可靠性問題。在TCP/IP協(xié)定組合中，傳輸協(xié)定也包括所給資料應(yīng)該送給那個(gè)應(yīng)用程序。連接埠管理、流量控制、錯(cuò)誤處理、與資料重送皆是傳輸層的工作項(xiàng)目。傳輸層的兩個(gè)主要協(xié)定為 TCP 與 UDP，在協(xié)定組合一般表示為 TCP/IP 或 UDP/IP。TCP/IP 協(xié)定為現(xiàn)今網(wǎng)際網(wǎng)路的基礎(chǔ)。UDP UDP ( User Datagram Protocol ) 是一個(gè)相當(dāng)簡單的協(xié)定，僅提供連接埠 (Port) 處理的功能。UDP 表頭記錄封包來源端與目的端的連接埠資訊，讓封包能夠正確地送達(dá)目的端的應(yīng)用程式。UDP 是以非連線式 ( Non-connection Orie

13、nted ) 來傳送封包，傳送者將資料封裝，傳出至目的端之前，不必與對(duì)方連線，即可將資料送出，所以送出端無法確知目的端是否收到資料。使用UDP 協(xié)定的主要原因是節(jié)省電腦資源，例如：在網(wǎng)域名稱系統(tǒng)DNS， DNS 全名是Domain Name System。透過DNS 系統(tǒng)，我們可以由一部機(jī)器的Domain Name 查詢其IP位址，反之也可以由機(jī)器的IP位址，查詢它的Domain Name。 DNS 伺服器要處理來自用戶端的大量詢問，若是使用 TCP 協(xié)定將會(huì)耗費(fèi)許多電腦資源，因此使用資源需求較低的 UDP協(xié)定。TCPTCP 為傳輸層的協(xié)定，除了連接埠的功能外， 更重要的是 TCP 提供了一種

14、可靠的傳送機(jī)制，當(dāng) TCP 來源端在傳送資料時(shí)，透過與目的端的相互溝通， 可以確認(rèn)目的端已經(jīng)收到所傳送的資料。所以 TCP 為一種連線導(dǎo)向式 (Connection Oriented) 的通訊協(xié)定，先建立連線才開始傳遞封包，並採用三向交握(Three-way Handshaking)式建立連線。由使用者端送出SYN 信號(hào)，伺服器接收訊號(hào)後，回應(yīng) SYN/ACK 信號(hào)，接著使用者在送出 ACK 信號(hào)，才開始傳送資料，如圖 7-5 TCP 三向交握建立連線。連接埠 (Port ) 網(wǎng)路上每一部電腦至少有一個(gè)IP位址，但很多不同種類的訊息會(huì)送到此部電腦來，因此需要辨識(shí)訊息服務(wù)的種類，以分派給適當(dāng)?shù)姆?/p>

15、務(wù)程式去處理。TCP 與 UDP 就是利用辨識(shí)碼，即 連接埠 ，作為辨識(shí)。每一種服務(wù)有一個(gè)指定的連接埠，以服務(wù)相對(duì)的協(xié)定；如果一部電腦同時(shí)提供網(wǎng)站 (Web) 服務(wù)與FTP 檔案服務(wù)，傳送至該電腦的TCP/IP 訊息就有連接埠，Web 服務(wù)的連接埠是 80，F(xiàn)TP 檔案服務(wù)的連接埠是 20 與 21。圖 7-5 TCP 三向交握建立連線ICMP ( Internet Control Message Protocol )複雜的網(wǎng)路環(huán)境中，可能會(huì)有線路斷線、設(shè)備失效、負(fù)載過高等問題，需要有一套機(jī)制來偵測或通知可能發(fā)生的各式各樣的狀況，這就是 ICMP 協(xié)定的目的。網(wǎng)路指令中的Ping 與 Trac

16、eroute 這兩個(gè)工具，其底層是 ICMP 協(xié)定。 ICMP 與 IP雖然是屬同層的網(wǎng)路協(xié)定，但在使用上，其傳送封包需要使用網(wǎng)路 IP。圖 7-7 Ping 工具與回應(yīng)畫面7.1.4應(yīng)用程式介面網(wǎng)路協(xié)定架構(gòu)是建構(gòu)電腦網(wǎng)路的基礎(chǔ)，今日的網(wǎng)際網(wǎng)路已連接全世界將近三千萬臺(tái)的電腦，使用人口超過十億人。各種網(wǎng)路應(yīng)用程式是透過網(wǎng)路應(yīng)用程式介面 ( Application Interface，API ) 與底層網(wǎng)路協(xié)定溝通。應(yīng)用程式介面使用一個(gè)抽象的概念稱為 插槽 ( Socket )，插槽是應(yīng)用程式連接到網(wǎng)路上的一個(gè)入口點(diǎn)，透過插槽可以到網(wǎng)路上收送訊息。插槽透過應(yīng)用程式介面(API)，是應(yīng)用程式與網(wǎng)路之

17、間的聯(lián)繫口，並提供標(biāo)準(zhǔn)的函式以符合不同的網(wǎng)路規(guī)格。7.2網(wǎng)路安全威脅網(wǎng)路安全面臨的威脅，主要有三種來源，外部入侵者的威脅 ( 如電腦駭客 )、內(nèi)部人員的威脅 ( 如員工的惡意破壞 )、與惡意訊息的傳播(如病毒程式)。網(wǎng)路安全威脅包含網(wǎng)路傳輸與協(xié)定的各個(gè)層面，威脅來源針對(duì)系統(tǒng)的弱點(diǎn)進(jìn)行破壞系統(tǒng)安全，降低系統(tǒng)安全防衛(wèi)能力。站在系統(tǒng)防衛(wèi)的立場，必須針對(duì)系統(tǒng)攻擊模式作分析，加強(qiáng)系統(tǒng)弱點(diǎn)掃描與補(bǔ)強(qiáng)，以減少損失。網(wǎng)路安全威脅除技術(shù)之攻擊模式，還包含網(wǎng)路的實(shí)體破壞，或錯(cuò)誤的安全政策和不當(dāng)?shù)陌踩芾淼葐栴}。本章後面的內(nèi)容主要針對(duì)技術(shù)層面上的攻擊模式作探討。攻擊模式分為主動(dòng)式攻擊 ( Active Attack

18、s ) 和被動(dòng)式攻擊 ( Passive Attacks )。主動(dòng)式攻擊企圖破壞系統(tǒng)的架構(gòu)、功能與資源或竊取系統(tǒng)資料；被動(dòng)式攻擊企圖竊取資訊，但以不影響系統(tǒng)運(yùn)作為原則。主動(dòng)式攻擊分為四類，偽裝攻擊（Masquerade）、修改訊息內(nèi)容（Modification of Message Content）、重送攻擊（Replay）、以及阻斷服務(wù)（Denial of Service，DoS）等。被動(dòng)式攻擊則企圖竊取資訊，或監(jiān)控資訊傳輸，攻擊者不會(huì)變更任何資料，因此被動(dòng)式攻擊偵測起來很困難；將訊息加密或?qū)⒂嵪㈦[藏後再傳輸，是防範(fàn)被動(dòng)式攻擊的方法之一，參考表 7-1 網(wǎng)路攻擊模式。偽裝攻擊，乃攻擊者利用合

19、法使用者的身份與權(quán)限進(jìn)入系統(tǒng)，企圖破壞系統(tǒng)或竊取系統(tǒng)資料，造成系統(tǒng)的損失；其對(duì)治方法為加強(qiáng)系統(tǒng)的身分驗(yàn)證機(jī)制。最常見的偽裝攻擊，是利用他人的帳號(hào)與密碼進(jìn)入系統(tǒng)。因此密碼的管理非常重要，密碼需要使用亂數(shù)，密碼不要書寫在任何地方，或使用較長的字串當(dāng)密碼等機(jī)制，都可以提高使用者身分的驗(yàn)證性。安全性要求較高的密碼至少需要 6 位數(shù)以上，其猜中的機(jī)率小於百萬分之一，修改訊息內(nèi)容攻擊，係竄改傳輸中或儲(chǔ)存於系統(tǒng)的資料，使系統(tǒng)接收錯(cuò)誤訊息，以破壞訊息的完整性，企圖改變系統(tǒng)功能或安全狀態(tài)。其對(duì)治方法為提昇訊息的完整性機(jī)制，以防止訊息被惡意修改。 重送攻擊，通常需要運(yùn)用多種攻擊模式之組合，如偽裝使用者身分進(jìn)入系統(tǒng)

20、，修改系統(tǒng)訊息，並重新送出，以達(dá)到攻擊之目的。阻斷服務(wù)攻擊，以阻斷或減緩網(wǎng)路設(shè)備之正常運(yùn)作為主要目的，阻斷服務(wù)攻擊對(duì)於電子商場等服務(wù)常會(huì)造成重大損失。典型的例子是，2000年2月著名的入口網(wǎng)站 Yahoo 與 eBay 遭受阻斷服務(wù)攻擊，無法提供正常服務(wù)，商譽(yù)與業(yè)績受到重大損失。網(wǎng)路攻擊模式主動(dòng)攻擊偽裝攻擊（Masquerade）修改訊息內(nèi)容（Modification of Message Content）重送攻擊（Replay）阻斷服務(wù)（Denial of Service，DoS）被動(dòng)攻擊被動(dòng)式攻擊企圖竊取資訊，或者監(jiān)控資訊傳輸，攻擊者不會(huì)變更任何資料。表 7-1 網(wǎng)路攻擊模式 7.2.1阻

21、絕服務(wù)攻擊 阻絕服務(wù)(Denial of Service，DoS)攻擊，廣義而言是指任何導(dǎo)致伺服器不能正常提供服務(wù)的攻擊，分散式阻斷服務(wù)攻擊(Distributed Denial of Service，DDoS)是攻擊端分散在很多的主機(jī)上，同時(shí)對(duì)目標(biāo)伺服器發(fā)動(dòng)阻絕服務(wù)攻擊。 阻斷服務(wù)的攻擊方式，乃送出大量的封包使網(wǎng)路雍塞，或直接攻擊受害的伺服器，將其記憶體或硬碟空間佔(zhàn)滿。常見的攻擊手法，有針對(duì)TCP協(xié)定的攻擊、UDP Flood的攻擊、分散式阻斷服務(wù)攻擊(DDoS)、以及ICMP阻絕服務(wù)攻擊等。 TCP SYN Flood攻擊，是利用三向交握的弱點(diǎn)，惡意地送出許多TCP SYN封包，但後續(xù)卻沒

22、有回覆確認(rèn)(ACK)封包。伺服器端會(huì)等待使用者端的回應(yīng)，累積很多等待回應(yīng)的程式，使伺服器資源耗盡，直至伺服器無法運(yùn)作。圖 7-6 表示TCP SYN Flood 攻擊。圖 7-8 TCP SYN Flood 攻擊防範(fàn)TCP SYN Flood 攻擊的對(duì)策，關(guān)閉不必要的服務(wù)，如發(fā)現(xiàn)有特定 IP 來源，持續(xù)使用此攻擊，對(duì)此特定來源的IP 送出之 TCP 連線要求，拒絕其連線請(qǐng)求。此外，限制同時(shí)打開的Syn連接數(shù)目，縮短Syn連接的time out時(shí)間，及時(shí)更新系統(tǒng)Patch等，都是解決問題的對(duì)策。UDP Flood的攻擊，是利用UDP之非連接導(dǎo)向的弱點(diǎn)，傳送任一埠號(hào)(Port)的UDP封包到被攻擊

23、端，使伺服器處理此訊息而耗盡資源。圖 7-9 UDP Flood 攻擊為避免自己的電腦被安裝DDoS 的受控制程式，系統(tǒng)管理者必須經(jīng)常注意系統(tǒng)漏洞及修補(bǔ) ( patch ) 漏洞，經(jīng)常性的注意及掃瞄系統(tǒng)有無異常現(xiàn)象，確保自己的機(jī)器不被植入DDoS 的受控制程式。圖 7-10 DDoS 攻擊示意圖Ping of Death攻擊Ping是一個(gè)電腦網(wǎng)路工具，用來測試特定主機(jī)IP是否存在。Ping的運(yùn)作原理是對(duì)目標(biāo)主機(jī)傳出一個(gè) ICMP (Internet Control Message Protocol ) echo的要求封包，當(dāng)接收到echo回應(yīng)封包時(shí)，ICMP 就是一個(gè) 錯(cuò)誤偵測與回報(bào)機(jī)制，其目

24、的就是能夠檢測網(wǎng)路的連線狀況。程式會(huì)按時(shí)間和反應(yīng)成功的次數(shù)，估計(jì)失去封包率（丟包率）和封包來回時(shí)間。圖 7-9 表示Ping 工具與回應(yīng)畫面。分散式阻斷服務(wù)攻擊DoS是一對(duì)一的網(wǎng)路攻擊方式，攻擊者藉由不當(dāng)方式佔(zhàn)用系統(tǒng)資源，達(dá)到干擾正常系統(tǒng)運(yùn)作的目的。不同於一般網(wǎng)路入侵，DoS 不一定需要取得系統(tǒng)使用的權(quán)限，即可達(dá)到攻擊的目的。DDoS是DoS的一種，攻擊的模式不是一對(duì)一，而是以多對(duì)一的方式，同時(shí)對(duì)一個(gè)目標(biāo)發(fā)動(dòng)攻擊，而這些發(fā)動(dòng)攻擊的節(jié)點(diǎn)，是已經(jīng)被入侵而不自知的受控制電腦。由於這種攻擊方式以遠(yuǎn)端遙控方式，因此不僅難以防範(fàn)，追查更是不易。圖 7-8 表示DDoS 攻擊示意圖。Smurf 攻擊Smur

25、f 攻擊是直接對(duì)網(wǎng)路進(jìn)行廣播，造成網(wǎng)路很快地充滿垃圾封包而中斷。Smurf攻擊者不斷偽造其它電腦的ICMP要求封包並送給受攻擊電腦，受攻擊電腦會(huì)回應(yīng)給其它電腦，在網(wǎng)路上塞滿ICMP的要求封包與回應(yīng)封包而造成網(wǎng)路中斷。圖 7-10 Smurf 攻擊 防禦Smurf攻擊的對(duì)策，關(guān)閉ICMP Echo Reply的功能，對(duì)於 ICMP echo 之查詢不回應(yīng)，在網(wǎng)路不會(huì)有大量 ICMP echo 回應(yīng)訊息。7.2.2 緩衝區(qū)溢位攻擊緩衝區(qū)(Buffer)是指在記憶體中宣告一個(gè)區(qū)域來暫時(shí)存放使用者的資料，若使用者在使用緩衝區(qū)時(shí)，沒有注意其範(fàn)圍限制，可能造成緩衝區(qū)溢位(Buffer Overflow)的

26、問題，資料溢位後會(huì)覆蓋到其他的資料，造成錯(cuò)誤。在電腦系統(tǒng)中，記憶體配置有堆疊 ( Stack ) 與堆積 ( Heap )，系統(tǒng)程式運(yùn)作的參數(shù)，暫存記憶、副程式呼叫、中斷資料等皆存在堆疊 ( Stack ) 與堆積 ( Heap ) 中。造成堆疊溢位是較常見的攻擊法，利用程式語言本身的漏洞 (例如：C語言的指標(biāo))，程式未對(duì)存入堆疊的變數(shù)做範(fàn)圍檢查，輸入大量資料到堆疊中，造成區(qū)段錯(cuò)誤。堆疊溢位攻擊的影響，系統(tǒng)將堆疊中的內(nèi)容當(dāng)成程式碼執(zhí)行，可以改變程式的執(zhí)行流程，駭客將後門程式填入堆疊中以入侵系統(tǒng)。參考圖 7-11 記憶體配置。圖 7-11 記憶體配置7.3網(wǎng)路安全概念網(wǎng)路安全概念，主要依照安全三

27、原則：機(jī)密性( Confidentiality)、完整性( Integrity)與可用性( Availability)，之外還需加上認(rèn)證性 ( Authentication) 與存取控制 ( Access Control )。ITU-T ( International Telecommunication Union - Telecommunication Standardization Sector) 是網(wǎng)路通訊的國際標(biāo)準(zhǔn)組織，定義一份X.800 OSI安全架構(gòu)的建議書，從三個(gè)角度，說明網(wǎng)路的安全服務(wù)、安全威脅與安全攻擊等重要觀念。OSI 安全架構(gòu)建議提供五種安全服務(wù)：驗(yàn)證性、存取控制、完整性

28、、機(jī)密性與可用性，以對(duì)付網(wǎng)路的安全威脅，並提供對(duì)應(yīng)的安全機(jī)制加以防範(fàn)，如表 7-2。安全服務(wù)安全威脅安全機(jī)制驗(yàn)證性冒名傳送(偽裝攻擊)使用基碼( MAC)或簽章技術(shù)存取控制冒名登入系統(tǒng)(偽裝攻擊)使用權(quán)限管理與密碼，其它驗(yàn)證技術(shù)、 IC 卡、或指紋技術(shù)等完整性竄改(修改訊息內(nèi)容攻擊)訊息重送(重送攻擊)使用雜湊函數(shù)，或數(shù)位簽章技術(shù)機(jī)密性截聽(被動(dòng)攻擊)使用資料加密技術(shù)，如 3DES 或 AES等加密方法 可用性無法登入系統(tǒng)(阻斷服務(wù))使用防火牆與網(wǎng)路技術(shù)表 7-2 安全服務(wù)、安全威脅與安全機(jī)制所謂道高一尺，魔高一丈，網(wǎng)路攻擊者，其行為模式難以預(yù)測，可使用的網(wǎng)路攻擊技術(shù)日新月異，網(wǎng)路安全的防範(fàn)更

29、顯困難，常使系統(tǒng)造成重大損失。在技術(shù)上，選擇一個(gè)夠強(qiáng)的密碼、使用加密技術(shù)傳輸資料、或建置防火牆等，皆有助於網(wǎng)路安全之提升。站在網(wǎng)路管理者的立場，需要隨時(shí)注意電腦危機(jī)處理中心 ( Computer Emergency Response Team，CERT ) 或臺(tái)灣電腦危機(jī)處理中心 ( TWCERT ) 的公告，隨時(shí)對(duì)系統(tǒng)進(jìn)行補(bǔ)釘程式 (Patch) 之下載與安裝，對(duì)各項(xiàng)紀(jì)錄資訊作分析與過濾，並避免不必要的網(wǎng)路連線。此外，更要定期檢查系統(tǒng)，暸解系統(tǒng)與檔案狀況，確認(rèn)所有程式正常地運(yùn)作，並注意病毒碼更新狀況。更需要經(jīng)常演習(xí)，進(jìn)行弱點(diǎn)掃描，了解並補(bǔ)正系統(tǒng)的漏洞。7.4網(wǎng)路安全發(fā)展趨勢(shì) 現(xiàn)今的企業(yè)組織，

30、有越來越多的外部人員、組織員工、企業(yè)夥伴、客戶等，需要透過網(wǎng)際網(wǎng)路來存取企業(yè)網(wǎng)路資源，使得網(wǎng)路安全的內(nèi)外界線已無法明確分辨。技術(shù)上，防火牆無法完全阻斷各種攻擊，弱點(diǎn)分析與管理也需要加強(qiáng)。管理者需要掌握最新資訊安全發(fā)展趨勢(shì)，訂定完善的資訊安全政策，並部署最適合企業(yè)組織之防護(hù)機(jī)制以達(dá)到效益最佳化。網(wǎng)路安全發(fā)展趨勢(shì)有下列幾點(diǎn)。主動(dòng)防禦主動(dòng)防禦技術(shù)是指當(dāng)網(wǎng)路安全威脅發(fā)生或者到達(dá)目標(biāo)系統(tǒng)之前，安全防衛(wèi)系統(tǒng)能夠及時(shí)偵測並作適當(dāng)?shù)姆磻?yīng)，採用特徵碼查殺和監(jiān)控的技術(shù)，並且做出自動(dòng)的防禦行動(dòng)，無需任何人工手動(dòng)介入，以獲得及時(shí)的安全保障。從技術(shù)層面上，依照行為分析做為判斷，利用行為分析引擎技術(shù)，主動(dòng)收集防禦的殺毒模式，並選擇是放過還是拒絕某個(gè)程序要作的動(dòng)作。縱深防禦 網(wǎng)路資訊安全風(fēng)險(xiǎn)繁多，必須依靠各種防堵安全威脅的技術(shù)，形成縱深防禦網(wǎng)才能有效遏阻威脅?？v深防禦網(wǎng)包括入侵偵測系統(tǒng)（Intrusion Detection System，IDS）、入侵防禦系統(tǒng)（Intrusion Pr