【文章內(nèi)容簡介】 防火牆 ROUTING MODE ? Router – 防火牆扮演 Router的角色，或者是 Router設(shè)定封包過濾規(guī)則 – 設(shè)定和實(shí)用上比較複雜，初期網(wǎng)路建構(gòu)好之後較不易更動 – 此為最早最古典的防火牆運(yùn)作模式 – 實(shí)例： Cisco Router的 ACL BRIDGING MODE ? Bridge ? 防火牆本身以 Bridge的方式運(yùn)作，本身可以不需要有 IP，也可設(shè)定 IP方便管理，但是會增加風(fēng)險(xiǎn)。 ? 對原有的網(wǎng)路架構(gòu)幾乎不影響。 ? 又稱為 Transparence Firewall ? 實(shí)例： Netscreen ? 目前支援此運(yùn)作模式的防火牆較少 NAT ? 防火牆兼具 NAT Server的功能，內(nèi)部網(wǎng)路使用 Private IP，經(jīng)轉(zhuǎn)址後向外連線 ? 外部網(wǎng)路要存取內(nèi)部主機(jī)需設(shè)定對映或是轉(zhuǎn)址規(guī)則 ? 為目前最常見的防火牆建構(gòu)模式 ? 通常有 stateful的能力 ? 應(yīng)付目前外部 IP不夠用的情況 ? 大部份市售的防火牆皆有此功能 ? 大部份市售的 分享器 皆屬於此類 個人單機(jī)防火牆 ? 個人使用的作業(yè)系統(tǒng)上安裝的防火牆 ? 以防禦主機(jī)本身為主 ? 以限制 IP、 PORT的存取限制為主或結(jié)合小型的入侵偵測系統(tǒng)運(yùn)作 網(wǎng)路安全威脅 ? 網(wǎng)路安全面臨的威脅，主要有三種來源， 外部入侵者的威脅 ( 如電腦駭客 )、 內(nèi)部人員的威脅 ( 如員工的惡意破壞 )、與 惡意訊息的傳播 (如病毒程式 )。網(wǎng)路安全威脅包含網(wǎng)路傳輸與協(xié)定的各個層面，威脅來源針對系統(tǒng)的弱點(diǎn)進(jìn)行破壞系統(tǒng)安全，降低系統(tǒng)安全防衛(wèi)能力。站在系統(tǒng)防衛(wèi)的立場，必須針對系統(tǒng)攻擊模式作分析，加強(qiáng)系統(tǒng)弱點(diǎn)掃描與補(bǔ)強(qiáng)，以減少損失。網(wǎng)路安全威脅除技術(shù)之攻擊模式，還包含網(wǎng)路的實(shí)體破壞，或錯誤的安全政策和不當(dāng)?shù)陌踩芾淼葐栴}。本章後面的內(nèi)容主要針對技術(shù)層面上的攻擊模式作探討。 攻擊模式 ? 攻擊模式分為 『 主動式攻擊 』 ( Active Attacks ) 和 『 被動式攻擊 』 ( Passive Attacks ) ? 主動式攻擊企圖破壞系統(tǒng)的架構(gòu)、功能與資源或竊取系統(tǒng)資料 – 分為四類，偽裝攻擊（ Masquerade）、修改訊息內(nèi)容（ Modification of Message Content）、重送攻擊（ Replay）、以及阻斷服務(wù)（ Denial of Service， DoS） 攻擊模式 ? 被動式攻擊企圖竊取資訊，但以不影響系統(tǒng)運(yùn)作為原則。 – 企圖竊取資訊，或監(jiān)控資訊傳輸，攻擊者不會變更任何資料，因此被動式攻擊偵測起來很困難；將訊息加密或?qū)⒂嵪㈦[藏後再傳輸，是防範(fàn)被動式攻擊的方法之一，參考表 71 網(wǎng)路攻擊模式。 偽裝攻擊，乃攻擊者利用合法使用者的身份與權(quán)限進(jìn)入系統(tǒng)，企圖破壞系統(tǒng)或竊取系統(tǒng)資料，造成系統(tǒng)的損失；其對治方法為加強(qiáng)系統(tǒng)的身分驗(yàn)證機(jī)制。最常見的偽裝攻擊，是利用他人的帳號與密碼進(jìn)入系統(tǒng)。因此密碼的管理非常重要，密碼需要使用亂數(shù)，密碼不要書寫在任何地方，或使用較長的字串當(dāng)密碼等機(jī)制，都可以提高使用者身分的驗(yàn)證性。安全性要求較高的密碼至少需要 6 位數(shù)以上，其猜中的機(jī)率小於百萬分之一，修改訊息內(nèi)容攻擊，係竄改傳輸中或儲存於系統(tǒng)的資料，使系統(tǒng)接收錯誤訊息，以破壞訊息的完整性，企圖改變系統(tǒng)功能或安全狀態(tài)。其對治方法為提昇訊息的完整性機(jī)制，以防止訊息被惡意修改。 攻擊模式 偽裝攻擊 重送攻擊，通常需要運(yùn)用多種攻擊模式之組合，如偽裝使用者身分進(jìn)入系統(tǒng)，修改系統(tǒng)訊息，並重新送出，以達(dá)到攻擊之目的。 阻斷服務(wù)攻擊，以阻斷或減緩網(wǎng)路設(shè)備之正常運(yùn)作為主要目的，阻斷服務(wù)攻擊對於電子商場等服務(wù)常會造成重大損失。典型的例子是，2023年 2月著名的入口網(wǎng)站 Yahoo 與 eBay 遭受阻斷服務(wù)攻擊，無法提供正常服務(wù)，商譽(yù)與業(yè)績受到重大損失。 網(wǎng)路攻擊模式 主動攻擊 偽裝攻擊（ Masquerade） 修改訊息內(nèi)容（ Modification of Message Content） 重送攻擊（ Replay） 阻斷服務(wù)（ Denial of Service， DoS） 被動攻擊 被動式攻擊企圖竊取資訊，或者監(jiān)控資訊傳輸，攻擊者不會變更任何資料。 攻擊模式 重送攻擊 阻絕服務(wù) (Denial of Service， DoS)攻擊，廣義而言是指任何導(dǎo)致伺服器不能正常提供服務(wù)的攻擊，分散式阻斷服務(wù)攻擊 (Distributed Denial of Service， DDoS)是攻擊端分散在很多的主機(jī)上，同時對目標(biāo)伺服器發(fā)動阻絕服務(wù)攻擊。 阻斷服務(wù)的攻擊方式，乃送出大量的封包使網(wǎng)路雍塞，或直接攻擊受害的伺服器，將其記憶體或硬碟空間佔(zhàn)滿。常見的攻擊手法，有針對 TCP協(xié)定的攻擊、 UDP Flood的攻擊、分散式阻斷服務(wù)攻擊 (DDoS)、以及 ICMP阻絕服務(wù)攻擊等。 TCP SYN Flood攻擊，是利用三向交握的弱點(diǎn)，惡意地送出許多 TCP SYN封包，但後續(xù)卻沒有回覆確認(rèn) (ACK)封包。伺服器端會等待使用者端的回應(yīng)，累積很多等待回應(yīng)的程式，使伺服器資源耗盡，直至伺服器無法運(yùn)作 。圖 76 表示 TCP SYN Flood 攻擊。 攻擊模式 阻絕服務(wù) (DOS) 個 人 電 腦伺 服 器S Y NS Y N /A C KS Y NS Y N /A C K防範(fàn) TCP SYN Flood 攻擊的對策，關(guān)閉不必要的服務(wù)，如發(fā)現(xiàn)有特定 IP 來源，持續(xù)使用此攻擊，對此特定來源的 IP 送出之 TCP 連線要求，拒絕其連線請求。此外，限制同時打開的 Syn連接數(shù)目，縮短 Syn連接的 time out時間，及時更新系統(tǒng) Patch等，都是解決問題的對策。 攻擊模式 阻絕服務(wù) (DOS) UDP Flood的攻擊，是利用 UDP之非連接導(dǎo)向的弱點(diǎn)，傳送任一埠號 (Port)的 UDP封包到被攻擊端，使 伺服器處理此訊息而耗盡資源 。 個 人 電 腦伺 服 器U D P 訊 息 1U D P 訊 息 2U D P 訊 息 3U D P 訊 息 4U D P 訊 息 5U D P 訊 息 6攻擊模式 阻絕服務(wù) (DOS) Ping是一個電腦網(wǎng)路工具，用來測試特定主機(jī) IP是否存在。 Ping的運(yùn)作原理是對目標(biāo)主機(jī)傳出一個 ICMP (Inter Control Message Protocol ) echo的要求封包，當(dāng)接收到 echo回應(yīng)封包時， ICMP 就是一個 錯誤偵測與回報(bào)機(jī)制 ，其目的就是能夠檢測網(wǎng)路的連線狀況。程式會按時間和反應(yīng)成功的次數(shù)，估計(jì)失去封包率（丟包率）和封包來回時間。圖 79 表示 Ping 工具與回應(yīng)畫面。 攻擊模式 Ping of Death攻擊 ? DoS是一對一的網(wǎng)路攻擊方式，攻擊者藉由不當(dāng)方式佔(zhàn)用系統(tǒng)資源，達(dá)到干擾正常系統(tǒng)運(yùn)作的目的。不同於一般網(wǎng)路入侵， DoS 不一定需要取得系統(tǒng)使用的權(quán)限，即可達(dá)到攻擊的目的。 ? DDoS是 DoS的一種，攻擊的模