緯育 2026-0518

出自頂極製作所

本系列講座主要介紹網路攻擊的類型、方式與防禦方法。講師首先定義了網路攻擊(Cyber Attack),並闡述其目標、動機,以及與「入侵」的區別。接著,詳細解釋了殭屍網路(Botnet)的形成、運作方式及危害,並深入探討了多種類型的網路攻擊手法,其目的為讓聽眾了解各種攻擊的原理、目的與特徵。 內容涵蓋了利用網路協議漏洞進行的攻擊,如阻斷服務攻擊(DoS/DDoS)、洪水攻擊(Flooding Attack)、Smurf 攻擊、反射攻擊、放大攻擊與淚滴攻擊(Teardrop Attack);也討論了更複雜且具持續性的威脅,如中間人攻擊(MITM)、進階持續性威脅(APT);同時也提及了利用軟體漏洞的零時差攻擊(Zero-day Attack)與注入攻擊(Injection Attack),以及針對特定網路環境的 LAN Attack 和 HTTP 慢速攻擊。

講師透過具體範例和 Scapy 程式庫的實作演示,解釋了駭客如何利用這些技術來癱瘓服務、竊取資料或進行破壞,並強調了這些攻擊在現實世界中的應用與影響。實際操作演示了「Ping of Death」、「Smurf 攻擊」、「ARP 欺騙」、「DNS 放大攻擊」、「DHCP 耗盡攻擊」與「TCP 洪水攻擊」等攻擊行為。

網路攻擊基礎概念

  • 網路攻擊定義與目標
    • 網路攻擊的英文為「Cyber Attack」,泛指對資訊設備(如網路設備、伺服器、電腦、手機等)進行非正當操作的行為。
    • 攻擊目標旨在改變資訊設備的原始狀態,具體行為包括:
      • 破壞作業系統。
      • 修改系統設定值。
      • 控制作業系統(此為駭客最想達成但現今較難實現的目標)。
      • 干擾服務功能,例如讓網站無法提供服務。
  • 攻擊與入侵的區別
    • 雖然在臺灣,「攻擊」與「入侵」常被混用,但仍有概念上的區別。
    • 攻擊:類似在家門口叫囂、威脅,但尚未進入。
    • 入侵:已透過各種方式(如破門、鑽洞)進入內部。
    • 共同點是皆為未經正常授權的連線,或是未經同意竊取資訊(如客戶資料庫)。
  • 攻擊動機分析
    • 針對性攻擊:可能是受人委託,或是因公司行為(如產品漲價)引發抗議。
    • 無目標攻擊:攻擊者可能為了宣傳、炫耀自身能力、對資安公司進行挑戰(練功),或純粹惡作劇。
    • 為未來攻擊做準備:若目標公司與你的公司架構相似,駭客可能先攻擊你方作為演練,成功後再攻擊真正目標。

殭屍網路(Botnet)

  • 殭屍網路的定義
    • 又稱為「機器人網路」(Botnet),指被單一駭客或駭客集團所控制的一群電腦。
    • 這些被控制的電腦(俗稱「肉雞」)可能散佈在世界各地,但統一接受駭客指令。
    • 駭客會透過植入後門程式或木馬病毒來控制這些電腦。木馬與病毒的區別在於,木馬會潛伏,等待時機才行動。
  • 殭屍電腦的運作方式
    • 「肉雞」平時可能沒有任何異常運作,使用者難以察覺效能變化。
    • 使用破解軟體或來路不明的執行檔是電腦被植入木馬的常見途徑。
    • 駭客會在其控制的殭屍主機上排程,在預定時間執行特定任務,例如:
      • 偵測目標伺服器開放的通訊埠(Port)。
      • 測試目標伺服器是否存在漏洞。
      • 對特定目標發動攻擊(DDoS)。
  • 殭屍網路的應用與危害
    • 發動DDoS攻擊:控制大量電腦在同一時間向目標發動連線請求,耗盡其服務資源。講師以巴哈姆特過去曾遭中國駭客威脅並發動DDoS攻擊為例,最終解決方案是封鎖來自中國的IP。
    • 發送垃圾封包:發送無用封包佔滿網路頻寬,導致正常服務變慢。
    • 發送垃圾郵件:駭客在受控電腦上安裝郵件伺服器,利用這些電腦大量發送垃圾郵件。
    • 挖礦與廣告點擊:過去常見,但現在較少。挖礦會因CPU風扇高速運轉而容易被發現;廣告點擊則因瀏覽器阻擋彈出式視窗而變得困難。
  • 殭屍網路攻擊規模
    • 講師引用新聞數據舉例,曾有殭屍網路發動每秒1700萬次HTTP請求的DDoS攻擊,強調單一伺服器無法承受如此大量的並發請求。

阻斷服務攻擊(DoS/DDoS)與其他攻擊類型

  • 阻斷服務攻擊(DoS)
    • 全名為 Denial of Service Attack。
    • 原理:持續向目標發送大量連線請求,耗盡其服務資源(如CPU、記憶體),使其無法回應正常使用者的請求。
    • 成功關鍵:在短時間內發動大量的請求。
    • 現況:由於現代主機硬體性能強大,單一主機發動的DoS攻擊已難以成功。
  • 分散式阻斷服務攻擊(DDoS)
    • DDoS是DoS的演進版,在DoS前加上「D」(Distributed,分散式)。
    • 手法:利用前述的殭屍網路,命令大量受控的「肉雞」在同一時間對同一目標發動攻擊。
    • 目的在於短時間內讓目標服務無法正常運作,使DoS攻擊在時間和數量上更容易達標。
    • 效果:「人多力量大」,透過大量主機同時攻擊,能輕易癱瘓目標伺服器。駭客會設定好攻擊時間,讓所有殭屍主機同步行動。講師提到,甚至在網路上可以買到殭屍主機的控制權。
    • 目前網路上所見的攻擊手法,即使被媒體報導為 DoS,實際上大多是 DDoS 攻擊。
  • DDoS 的防禦機制
    • 由於難以直接綁定攻擊來源,現有的防禦機制多透過雲端系統實現。
    • 雲端服務防禦:利用雲端服務商提供的前端防護服務,例如DDoS防護、黑洞(Blackhole)、流量清洗等。運作原理是將使用者流量先導向一個前端分析節點,該節點透過AI等技術分析流量。若識別為攻擊流量,則進行攔截、驗證(如Cloudflare的轉圈等待、打勾驗證),確認為正常使用者後才將請求轉發至後端真實伺服器。
    • 這種機制是動態變化的,所以使用者有時會遇到驗證,有時則不會。
    • 中華電信等服務商也提供類似的服務,稱為「洗流量」。
  • 洪水攻擊 (Flooding Attack)
    • 是一種主動攻擊,透過大量發送封包來消耗目標的網路頻寬或伺服器連線資源。
    • TCP洪水攻擊(SYN Flood):利用TCP三向交握的機制,發送大量偽造來源IP的SYN請求封包後,便不再回應,藉此佔用系統半開連線(half-open connection)的佇列資源,使其無法接受新的正常連線。
    • UDP Flooding:由於 UDP 不需要交握,攻擊者可直接大量發送 UDP 封包,而接收方必須處理這些封包。
    • 其他協定:也可以大量發送 ARP、DNS、NTP、ICMP 等封包來達成攻擊。
    • 攻擊目標:讓目標系統或網路變慢,將資源消耗的負擔都集中在受害端。
  • Smurf 攻擊 (Smurf Attack)
    • 是一種更容易達成 DDoS 效果的攻擊方式。
    • 原理:攻擊者向目標網段的廣播位址發送一個 ICMP Type 8(Echo Request)封包,並將來源 IP 位址偽造成受害者的 IP。
    • 過程:網段內所有收到廣播封包的主機,都會向偽造的來源(即受害者)回覆 ICMP Echo Reply 封包。
    • 目的:利用網段內多台主機同時回覆的大量流量,攻擊並癱瘓受害者主機。
  • 反射攻擊 (Reflection Attack)
    • 原理:利用網路服務中「請求與回覆」的機制。
    • 手法:攻擊者偽造受害者的 IP 位址,向某個網路服務(如 DNS 伺服器)發送請求。該服務收到請求後,會將回覆內容傳送給受害者。
    • 目的:
      • 隱藏攻擊來源,讓受害者追查時只會看到是某個正常服務在攻擊他。
      • 容易實現 DDoS 或洪水攻擊,例如:若攻擊者利用全球大量的 DNS 伺服器進行反射攻擊,受害者將會被來自 Google (8.8.8.8) 等大型伺服器的大量 DNS 回覆淹沒。
  • 放大攻擊 (Amplification Attack)
    • 原理:攻擊者發送一個小量的請求封包給某個服務,但該服務會回覆一個非常大的封包給受害者。
    • 目的:以極小的頻寬成本,產生巨大的攻擊流量,顯著放大攻擊效果。
    • 手法:攻擊者可以堵塞受害者的上傳頻寬或下載頻寬。
    • 真實案例:台灣曾有金融公司遭駭客組織威脅,後被使用 NTP(網路時間協定)放大攻擊。攻擊者發送一個簡短的 NTP 請求,但伺服器回覆的內容卻非常龐大,導致目標公司的上傳頻寬被塞爆。
    • DNS放大攻擊:利用小的DNS查詢請求,誘使DNS伺服器回覆大的數據封包給攻擊目標。關鍵在於尋找能產生最大「頻寬放大係數」(回應大小/請求大小)的查詢類型與目標。
    • 組合應用:可搭配殭屍網路使用,讓大量殭屍主機發動微小的請求,從而產生極大的放大效果。
  • 分散式反射阻斷服務攻擊 (DRDoS)
    • 定義:這是將分散式攻擊(DDoS)與反射攻擊結合起來的綜合手法。
    • 過程:攻擊者操控大量的殭屍主機,讓它們偽造受害者 IP 並發送小量請求封包給許多不同的第三方服務,這些服務再將放大的回覆流量同時傳送給受害者。
  • 淚滴攻擊 (Teardrop Attack)
    • 原理:利用早期 TCP/IP 協定中 IP 分片重組的漏洞。
    • 手法:攻擊者發送經過刻意構造的、重疊或錯誤的 IP 分片封包。
    • 結果:目標主機在嘗試重組這些錯誤分片時,會因長度計算錯誤而導致系統崩潰或當機。
    • 現況:此漏洞在現代作業系統中早已修復,目前已無法成功實施。
  • LAN 攻擊 (Local Area Network Attack) / 自我回應攻擊 (Land Attack)
    • 原理:一種發生在本地網路的阻斷服務攻擊。
    • 手法:駭客發送一個特製封包,其來源與目的地的 IP 位址和埠號(Port)都設定為受害者主機的資訊。
    • 結果:當受害者主機收到這個封包時,會試圖回覆給來源,但來源就是它自己,從而造成一個無限循環,最終導致服務失效或系統當機。
  • HTTP 慢速攻擊 (Slow Attack / Slow Rate Attack)
    • 原理:利用緩慢地傳送下載或上傳資料來長時間佔用伺服器連線資源,最終耗盡其連線數而導致服務癱瘓。
    • 手法:
      • 假裝下載大檔案,但要求伺服器以極小單位傳送,並拖延連線時間。
      • 聲稱要上傳大檔案,但以極慢速度傳送,並在連線即將逾時前傳送少量數據維持連線。
      • 針對HTTP,可一次只發送一行標頭(Header),故意不發送結尾,讓伺服器持續等待。
    • 現況:這種攻擊方式目前仍然有效。
  • Ping of Death (死亡之Ping) 攻擊
    • 目的: 透過發送大量 ICMP 封包(Ping 請求),癱瘓目標主機的網路或影響其服務順暢度。
  • ARP 欺騙 (ARP Spoofing)
    • 目的: 透過發送偽造的 ARP 回應封包,欺騙目標主機,使其將特定IP(如預設閘道)對應到一個錯誤的 MAC 地址,從而切斷目標主機的網路連線或進行中間人攻擊。
  • DHCP服務阻斷攻擊 (DHCP Starvation)
    • 原理與目標: 此攻擊旨在耗盡(Starvation)DHCP伺服器可供分配的IP位址池。
    • 手法: 攻擊者偽裝成大量不同的客戶端,不斷向DHCP伺服器發送IP租用請求(DHCP Discover),將伺服器所有的IP位址全部「拿完」。一旦IP池耗盡,伺服器就無法再回應新的、合法的客戶端請求。

竊取與滲透型攻擊

  • 中間人攻擊 (Man-in-the-Middle, MITM)
    • 原理:攻擊者將自己置於通訊雙方之間,攔截並可能竄改雙方的通訊內容。
    • 手法:讓通訊的兩方都誤以為自己是直接與對方溝通,但實際上所有封包都經過了攻擊者。
    • 目的:竊聽或修改通訊內容。
  • 進階持續性威脅 (Advanced Persistent Threat, APT)
    • 定義:一種針對特定、有價值目標(如大型企業、政府機構)所進行的、有計劃性且長時間持續的一系列網路攻擊行動。它並非單一新技術,而是各種已知攻擊手法的綜合應用。
    • 目的:竊取公司機密、破壞基礎設施或網路。
    • 特性:通常具備高度隱匿性,在被發現時,攻擊行動往往已持續很長一段時間,且已造成難以挽回的損失。
    • 攻擊階段:
      • 1. 滲透階段:利用系統弱點、社交工程等方式進入目標網路,取得初步權限並植入後門程式。
      • 2. 擴張與隱蔽階段:在內部網路橫向移動,蒐集資訊、探測核心系統,並獲取更高權限。
      • 3. 目標執行階段:在選定時間點發動最終攻擊,如竊取敏感資料、摧毀系統或竄改資料。
  • 零時差攻擊 (Zero-day Attack)
    • 定義:指利用軟體或硬體中已被發現、但開發廠商尚未提供修補程式的漏洞所進行的攻擊。
    • 情境分類:
      • 高價值漏洞:漏洞只有駭客知道,而開發廠商完全不知情。
      • 廠商放棄修補:漏洞已公開,但廠商因產品生命週期結束等原因決定不再提供修補。
  • 注入攻擊 (Injection Attack)
    • 原理:攻擊者將惡意程式碼或指令「注入」到應用程式的輸入欄位中,欺騙後端系統執行非預期的操作。
    • 類型:
      • SQL Injection:將 SQL 查詢語法注入到輸入欄位,以繞過驗證、竊取或竄改資料庫。
      • Command Injection:將作業系統指令注入到輸入欄位,讓伺服器執行惡意指令。
    • 核心概念:利用系統現有的功能,將攻擊者已知的語法或指令塞入,看系統是否會「傻傻地」執行。

網路攻擊的防禦機制與設備評估

  • 攻擊類型與應對策略
    • 外部攻擊 vs. 內部攻擊:需分析攻擊來源是單一、雷同還是來自全球,並採取封鎖IP、斷網等措施。內部攻擊則需抓包分析來源與行為模式,警惕「跳板」攻擊。
    • 主動攻擊 vs. 被動攻擊:主動攻擊量大密集,目的為破壞;被動攻擊量小分散,目的為偵查,因隱蔽而難以發現。
  • 硬體與軟體防禦
    • 硬體層面:防火牆、路由器、交換器等網路設備通常內建資安功能。
    • 軟體層面:安裝入侵偵測系統(IDS)或入侵防禦系統(IPS)。
  • 消費級網路設備的資安功能比較
    • 評估指標:選購時應關注DoS防護功能是否提供明確的觸發閾值(Threshold),如在多少時間內收到多少封包會啟動防護。
    • 各品牌設備分析:
      • ASUS(華碩)/ Tenda:僅提供簡單的開關,缺乏詳細設定。
      • TP-Link:提供低、中、高三級選項,並針對不同洪水攻擊提供獨立設定。
      • ZyXEL:在較高階設備中提供非常詳細的防護設定,可自訂閾值,並包含針對多種特定攻擊的防禦選項。
      • Cisco:部分較舊型號的設定也相對簡單。
    • 結論:價格不是唯一考量。選購設備時,應檢視其資安設定的細緻程度。CP值高的設備通常提供更專業、可控的防禦機制。

網路攻擊實作演示摘要

  • Ping of Death: 使用工具發送大量 ICMP 封包(Type 0, Echo Reply)以塞滿目標下載流量。
  • Smurf 攻擊: 偽造來源 IP,向區網廣播地址發送 ICMP Echo Request,觸發網內主機向受害者回覆大量封包。
  • ARP 欺騙: 發送偽造的 ARP 回應,將閘道 IP 對應到錯誤的 MAC 地址,以切斷目標主機的對外連線。演示了安全(偽造來源 MAC)與不安全(暴露真實 MAC)的發送方式。
  • DNS 放大攻擊: 使用 Scapy 建構封包,偽造受害者 IP,向公開 DNS 伺服器發送小請求,誘使其向受害者發送大回應。
  • DHCP 耗盡攻擊: 使用 Scapy 偽造大量不同 MAC 地址的客戶端,持續發送 DHCP Discover 請求,耗盡 DHCP 伺服器的 IP 池。
  • TCP 洪水攻擊 (SYN Flood): 使用 Scapy 偽造大量隨機來源 IP,向目標伺服器發送 SYN 封包,佔用其半開連線資源。

2026-0518-01.png

攻擊 vs 入侵

  • 攻擊:以造成服務中斷或干擾為目的,可突發或持續,手法可能利用協定與埠造成資源耗盡或故障。
  • 入侵:著重隱蔽進入內部系統以持續存取;若行為明顯易被察覺則不屬隱蔽入侵。
  • 共同成功關鍵:掌握對方的後門與漏洞,配合精準的情資蒐集與時機選擇。

情資蒐集與弱點利用流程

  • 初始偵查:從網址反查 IP,進行埠掃描與服務/版本辨識;比對既知弱點公告、搜集可用手法與實作細節。
  • 行動部署:避開對方高警覺時段執行;選擇合適時間窗驗證。
  • 限制與成功率:實務上常因系統持續更新而「難以成功」,防守端應優先更新系統與軟體。

後門的定義、來源與類型

  • 定義:刻意安插的隱藏通道(不公開的連線埠或特殊連線方式),提供特定人員存取途徑。
  • 合法用途:原廠維運(備份、升級、緊急修復)、家用/企業設備的針孔還原與韌體更新流程。
  • 第三方植入:修改原始碼或供應鏈污染(如 GitHub 分叉被竄改),讓使用者編譯執行後自動植入後門。
  • 通訊類型:
    • 固定 Port 後門:易被管理員以 ss/netstat/lsof察覺並用防火牆封鎖。
    • 反向連線(非固定 Port):主動外連較不易攔截;可觀察持續連向同一目標主機。
    • DNS 反向連線(動態目標):以域名為目標、頻繁變更解析 IP,需即時抓取與被動 DNS 觀測。
    • 直接資料外傳(雲端宿主):偽裝為常見雲端流量,上傳占比異常為偵測線索。
    • 多變通訊/分片策略:混用協定與動態 Port、分段封包傳輸,難以重構上下文,提升偵測難度。
  • 資料收集型行為:軟體安裝時的遙測/資料回傳(早期未徵詢同意的做法具後門色彩)。

漏洞概念與典型案例

  • 定義與發現:版本缺陷或弱點,透過版本公告與社群手法可發現與驗證;防護以「及時更新」最直接。
  • 經典案例演示:
    • IngresLock(1524/tcp):歷史維運後門,telnet直入可取得 root。
    • vsftpd 2.3.4:供應鏈後門,需以有效帳號觸發 FTP 登入,再連入 6200/tcp 取得 root shell。
    • Samba 3.0–3.0.24 username map script:帳號欄命令注入,配合 nc 反向連線取得 shell;前置需掃描 137/138/139/445、smbclient 匿名列舉、正確字元語法($())與監聽埠配置。
  • 兩岸術語差異與口誤更正:如「刷」韌體用語、Metasploit/Metasploitable 名稱口誤、Rapid7維護者等。

臨時後門實作:netcat(NC)

  • 使用情境:受限環境下快速建立簡易殼層,讓同事在預約時間連入協助;僅獲得當前使用者權限。
  • 實作邏輯:mkfifo 建立 FIFO;cat FIFO → 餵 shell → 合併輸出 2>&1 → nc 監聽指定埠 → nc 輸入回寫 FIFO,形成互動循環。
  • 連線與管理:控制端以 nc 連入;會話終止需重建;最小暴露時間窗與來源限制可降低風險。
  • 延伸:以 nc 實作雙向聊天與傳檔;注意編碼與輸入法。
  • 風險與合規:協定簡單、不易被發現但易被濫用;僅在授權合規下使用。

演練環境與工具

  • Metasploitable 靶機:收集 200+ 漏洞與後門的測試平台;僅於隔離虛擬環境使用,不可上公網;預設帳密 msf/msf。
  • Metasploit 框架:
    • 性質:漏洞/後門資料庫與攻擊框架;search/use/show options/set/run/exploit 為核心流程。
    • 版本差異:社群版資料庫較舊,Pro 較新;Kali 內建可直接使用,跨平台可安裝。
    • Workspace/持久化:搭配 PostgreSQL 保存 Nmap 結果與攻擊嘗試,多日滲測避免重複掃描。
  • Kali Linux:整合掃描、封包分析、弱點測試與憑證收集工具,便於端到端演練。

防護與維運策略

  • 更新與修補:優先更新作業系統/軟體/韌體,修補既知漏洞;「變磚」風險為廠商品質問題,應以回滾與備援方案降低影響。
  • 防火牆與監控:封鎖異常或不必要的固定 Port;建立對外連線監控與上傳占比異常告警;對動態 DNS 目標強化被動 DNS 與沙箱分析。
  • 供應鏈安全:來源簽章驗證、SBOM、Sigstore、重現性建置;避免未知分叉的直接編譯。
  • 合法遠端支援治理:盤點原廠維運後門、要求會話可見性與審計、限制時段與來源、跳板與錄影留存。
  • 監控與溯源:強化系統日誌與網路連線監控,關注非常規外連與 nc 類型連線;認知公共網路與殭屍機被用以降低溯源風險的現象。

攻擊心法與 SOP

  • 前置偵查:Nmap 掃描服務/版本,聚焦熟悉協定與弱點。
  • 模組化操作:search → use → show options → set(RHOSTS/RPORT/LHOST 等)→ run/exploit;失敗則重試或換目標。
  • 成功後操作:基礎檔案更動、權限確認與影響評估;教學不涉持久化或橫向移動。
  • 目標選擇:老舊系統與未更新環境機會較大;但應在隔離與授權的測試環境進行。

2026-0518-02.png

取自「https://www.acmex.cc/index.php?title=緯育_2026-0518&oldid=7342