檢視緯育 2026-0518 的原始碼

本系列講座主要介紹網路攻擊的類型、方式與防禦方法。講師首先定義了網路攻擊（Cyber Attack），並闡述其目標、動機，以及與「入侵」的區別。接著，詳細解釋了殭屍網路（Botnet）的形成、運作方式及危害，並深入探討了多種類型的網路攻擊手法，其目的為讓聽眾了解各種攻擊的原理、目的與特徵。
內容涵蓋了利用網路協議漏洞進行的攻擊，如阻斷服務攻擊（DoS/DDoS）、洪水攻擊（Flooding Attack）、Smurf 攻擊、反射攻擊、放大攻擊與淚滴攻擊（Teardrop Attack）；也討論了更複雜且具持續性的威脅，如中間人攻擊（MITM）、進階持續性威脅（APT）；同時也提及了利用軟體漏洞的零時差攻擊（Zero-day Attack）與注入攻擊（Injection Attack），以及針對特定網路環境的 LAN Attack 和 HTTP 慢速攻擊。<br><br>
講師透過具體範例和 Scapy 程式庫的實作演示，解釋了駭客如何利用這些技術來癱瘓服務、竊取資料或進行破壞，並強調了這些攻擊在現實世界中的應用與影響。實際操作演示了「Ping of Death」、「Smurf 攻擊」、「ARP 欺騙」、「DNS 放大攻擊」、「DHCP 耗盡攻擊」與「TCP 洪水攻擊」等攻擊行為。

=== 網路攻擊基礎概念 ===
* 網路攻擊定義與目標
** 網路攻擊的英文為「Cyber Attack」，泛指對資訊設備（如網路設備、伺服器、電腦、手機等）進行非正當操作的行為。
** 攻擊目標旨在改變資訊設備的原始狀態，具體行為包括：
*** 破壞作業系統。
*** 修改系統設定值。
*** 控制作業系統（此為駭客最想達成但現今較難實現的目標）。
*** 干擾服務功能，例如讓網站無法提供服務。
* 攻擊與入侵的區別
** 雖然在臺灣，「攻擊」與「入侵」常被混用，但仍有概念上的區別。
** 攻擊：類似在家門口叫囂、威脅，但尚未進入。
** 入侵：已透過各種方式（如破門、鑽洞）進入內部。
** 共同點是皆為未經正常授權的連線，或是未經同意竊取資訊（如客戶資料庫）。
* 攻擊動機分析
** 針對性攻擊：可能是受人委託，或是因公司行為（如產品漲價）引發抗議。
** 無目標攻擊：攻擊者可能為了宣傳、炫耀自身能力、對資安公司進行挑戰（練功），或純粹惡作劇。
** 為未來攻擊做準備：若目標公司與你的公司架構相似，駭客可能先攻擊你方作為演練，成功後再攻擊真正目標。
=== 殭屍網路（Botnet） ===
* 殭屍網路的定義
** 又稱為「機器人網路」（Botnet），指被單一駭客或駭客集團所控制的一群電腦。
** 這些被控制的電腦（俗稱「肉雞」）可能散佈在世界各地，但統一接受駭客指令。
** 駭客會透過植入後門程式或木馬病毒來控制這些電腦。木馬與病毒的區別在於，木馬會潛伏，等待時機才行動。
* 殭屍電腦的運作方式
** 「肉雞」平時可能沒有任何異常運作，使用者難以察覺效能變化。
** 使用破解軟體或來路不明的執行檔是電腦被植入木馬的常見途徑。
** 駭客會在其控制的殭屍主機上排程，在預定時間執行特定任務，例如：
*** 偵測目標伺服器開放的通訊埠（Port）。
*** 測試目標伺服器是否存在漏洞。
*** 對特定目標發動攻擊（DDoS）。
* 殭屍網路的應用與危害
** 發動DDoS攻擊：控制大量電腦在同一時間向目標發動連線請求，耗盡其服務資源。講師以巴哈姆特過去曾遭中國駭客威脅並發動DDoS攻擊為例，最終解決方案是封鎖來自中國的IP。
** 發送垃圾封包：發送無用封包佔滿網路頻寬，導致正常服務變慢。
** 發送垃圾郵件：駭客在受控電腦上安裝郵件伺服器，利用這些電腦大量發送垃圾郵件。
** 挖礦與廣告點擊：過去常見，但現在較少。挖礦會因CPU風扇高速運轉而容易被發現；廣告點擊則因瀏覽器阻擋彈出式視窗而變得困難。
* 殭屍網路攻擊規模
** 講師引用新聞數據舉例，曾有殭屍網路發動每秒1700萬次HTTP請求的DDoS攻擊，強調單一伺服器無法承受如此大量的並發請求。
=== 阻斷服務攻擊（DoS/DDoS）與其他攻擊類型 ===
* 阻斷服務攻擊（DoS）
** 全名為 Denial of Service Attack。
** 原理：持續向目標發送大量連線請求，耗盡其服務資源（如CPU、記憶體），使其無法回應正常使用者的請求。
** 成功關鍵：在短時間內發動大量的請求。
** 現況：由於現代主機硬體性能強大，單一主機發動的DoS攻擊已難以成功。
* 分散式阻斷服務攻擊（DDoS）
** DDoS是DoS的演進版，在DoS前加上「D」（Distributed，分散式）。
** 手法：利用前述的殭屍網路，命令大量受控的「肉雞」在同一時間對同一目標發動攻擊。
** 目的在於短時間內讓目標服務無法正常運作，使DoS攻擊在時間和數量上更容易達標。
** 效果：「人多力量大」，透過大量主機同時攻擊，能輕易癱瘓目標伺服器。駭客會設定好攻擊時間，讓所有殭屍主機同步行動。講師提到，甚至在網路上可以買到殭屍主機的控制權。
** 目前網路上所見的攻擊手法，即使被媒體報導為 DoS，實際上大多是 DDoS 攻擊。
* DDoS 的防禦機制
** 由於難以直接綁定攻擊來源，現有的防禦機制多透過雲端系統實現。
** 雲端服務防禦：利用雲端服務商提供的前端防護服務，例如DDoS防護、黑洞（Blackhole）、流量清洗等。運作原理是將使用者流量先導向一個前端分析節點，該節點透過AI等技術分析流量。若識別為攻擊流量，則進行攔截、驗證（如Cloudflare的轉圈等待、打勾驗證），確認為正常使用者後才將請求轉發至後端真實伺服器。
** 這種機制是動態變化的，所以使用者有時會遇到驗證，有時則不會。
** 中華電信等服務商也提供類似的服務，稱為「洗流量」。
* 洪水攻擊 (Flooding Attack)
** 是一種主動攻擊，透過大量發送封包來消耗目標的網路頻寬或伺服器連線資源。
** TCP洪水攻擊（SYN Flood）：利用TCP三向交握的機制，發送大量偽造來源IP的SYN請求封包後，便不再回應，藉此佔用系統半開連線（half-open connection）的佇列資源，使其無法接受新的正常連線。
** UDP Flooding：由於 UDP 不需要交握，攻擊者可直接大量發送 UDP 封包，而接收方必須處理這些封包。
** 其他協定：也可以大量發送 ARP、DNS、NTP、ICMP 等封包來達成攻擊。
** 攻擊目標：讓目標系統或網路變慢，將資源消耗的負擔都集中在受害端。
* Smurf 攻擊 (Smurf Attack)
** 是一種更容易達成 DDoS 效果的攻擊方式。
** 原理：攻擊者向目標網段的廣播位址發送一個 ICMP Type 8（Echo Request）封包，並將來源 IP 位址偽造成受害者的 IP。
** 過程：網段內所有收到廣播封包的主機，都會向偽造的來源（即受害者）回覆 ICMP Echo Reply 封包。
** 目的：利用網段內多台主機同時回覆的大量流量，攻擊並癱瘓受害者主機。
* 反射攻擊 (Reflection Attack)
** 原理：利用網路服務中「請求與回覆」的機制。
** 手法：攻擊者偽造受害者的 IP 位址，向某個網路服務（如 DNS 伺服器）發送請求。該服務收到請求後，會將回覆內容傳送給受害者。
** 目的：
*** 隱藏攻擊來源，讓受害者追查時只會看到是某個正常服務在攻擊他。
*** 容易實現 DDoS 或洪水攻擊，例如：若攻擊者利用全球大量的 DNS 伺服器進行反射攻擊，受害者將會被來自 Google (8.8.8.8) 等大型伺服器的大量 DNS 回覆淹沒。
* 放大攻擊 (Amplification Attack)
** 原理：攻擊者發送一個小量的請求封包給某個服務，但該服務會回覆一個非常大的封包給受害者。
** 目的：以極小的頻寬成本，產生巨大的攻擊流量，顯著放大攻擊效果。
** 手法：攻擊者可以堵塞受害者的上傳頻寬或下載頻寬。
** 真實案例：台灣曾有金融公司遭駭客組織威脅，後被使用 NTP（網路時間協定）放大攻擊。攻擊者發送一個簡短的 NTP 請求，但伺服器回覆的內容卻非常龐大，導致目標公司的上傳頻寬被塞爆。
** DNS放大攻擊：利用小的DNS查詢請求，誘使DNS伺服器回覆大的數據封包給攻擊目標。關鍵在於尋找能產生最大「頻寬放大係數」（回應大小/請求大小）的查詢類型與目標。
** 組合應用：可搭配殭屍網路使用，讓大量殭屍主機發動微小的請求，從而產生極大的放大效果。
* 分散式反射阻斷服務攻擊 (DRDoS)
** 定義：這是將分散式攻擊（DDoS）與反射攻擊結合起來的綜合手法。
** 過程：攻擊者操控大量的殭屍主機，讓它們偽造受害者 IP 並發送小量請求封包給許多不同的第三方服務，這些服務再將放大的回覆流量同時傳送給受害者。
* 淚滴攻擊 (Teardrop Attack)
** 原理：利用早期 TCP/IP 協定中 IP 分片重組的漏洞。
** 手法：攻擊者發送經過刻意構造的、重疊或錯誤的 IP 分片封包。
** 結果：目標主機在嘗試重組這些錯誤分片時，會因長度計算錯誤而導致系統崩潰或當機。
** 現況：此漏洞在現代作業系統中早已修復，目前已無法成功實施。
* LAN 攻擊 (Local Area Network Attack) / 自我回應攻擊 (Land Attack)
** 原理：一種發生在本地網路的阻斷服務攻擊。
** 手法：駭客發送一個特製封包，其來源與目的地的 IP 位址和埠號（Port）都設定為受害者主機的資訊。
** 結果：當受害者主機收到這個封包時，會試圖回覆給來源，但來源就是它自己，從而造成一個無限循環，最終導致服務失效或系統當機。
* HTTP 慢速攻擊 (Slow Attack / Slow Rate Attack)
** 原理：利用緩慢地傳送下載或上傳資料來長時間佔用伺服器連線資源，最終耗盡其連線數而導致服務癱瘓。
** 手法：
*** 假裝下載大檔案，但要求伺服器以極小單位傳送，並拖延連線時間。
*** 聲稱要上傳大檔案，但以極慢速度傳送，並在連線即將逾時前傳送少量數據維持連線。
*** 針對HTTP，可一次只發送一行標頭（Header），故意不發送結尾，讓伺服器持續等待。
** 現況：這種攻擊方式目前仍然有效。
* Ping of Death (死亡之Ping) 攻擊
** 目的: 透過發送大量 ICMP 封包（Ping 請求），癱瘓目標主機的網路或影響其服務順暢度。
* ARP 欺騙 (ARP Spoofing)
** 目的: 透過發送偽造的 ARP 回應封包，欺騙目標主機，使其將特定IP（如預設閘道）對應到一個錯誤的 MAC 地址，從而切斷目標主機的網路連線或進行中間人攻擊。
* DHCP服務阻斷攻擊 (DHCP Starvation)
** 原理與目標: 此攻擊旨在耗盡（Starvation）DHCP伺服器可供分配的IP位址池。
** 手法: 攻擊者偽裝成大量不同的客戶端，不斷向DHCP伺服器發送IP租用請求（DHCP Discover），將伺服器所有的IP位址全部「拿完」。一旦IP池耗盡，伺服器就無法再回應新的、合法的客戶端請求。
=== 竊取與滲透型攻擊 ===
* 中間人攻擊 (Man-in-the-Middle, MITM)
** 原理：攻擊者將自己置於通訊雙方之間，攔截並可能竄改雙方的通訊內容。
** 手法：讓通訊的兩方都誤以為自己是直接與對方溝通，但實際上所有封包都經過了攻擊者。
** 目的：竊聽或修改通訊內容。
* 進階持續性威脅 (Advanced Persistent Threat, APT)
** 定義：一種針對特定、有價值目標（如大型企業、政府機構）所進行的、有計劃性且長時間持續的一系列網路攻擊行動。它並非單一新技術，而是各種已知攻擊手法的綜合應用。
** 目的：竊取公司機密、破壞基礎設施或網路。
** 特性：通常具備高度隱匿性，在被發現時，攻擊行動往往已持續很長一段時間，且已造成難以挽回的損失。
** 攻擊階段：
*** 1. 滲透階段：利用系統弱點、社交工程等方式進入目標網路，取得初步權限並植入後門程式。
*** 2. 擴張與隱蔽階段：在內部網路橫向移動，蒐集資訊、探測核心系統，並獲取更高權限。
*** 3. 目標執行階段：在選定時間點發動最終攻擊，如竊取敏感資料、摧毀系統或竄改資料。
* 零時差攻擊 (Zero-day Attack)
** 定義：指利用軟體或硬體中已被發現、但開發廠商尚未提供修補程式的漏洞所進行的攻擊。
** 情境分類：
*** 高價值漏洞：漏洞只有駭客知道，而開發廠商完全不知情。
*** 廠商放棄修補：漏洞已公開，但廠商因產品生命週期結束等原因決定不再提供修補。
* 注入攻擊 (Injection Attack)
** 原理：攻擊者將惡意程式碼或指令「注入」到應用程式的輸入欄位中，欺騙後端系統執行非預期的操作。
** 類型：
*** SQL Injection：將 SQL 查詢語法注入到輸入欄位，以繞過驗證、竊取或竄改資料庫。
*** Command Injection：將作業系統指令注入到輸入欄位，讓伺服器執行惡意指令。
** 核心概念：利用系統現有的功能，將攻擊者已知的語法或指令塞入，看系統是否會「傻傻地」執行。
=== 網路攻擊的防禦機制與設備評估 ===
* 攻擊類型與應對策略
** 外部攻擊 vs. 內部攻擊：需分析攻擊來源是單一、雷同還是來自全球，並採取封鎖IP、斷網等措施。內部攻擊則需抓包分析來源與行為模式，警惕「跳板」攻擊。
** 主動攻擊 vs. 被動攻擊：主動攻擊量大密集，目的為破壞；被動攻擊量小分散，目的為偵查，因隱蔽而難以發現。
* 硬體與軟體防禦
** 硬體層面：防火牆、路由器、交換器等網路設備通常內建資安功能。
** 軟體層面：安裝入侵偵測系統（IDS）或入侵防禦系統（IPS）。
* 消費級網路設備的資安功能比較
** 評估指標：選購時應關注DoS防護功能是否提供明確的觸發閾值（Threshold），如在多少時間內收到多少封包會啟動防護。
** 各品牌設備分析：
*** ASUS（華碩）/ Tenda：僅提供簡單的開關，缺乏詳細設定。
*** TP-Link：提供低、中、高三級選項，並針對不同洪水攻擊提供獨立設定。
*** ZyXEL：在較高階設備中提供非常詳細的防護設定，可自訂閾值，並包含針對多種特定攻擊的防禦選項。
*** Cisco：部分較舊型號的設定也相對簡單。
** 結論：價格不是唯一考量。選購設備時，應檢視其資安設定的細緻程度。CP值高的設備通常提供更專業、可控的防禦機制。
=== 網路攻擊實作演示摘要 ===
* Ping of Death: 使用工具發送大量 ICMP 封包（Type 0, Echo Reply）以塞滿目標下載流量。
* Smurf 攻擊: 偽造來源 IP，向區網廣播地址發送 ICMP Echo Request，觸發網內主機向受害者回覆大量封包。
* ARP 欺騙: 發送偽造的 ARP 回應，將閘道 IP 對應到錯誤的 MAC 地址，以切斷目標主機的對外連線。演示了安全（偽造來源 MAC）與不安全（暴露真實 MAC）的發送方式。
* DNS 放大攻擊: 使用 Scapy 建構封包，偽造受害者 IP，向公開 DNS 伺服器發送小請求，誘使其向受害者發送大回應。
* DHCP 耗盡攻擊: 使用 Scapy 偽造大量不同 MAC 地址的客戶端，持續發送 DHCP Discover 請求，耗盡 DHCP 伺服器的 IP 池。
* TCP 洪水攻擊 (SYN Flood): 使用 Scapy 偽造大量隨機來源 IP，向目標伺服器發送 SYN 封包，佔用其半開連線資源。
[[檔案:2026-0518-01.png|800px]]