煎餃的線上課程筆記

C3W3_網路攻擊與入侵

閱讀時間約 11 分鐘

關聯筆記Google Cybersecurity Certificate > C3 課程總覽 > W2 網路協定

C3W3 — 網路攻擊與入侵(Network intrusions)

Module 3: 常見網路攻擊手法、動機與防禦

目錄

一、攻擊者為什麼攻擊你

動機比手法重要

攻擊者的動機決定他們會選什麼手法、攻擊到什麼程度。分析師要先問「誰會想打我們?」才有辦法設防線。

常見動機:

  • 財務:勒索、竊取金流、竊取信用卡資料
  • 政治:國家級攻擊、間諜活動
  • 個人恩怨:離職員工、不滿的顧客
  • 意識形態:激進組織、駭客主義者(hacktivist)

二、網路攔截攻擊(Interception)

什麼是攔截攻擊

攻擊者在傳輸途中抓取竄改封包,取得機密資料或破壞傳輸內容。例如攔截銀行轉帳改收款帳號。

封包嗅探(Packet sniffing)

用硬體或軟體工具擷取、檢查網路上的封包。

類型說明
Passive(被動)連進 hub,看全網流量,不動資料
Active(主動)抓下來後修改封包再轉送

關鍵技術點:網卡(NIC)的 promiscuous mode

  • 正常模式:NIC 只收目標 MAC 是自己的封包
  • 混雜模式:NIC 收全網所有封包,不管目標是誰 → 這是嗅探的基礎

常見嗅探工具:Wiresharktcpdump

On-path attack(中間人 / meddler-in-the-middle)

攻擊者躲在兩台互信裝置之間,偷聽或竄改傳輸。

DNS 竄改情境:攔截 DNS 查詢回應,把域名指向惡意 IP → 受害者以為連到銀行,其實是釣魚網站。

防禦傳輸層加密(TLS) 讓中間人就算攔到也看不懂。

Replay attack(重送攻擊)

攔到一個合法封包,之後再傳一次(例如重送一次「轉帳 100 元」)。

Smurf attack(精靈攻擊)

結合 IP spoofing + DoS

  1. 偽造受害者的 IP
  2. 以這個 IP 對廣播位址發送 ICMP ping
  3. 整個網段的裝置都對受害者回 ICMP echo → 受害者被淹沒
  攻擊者(偽造受害者 IP)

       │── ICMP ping ──→ 廣播位址(255.255.255.x)

       └── 網段上所有裝置同時回 ICMP echo → 受害者

                              (被數百台設備的回應同時淹沒)

防禦:用 NGFW 偵測異常的大量廣播流量。

三、IP 偽造與衍生攻擊

IP spoofing 是什麼

攻擊者修改封包表頭的來源 IP,冒充合法裝置混進網路。通常先嗅探拿到合法 IP/MAC,再來偽造。

防禦:設定防火牆拒絕可疑或不合法的 IP 封包。

衍生攻擊重點
On-pathIP 偽造 + 插在通訊中間
SmurfIP 偽造 + 廣播 ICMP
SYN floodIP 偽造 + 大量 SYN 請求

四、阻斷服務攻擊(DoS/DDoS)

DoS vs. DDoS

  • DoS:單一攻擊源發大量流量把目標打掛
  • DDoS:分散式,用 botnet(殭屍網路)從全球多台電腦一起打

Botnet 是什麼

被惡意軟體感染、受單一攻擊者(bot-herder)遠端操控的大量電腦。攻擊者下令所有 bot 同時對目標發封包 → 產生 DDoS 流量。

DoS 常見子類型

攻擊原理
SYN flood不斷送 TCP SYN 但不完成交握,把伺服器連線表塞爆
ICMP flood持續發 ICMP ping 耗光頻寬與 CPU
Ping of death送超過 64 KB 的 ICMP 封包,舊系統解析時崩潰

辨識 SYN flood

看 log 若出現大量 SYN_SENTSYN_RECV 但沒完成交握的連線,多半就是 SYN flood。

DoS vs. IP spoofing 差異

  • IP spoofing:攻擊者改來源 IP 冒充別人
  • DoS:攻擊者用合法 IP 送大量合法封包淹沒目標

五、後門攻擊(Backdoor)

後門是什麼

刻意留下的繞過存取控制的弱點。可能是:

  • 開發者為了除錯方便留下的
  • 系統管理員為了維運方便留的
  • 攻擊者入侵後安裝的持久存取通道

一旦攻擊者從後門進入,可以:

  • 安裝惡意軟體
  • 發動 DoS
  • 竊取機敏資料
  • 改動安全設定製造更多漏洞

六、tcpdump 封包分析

tcpdump 是什麼

命令列的網路協定分析器,輕量、用 libpcap 函式庫,大部分 Linux 已預裝,macOS 也可用。

輸出欄位

欄位意義
Timestamp時分秒與毫秒
Source IP來源 IP
Source port來源 port
Destination IP目標 IP
Destination port目標 port

預設行為

tcpdump 預設會把 IP 解析成 hostname、把 port 換成常用服務名稱(如 443 顯示成 https)。要看原始數字加 -nn 參數。

常見用途

  • 建立網路流量基線、辨識異常
  • 偵測惡意流量
  • 定位未授權 IM、無線 AP
  • 自訂告警通知

兩面刃

tcpdump 也會被攻擊者拿來抓你的明文帳密。這就是為什麼要用 HTTPS/SSH 而不是 HTTP/Telnet。

七、真實案例:2016 Dyn DDoS

防禦啟示

  • 重要服務分散在可動態擴展的主機上
  • 使用多家 DNS 服務商做備援

八、攻擊對組織的衝擊

面向具體影響
財務營運中斷、勒索金、訴訟賠償、系統重建
商譽客戶失去信任、改用競爭對手
公共安全電力、自來水、軍事通訊遭攻擊 → 民眾實體受害

九、術語速查表

術語英文定義
封包嗅探Packet sniffing擷取並檢查網路封包
被動嗅探Passive packet sniffing連 hub 看全網流量
主動嗅探Active packet sniffing擷取後竄改封包
中間人攻擊On-path attack攻擊者插在兩方通訊中間
重送攻擊Replay attack攔到封包後重送
IP 偽造IP spoofing改封包來源 IP 冒充合法裝置
精靈攻擊Smurf attackIP 偽造 + 廣播 ICMP
阻斷服務DoS大量流量淹沒目標
分散式阻斷服務DDoS多來源同時 DoS
殭屍網路Botnet受攻擊者遠控的感染電腦群
SYN flood大量 SYN 不完成交握
ICMP flood大量 ping 耗資源
Ping of death超大 ICMP 封包讓系統崩潰
後門Backdoor繞過存取控制的隱藏通道
混雜模式Promiscuous modeNIC 收全網流量不只自己的

十、考核易混淆觀念

DoS vs. IP spoofing

  • DoS:流量轟炸,目標是讓服務掛掉
  • IP spoofing:偽造身分,目標是混進網路或騙回應
  • Smurf 同時用到兩者 → 常被出題考「結合哪兩種手法」

Passive vs. Active packet sniffing

  • Passive:只看不改(連 hub 那年代很流行)
  • Active:看完還改或注入(現代 switch 網路要用這招才有收穫)

On-path attack 別名

以前叫 Man-in-the-Middle(MitM),現在 Google 的教材統一叫 meddler-in-the-middleon-path attack。考題三種寫法都可能出現。

Ping of death ≠ ICMP flood

  • Ping of death一個超大 ICMP 封包讓目標崩潰(單發致命)
  • ICMP flood大量正常大小的 ICMP ping 耗光資源(洪水淹沒)

Botnet 的必要條件

要成為 botnet 必須:

  1. 多台電腦被惡意軟體感染
  2. 同一位攻擊者(bot-herder) 遠端操控
  3. 可同時協調發動攻擊

後門不一定是惡意的

原本可能是為了除錯方便留的「維運管道」,只是被攻擊者利用後才變成惡意。安全審查要主動找出並關閉所有後門。

填空自測

問題答案
攔封包要把 NIC 設成什麼模式?Promiscuous(混雜)模式
Smurf 結合哪兩種手法?IP spoofing + DoS(ICMP 洪水)
大量 SYN 不完成交握是什麼攻擊?SYN flood
用 botnet 發動的 DoS 叫什麼?DDoS
On-path attack 最有效的防禦?傳輸加密(TLS)
Ping of death 的封包要超過幾 KB?64 KB
tcpdump 輸出看不懂數字 port 怎麼辦?-nn 關掉解析

下一步W4 安全強化(OS hardening、網路加固、雲端安全)

關係圖譜

反向連結