防 火 牆 是 如 何 運 作 的
以 歷 史
的 觀 點 而 言 , 有 3 種 不同 的 技 術 被 使
用 來 作 為 防 火 牆 : 封 包 過 濾 ( Packet Filters
) 、 應 用 層 閘 道 ( Application-Layer Gateways
) 和 狀 態 檢 視 ( Stateful Inspection ) 。
阻 斷 式 服 務 攻 擊(DoS / Denial
of Service)
談 到 駭 客 攻 擊 的 方 式 , 這 些
方 式 可 說 包 羅 萬 象 亦 難 以 歸 類 , 在 這 裡 僅 介 紹 幾 種 較
為 常 見 與 熱 門
的 方 式 : 阻 斷 式 服 務 攻 擊(DoS / Denial
of Service)
DoS
是 一 種 點 對 點 的 網 路 攻 擊 方 式 , 攻 擊
的 對 向 是 Internet 上 的 網 路 和 裝 置 。 攻
擊 者 可 藉 由 不 正 當 的 方 式 使 得 網 路 伺
服 器 因 忙 碌 著 回 應 合 法 的 存 取 要 求 或
拒 絕 使 用 者 的 存 取 , 達 到 干 擾 正 常 系
統 運 作 的 進 行 , 服 務 主 機 疲 於 奔 命 最
後 幾 乎 當 機 , 最 後 無 法 再 提 供 服 務。
DoS 不 一 定 需 要 取 得 系 統 使 用 的 權 力
, 即 可 達 到 目 的 。 常 見 的 DoS 手 法 如
IP Spoofing 、 Ping of Death 、 SYN Flood 、 Teardrop
等 都 屬 於 該 類 方 式 。
常 見 的 三 種 DoS 攻
擊 方 式
IP
Spoofing:IP
Spoofing 是 駭 客 用 來 達 到 隱 藏 入 侵 者 的 身 份 或 加 強 DoS
攻 擊 的 能 力 , 因 為 路 由 器 或 防 火 牆 的 封 包 過 濾( Packet
Filtering ) 系 統 對 每 個 封 包 所 採 用 的 規 則 乃 是 依 據
該 封 包 的 來 源 位 置 而 定 , 此 技 術 是 用 來 改 變 網 路 封 包
的 來 源 位 址 , 假 裝 其 來 源 來 自 於 可 信 任 的 網 路 , 進 而
順 利 進 入 私 人 網 路 , 使 用 一 系 列 的 DoS 攻 擊 時 攻 擊 者
可 以 籍 此 技 術 來 隱 藏 自 己 位 置 和 身 分 。
Ping of Death:利
用 "Ping" 指 令 來 產 生 超 過 IP 協 定 所 能 夠
允 許 的 最 大 封 包(亦 即 超 過 封 包 長 度 65535 bytes )。 當
這 個 封 包 送 到 沒 有 檢 查 功 能 的 系 統 , 則 可 能 會 造 成 系
統 當 機 , 因 為 理 論 上 65535 bytes 是 一 個 不 合 法 的 長
度 , 如 果 作 業 系 統 系 統 無 法 接 受 此 一 封 包 加 以 回 應 (OS
bug), 最 後 就 會 導 致 當 機 。
Teardrop : 一 般 來
說 , 當 資 料 需 經 由 網 路 傳 送 時 , 負 責 傳 輸 的 主 機 會 將
I P 封 包 經 常 會 被 切 割 成 許 多 小 片 段 , 到 達 目 的 地 主
機 後 按 照 原 狀 重 新 組 合 起 來 。 除 了 一 些 記 載 位 移 的 資
訊 之 外 , 這 些 切 出 來 的 小 片 段 與 原 來 封 包 的 結 構 大 致
相 同 。Teardrop 的 攻 擊 方 式 是 送 出 一 對 經 過 特 別 設 計
封 包 片 段 , 使 得 這 一 對 封 包 片 段 在 目 的 地 電 腦 重 新 組
合 時 , 產 生 與 原 來 資 料 不 合 的 封包 , 它 的 原 理 在 於 改 變
第 二 個 片 段 的 位 移 資 訊 , 使 得 資 料 往 左 移 至 第 一 個 片
段 的 中 間 與 第 一 個 片 段 資 料 重 疊(overlap), 重 疊 部 份
將 會 系 統 認 為 資 造 太 長 而 被 略 過 , 導 致 一 個 實 際 上 比
原 來 長 度 更 短 的 封 包 , 最 後造 成 系 統 當 機 。 |
