[教學] 寬頻路由器-知識集
正因寬頻的興起,使用固定IP架設網站或其他服務的風氣也日熾。但無論是使用固定IP、單組浮動IP或多組浮動IP,寬頻的連線速度都會使許多「吃飽閒閒」的駭客蠢蠢欲動,隨時準備進入你的電腦窺視一番。而受到攻擊的機率與容易程度,又決定於連線IP的型態(固定IP較容易遭受攻擊)及連線時間的長短(永不斷線受攻擊機率大)。
防火牆(Firewall)的概念
防火牆(Firewall)其實是一個大家耳熟能詳的名詞,顧名思義Firewall是在WAN與LAN之間構築一道保護的機制,透過身份的驗證、資料檢查及設定各種規格等等,以確保資料來自於受信任的網站或人士。基本上,防火牆大致可以歸類成兩類。
1. 封包過濾型(Packet Filtering):封包過濾是指利用管理者所指定的規則來過濾封包,如果不符合該規則及丟棄或拒絕。例如管理者可能指定來源電腦的IP位址,僅允許該位址的資料進入,其餘即拒絕就是一例。
2. 代理伺服器(Proxy):顧名思義此方法是在來源端與Server中間架設一台代理伺服器,它可以針對特定應用程的存取做控管。基本上,所有要往Server的封包都會先經過代理伺服器,除了檢查封包外,針對特定請求所作出的回應封包才能進入。例如Web Proxy即是一個代理伺服器的防火牆。
阻斷式服務攻擊(DoS;Denial of Service)
談到駭客攻擊的方式,這些方式可說包羅萬象亦難以歸類,在這裡僅介紹幾種較為常見與熱門的方式:阻斷式服務攻擊(DoS;Denial of Service)
DoS是一種點對點的網路攻擊方式,攻擊的對向是Internet上的網路和裝置。攻擊者可藉由不正當的方式使得網路伺服器因忙碌著回應合法的存取要求或拒絕使用者的存取,達到干擾正常系統運作的進行,服務主機疲於奔命最後幾乎當機,最後無法再提供服務。DoS不一定需要取得系統使用的權力,即可達到目的。常見的DoS手法如IP Spoofing、Ping of Death、SYN Flood、Teardrop等都屬於該類方式。
三種DoS手法
a. IP Spoofing:IP Spoofing是駭客用來達到隱藏入侵者的身份或加強DoS攻擊的能力,因為路由器或防火牆的封包過濾(Packet Filtering)系統對每個封包所採用的規則乃是依據該封包的來源位置而定,此技術是用來改變網路封包的來源位址,假裝其來源來自於可信任的網路,進而順利進入私人網路,使用一系列的DoS攻擊時攻擊者可以籍此技術來隱藏自己位置和身份。
b. Ping of Death:利用"Ping"指令來產生超過IP協定所能夠允許的最大封包(亦即超過封包長度65535bytes)。當這個封包送到沒有檢查功能的系統,則可能會造成系統當機,因為理論上65535bytes是一個不合法的長度,如果作業系統系統無法接受此一封包加以回應(OS bug),最後就會導致當機。
c. Teardrop:一般來說,當資料需經由網路傳送時,負責傳輸的主機會將IP封包經常會被切割成許多小片段,到達目的地主機後按照原狀重新組合起來。除了一些記載位移的資訊之外,這些切出來的小片段與原來封包的結構大致相同。Teardrop的攻擊方式是送出一對經過特別設計封包片段,使得這一對封包片段在目的地電腦重新組合時,產生與原來資料不合的封包,它的原理在於改變第二個片段的位移資訊,使得資料往左移至第一個片段的中間與第一個片段資料重疊(overlap),重疊部份將會系統認為資造太長而被略過,導致一個實際上比原來長度更短的封包,最後造成系統當機。
寬頻防護不可少
寬頻的普及讓網路安全的議題持續發燒,如果您是SOHO族、玩家級網路族、或者特別注重網路安全的使用者,具有進階防火牆功能的IP分享器,是您必備的安全保鏢 !
路由器又稱為路徑器,用戶在網路層上連接不同網路所用的硬體與軟體,路由器與橋接器 (Bridge) 的功能類似,藉著將許多較小的網路連結在一起,以便有效擴充網路。路由器可以連接使用不同網際網路通訊協定 (IP ) 和傳輸方法的區域網路 (LAN ) 。
路由器應該具有數種傳輸路徑,每種路徑有不同的傳輸速度和傳送時間。路由器的功能是負責接收網路上傳輸的封包,檢查訊息中包含的目標位址碼,依照被傳送封包的大小和急緩,為它選擇最佳路徑,把封包傳送到指定地點。
如果路由器找不到封包的目的位址,或不知路徑,會將封包丟棄,並傳回錯誤訊息。有些封包則會保存它們在網路上轉送站數目,並累積這個數目。當某個封包轉送站數目超過某個上限,也會被路由器丟棄,並傳回錯誤訊息。
與橋接器比較:
1. 價格上,路由器比橋接器昂貴。
2. 因為路由器適合用於多重廣域連結,容錯功能較橋接器佳。
3. 效率上,當兩邊網路橋接器使用指定的封包大小,橋接器工作得最有效率。路由器在一般操作時因為要分拆封包後重組,所以更有容錯性。
4. 偵錯。橋接器會進行資料連結層的錯誤檢查,可以阻止壞的封包通過該連結。路由器則更進一步在資料連結層和網路層進行錯誤檢查。
5. 傳送時間。橋接器提共最短的傳送延誤,因為執行非常少流程作業。
6. 容量。當橋接器在超過24個可以作用節點的區域網路區段服務時,會形成一個瓶頸。在這個狀況下,路由器通常可以工作得更有效率。
