昨天我們談到了物理層次的攻擊，今天我們就來談談精神層次的攻擊。

今天我想要聚焦在網路攻擊有用的部分，俗話說：「攻擊就是最好的防禦。」其實做攻擊遠比做防禦來得有趣，只是活得快不快樂，實繫在「動機至善，私心了無」這句話上面。

馴良像鴿子，靈巧像蛇

我又不是知名網站，請問我會遭受「分散式阻斷服務攻擊 (DDos)」嗎？有一次安總仔細去查看開放出來的 API 及相關 Server Access Log，發現很多很奇怪的存取記錄 (大規模攻擊？隨機攻擊？)，才發現這世界的惡意真是無所不在啊。

醫療器材和殺人武器，往往只差在一念之間

一個「木馬程式 (偽裝、潛藏、攻擊)」與「底層程式 (介面、包裹、作動)」的差別，就在於出於惡意或善意；一個好的底層程式，可以發揮即時處理和智能分析的功能，一個壞的木馬程式，在您不知情之下拿走想要的資訊。

一個「具備加解密能力之應用系統」，與一個「勒索軟體」的差別，就在於應用系統只加密敏感資料，而且提供具備權限的人解密功能；勒索軟體會把您整顆硬碟全部加密，要付比特幣才「可能」幫您解密。

ARP 快取攻擊與解決之方

1. ARP (Address Resolution Protocol) 是負責將 IP 位址轉換成 MAC 位址的一種通訊協定。
2. 當某一台電腦要傳送資料到某個 IP 位址時，會先傳送 ARP 封包詢問網路上哪台電腦的 MAC 位址對應到這個 IP 位址，當目的端的電腦接收到這個 ARP 封包之後，便會回應給來源電腦進行資料傳送。
3. 何謂 ARP 快取 (ARP Cache)？
   • 過多的 ARP 封包也會佔用到網路頻寬造成網路擁塞，因此當有 ARP 封包經過時，電腦或是網路設備可儲存相對應的 IP 與 MAC 位址，這就是 ARP Cache。
   • 往後可不需要再發送 ARP 封包便可直接傳輸資料，可減少對網路頻寬的影響。
   • 若要查看本機的 ARP Cache，可在命令提示字元中執行 arp -a。
4. 何謂 ARP 攻擊 (ARP Spoofing)？
   • 發送一個假的 ARP 封包竄改 ARP Cache，使得資料無法正確傳輸到目的地，造成網路無法連結，便稱作 ARP 攻擊。
   • 由於一般的 ARP Cache，是根據經過的 ARP 封包不斷的變更本身的 ARP 列表，假設接收到的 ARP 封包所提供的資料是偽造的，就會讓資料無法傳輸到實際的目的地。
5. 如何防禦 ARP 攻擊？
   • DHCP Snooping，網路設備可藉由 DHCP 保留網路上各電腦的 MAC 位址，在偽造的ARP封包發出時即可偵測到
   • 此方式已被大部分廠牌之網路設備產品所支援，其監控軟體可監聽網路上的 ARP 回應，若偵測出有不正常變動時，可發送電子郵件通知管理者。

DNS 快取攻擊與解決之方

1. DNS 快取污染，主要影響是會將使用者導向不正確的網站。
2. 原理跟 ARP 一樣，DNS 若讀到一組不正確的 Domain Name 與 IP 對應資料，那他就會被影響到，而且還會把這筆不正確的紀錄告訴別人。
3. 解決步驟如下：
   • 更新廠牌的網路設備之 DNS 服務，比方說 DNSSEC。 (廠商進階選擇功能)
   • 限制存取查詢的權限 (最小權限基本功)
   • 過濾掉不必要的流量 (最小權限基本功)
   • 建立內部使用的 DNS Cache 服務 (廠商進階選擇功能)
   • 停用遞迴查詢 (Recursion) (最小權限基本功)
   • 使用隨機選擇的來源埠號 (廠商進階選擇功能)
4. DNSSEC：
   要求所有的 DNS 回覆，都必須附上數位簽章，保護應用端和 DNS，不受到偽造的 DNS 記錄影響。

最近正在鑽研各國的關鍵基礎建設政策，特別是印度 National Critical Information Infrastructure Protection Centre 於 2014 年於新德里的創立，特別令我關注。不過這本書沒提到泰國近年來的作為，看來該出新版更新內容了。

《International CIIP Handbook 2008/2009》