運輸系統?

📌 網路就像城市裡的大運送系統

IP → 地址、TCP → 掛號郵件

UDP → 信片、DNS → 電話簿

網站名稱變成 IP，讓郵差知道要送去哪裡

HTTP → 瀏覽器跟網站說話

HTTPS → 對話上加了密

網路分層

1. 實體層

📌 就是郵差用的道路、郵件信封或郵筒，實際送信的管道

• 功能：負責實際傳輸比特（0 與 1），定義電纜、光纖、無線信號、電壓、傳輸速率
• 協定：Ethernet 物理層、光纖、RJ45、Wi-Fi 無線訊號
• 風險：
  • 物理竊聽（tapping）
  • 信號干擾 / jamming

2. 資料鏈結層

📌 像同一棟大樓的走廊或電梯，確保信件從房間 A 送到房間 B

• 功能：在同一網段內傳送資料，負責封包的封裝成幀（frame）、錯誤檢查、MAC 位址管理
• 協定：Ethernet、Wi-Fi (IEEE 802.11)、PPP、ARP
• 風險：
  • ARP Spoofing / ARP Cache Poisoning
  • MAC 欺騙

3. 網路層

📌 像城市的道路系統，決定信件或包裹該走哪條

• 功能：負責資料封包的路由與轉發，決定最佳傳輸路徑
• 協定：IP（IPv4/IPv6）、ICMP、IGMP
• 風險：
  • IP Spoofing（偽造來源 IP）
  • ICMP Flood / Ping of Death

4. 傳輸層

📌 像快遞公司，TCP 是掛號包裹，UDP 是明信片

• 功能：負責端對端的資料傳輸、順序控制、可靠性與錯誤檢查
• 協定：TCP（可靠、有順序）、UDP（快速、不保證順序）
• 風險：
  • TCP SYN Flood 攻擊
  • UDP 放大 DDoS 攻擊

5. 會議層

📌 像電話通話，確保你和朋友聊完整個對話，並在結束後掛斷

• 功能：建立、管理、終止應用程式之間的「會話」或連線
• 協定：NetBIOS、RPC、TLS session
• 風險：
  • Session hijacking（竊取會話 ID）
  • Session fixation（攻擊者強制使用特定 session ID）

6. 表示層

📌 把你寫的信件翻譯成收件人能讀懂的語言，或把信封加鎖

• 功能：負責資料格式轉換、加密/解密、壓縮/解壓縮，使資料能被應用程式理解。
• 協定：TLS/SSL、JPEG、MPEG、ASCII/Unicode
• 風險：
  • 不安全的加密算法（如 SSL 2.0）易被破解
  • 資料壓縮攻擊（如 CRIME、BREACH）

7. 應用層

📌 應用層就像你用手機或電腦的 app，例如瀏覽器或郵件程式

• 功能：提供使用者與網路互動的介面，處理應用程式資料
• 協定：HTTP / HTTPS、FTP、SMTP、DNS、Telnet、SSH
• 風險：
  • HTTP 明文傳輸被竊聽
  • 電子郵件協定被濫用發送垃圾郵件或釣魚
  • DNS spoofing 或 cache poisoning

TCP vs UDP

• TCP：三次握手（SYN → SYN/ACK → ACK），有順序與重傳
• UDP：不握手，低延遲
• TCP 可被 SYN Flood 攻擊
• UDP 可被放大（如 DNS 放大）成 DDoS

SYN 洪水攻擊

📌 一種 DDoS（分散式阻斷服務）攻擊，針對 TCP 連線建立三次握手

• TCP 三次握手：
  1. Client 發送 SYN（連線請求）
  2. Server 回應 SYN-ACK（確認連線）
  3. Client 回應 ACK（完成握手，連線建立）
• 攻擊方法：
  • 攻擊者發送大量 偽造 SYN 封包 到目標伺服器，但不回 ACK 完成握手
  • 伺服器為每個 SYN 封包保留資源等待 ACK，當數量過多時
  • 資源耗盡 → 合法使用者無法建立連線

DNS

• 名稱解析（domain → IP）
• 常見：A（IPv4）、CNAME（別名）、MX（郵件伺服器）、TXT（SPF、DKIM、驗證）。
• 風險：未受保護的 DNS 可被快取投毒（cache poisoning）、偽造解析
• 緩解：DNSSEC、DoT/DoH

DNS 洪水攻擊

📌 一種 DDoS（分散式阻斷服務）攻擊，目標是 DNS 伺服器

• DNS 伺服器負責將網域名稱（如 example.com）解析成 IP 位址
• 攻擊者大量發送 大量 DNS 查詢請求 到目標 DNS 伺服器
• 請求量超過伺服器處理能力 → 網站無法訪問

HTTP / HTTPS 與 TLS

• HTTP：請求（method、path、headers、body）→ 回應（status code、headers、body）
• HTTPS：HTTP over TLS；在 HTTP 之前先執行 TLS 握手（協商 cipher、交換金鑰、驗證憑證）
• 伺服器憑證（X.509）
• 握手流程（ClientHello → ServerHello → Key Exchange → Finished）

結論

攻擊者常利用傳輸層或應用層的弱點

• 透過 TCP/UDP 的濫用發動 DDoS
• 錯誤的 DNS 設定進行流量劫持
• 未加密的 HTTP 中攔截敏感資料

防守者如何防禦

• 啟用 TLS、關閉不必要埠
• 基礎設施配置（DNSSEC、最小開放埠）
• 偵測監控（SIEM 規則、異常流量告警）

📌 網路的每一層，都扮演了不同的角色

📌 TCP 需要等待交手，容易被DDoS

📌 遇到HTTP://的網站，須注意其安全