- Aug 28 Sun 2011 02:14
APN
- Jul 31 Sun 2011 19:28
網路介面速度
許多人對 Kbps、KB、Mbps 等速度單位一頭霧水,以下就以 1.5 M、3 M、6 M 三個速度單簡單說明一下如何計算。 所謂 1.5 M 寬頻,其實是指 1.5 Mbps (bits per second),亦即 1.5 x 1024 / 8 = 192 KB/sec。 但這只是理論上的速度,實際上則要再扣約 12 % 的 Ethernet Header,IP Header,TCP Header,ATM Header 等控制訊號。 故其傳輸速度上限應為 169 KB/sec 左右。 在傳輸單位的寫法上,大寫 B 和小寫 b 分別代表 Bytes 和 bits,兩者的定義是不同的,請先不要混淆。 1 Byte = 8 bits 1 Kb = 1024 bits 1 KB = 1024 bytes 1 Mb = 1024 Kb 1 MB = 1024 KB 寬頻最高下載理論值 1.5 M = 169 KB/s 3 M = 338 KB/s 6 M = 676 KB/s 10 M = 1126 KB/s 外加傳輸速率代號(一般機房線路的頻寬稱呼) T1 = 1.544 Mbps E1 = 2.048 Mbps T2 = 6.17 Mbps T3 = 45 Mbps OC1 = 51.84 Mbps OC3 = 155.5 Mbps OC12 = 622 Mbps ATM = 155 Mbps STM1 = 155.5 Mbps STM4 = 622 Mbps T1、E1、T2、T3 都是專線的規格。 T1 專線的頻寬在北美區為 1.544 Mbps,表示每一秒鐘可以傳送 1.5 百萬位,歐洲則是 2.048 Mbps,台灣與北美均是 1.544 Mbps。 T2 專線是 6.1 Mbps 為 T1 的 4 倍,T3 專線是 45 Mbps,為 T1 的 30 倍。 OC-Level (OC1、OC3、OC12) 利用光纖纜線作為傳輸媒介。 OC1 的傳輸能力是 51.84 Mbps,而 OC3 是 155.5 Mbps,為 OC1 的 3 倍,OC12 是 622 Mbps,為 OC3 的 4 倍。 ATM 是一種高速的資料傳輸技術,最快傳輸速度為 155 Mbps,傳輸能力比 3 條 T3 專線加起來還快。 STM1、STM4:以光纖纜線為傳輸媒體。 STM1 的頻寬為 155 Mbps,是 T1 (1.5 Mbps) 線路速率的百倍以上,是 T3 (45 Mbps) 線路速率的 3.5 倍。 STM4 是 622 Mbps 。
最佳化頻寬需求規劃:取自 Pc-Net Go 每日平均網頁瀏覽數 ÷ 24小時 ÷ 60分鐘 ÷ 60秒鐘 = 每秒平均網頁瀏覽數。 每秒平均網頁瀏覽數 x 5 (尖峰時間寬放係數) x 平均網頁資料容量 (bits) = 最佳化頻寬需求 。 尖峰時間寬放係數: 為了應付非預期因素所帶來的網站人潮(我們會將這種情況稱為尖峰時間,必須對網站所需的頻寬作一點彈性的調整。 這樣的調整係數我們稱為尖峰時間寬放係數。 您必須根據人、事、地、物對此係數做出調整,這裡的 5 是一個比較寬鬆的數字。 如果你因為預算的關係,建議將此數值調整在 3 以下即可 。 實際情況: 如果您預期您的網站平均每日將有 10,000 個網頁的流覽數,每一個網頁的平均資料容量是 300 k (Bytes) = 2400 k (bits)。 而您將尖峰寬放系數設定為 2,那麼您大概需要的頻寬是: 10000 ÷ 224 (小時) ÷ 260 (分鐘) ÷ 260 (秒鐘) = 0.12 (頁/秒)。 0.12 x 2 (尖峰時間寬放係數) x 2400 k (bits) = 576 k。 以雙向 512 K ADSL (能夠有 400 多 k 的速率已經算不錯了)勉強可以應付這樣的頻寬需求(在此線路不做其他網路服務的情況下)。 如果尖峰寬放系數調整為 3,則不建議繼續使用這樣的方案,您至少得租用 1 M 的主機代管方案。 相關參考網頁: TWNIC-連線頻寬登錄查詢系統 Go 。 免費流量監控工具 Go 。 有關頻寬的估算及基礎知識 Go 。
- Oct 20 Wed 2010 14:36
光纖小常識
1、何為GBIC?
GBIC是Giga Bitrate Interface Converter的縮寫,是將Gigabit電信號轉換為光信號的介面器件。GBIC設計上可以為熱插拔使用。GBIC是一種符合國際標準的可互換產品。採用GBIC介面設計的Gigabit交換機由於互換靈活,在市場上佔有較大的市場分額。
2、何為SFP?
SFP是SMALL FORM PLUGGABLE的縮寫,可以簡單的理解為GBIC的升級版本。SFP模組體積比GBIC模組減少一半,可以在相同的面板上配置多出一倍以上的埠數量。SFP模組的其他功能基本和GBIC一致。有些交換機廠商稱SFP模組為小型化GBIC(MINI-GBIC)。 SFP模組體積比GBIC模組減少一半,可以在相同的面板上配置多出一倍以上的埠數量。SFP模組的其他功能基本和GBIC相同。
- Sep 13 Mon 2010 00:52
[駭客]分散式阻斷服務(DDoS)攻擊
分散式阻斷服務(DDoS)攻擊 分散式阻斷服務(DDoS)攻擊的前身是所謂的『阻斷服務(Denial- of-Service,簡稱DoS)攻擊』。DoS攻擊並不以篡改或竊取主機資料 為目的,而是癱瘓系統主機使之無法正常運作。換言之,由於一般網 路系統的系統資源(例如記憶體、磁碟空間以及網路頻寬等)皆有限, 因此駭客可以根據部分網路系統或者相關通信協定等之設計或實作上 的漏洞,在一段期間內透過傳送大量且密集的封包至特定網站,使該 網站無法立即處理這些封包而導致癱瘓,進而造成網路用戶無法連上 該網站而被阻絕在外。這種攻擊對網站本身而言,並不具破壞性,只 是造成系統無法即時處理駭客所送來的大量訊息而停滯或當機。早在 1999年8月美國明尼蘇達大學就曾遭受到DoS攻擊,使該校網站被迫暫 時關閉。目前已知的DoS攻擊方式有數十種之多,然而主要攻擊方式 為『點對點』的攻擊,任何人只要握有一攻擊程式即可讓未受保護的 網路或裝置癱瘓,例如:WinNuke攻擊程式便可讓未受保護的MS Windows 電腦當機。 基本上,DDoS是DoS的一種變形,因為它是透過網路分散來源的技 巧,所以將之稱作分散式DoS(Distributed DoS,簡稱DDoS)攻擊。 DDoS攻擊方式在於它是從網路上的許多台主機同時發動類似DoS的攻 擊行為,所以遭受攻擊的主機同時面對的敵人數目將是數百台來自 不同網域的主機,這種獨特之處,使得DDoS攻擊不一定要真正把遭 攻擊主機的系統程式給異常終止掉,只需要同時送出遠超過網路負 荷或者是遠超過遭攻擊主機所能允許的最大連線數量的資料,就能 達到癱瘓目標網站之目的。 由上述得知,DDoS攻擊需要一定數量的網路主機,以作為發動攻 擊的攻擊伺服器(Daemon),待駭客發出攻擊命令時,才可透過這 些攻擊伺服器同時對特定目標進行癱瘓性攻擊。為了隱密而不被發 現地準備發動DDoS攻擊所需之足夠數量的攻擊伺服器,駭客會先用 盜取、監聽的方式取得不合法的帳號以取得某些發起機器(Master), 並且將入侵的後門程式放置在發起機器上,然後透過發起機器上的 後門程式開始嘗試侵入為數眾多的網路主機,藉此取得足夠數量的 主機以作為攻擊伺服器。最後,駭客會在發起機器上放置攻擊發起 程式用以通知攻擊伺服器發動DDoS攻擊,並且在擊伺服器上放置實 際攻擊程式以實際執行癱瘓攻擊。在此值得注意的是駭客可能會使 用許多可以遠端侵入網路主機的系統程式,例如Solaris的toolTalk、 csdmd等入侵程式、並且藉由掃描網路上機器以作為攻擊之用。在取 得足夠數量的網路主機帳號之後,駭客下一階段性開始計畫如何去 發起這樣的癱瘓攻擊。DDoS的攻擊命令可以透過圖一中攻擊者 (Attacker)-發起機器(Master)-攻擊伺服器(Daemon)的路 線完成,而由最底層的攻擊伺服器實際執行癱瘓攻擊。DDoS攻擊的 網路結構如圖一所示。 在此攻擊架構中,攻擊者不限定只有一位,只要每位攻擊者能夠 同時掌管數台主要的發起機器,而每一台發起機器叫能同時管理數 十台、數百台的攻擊伺服機器,在收到發起機器的攻擊訊號的同時, 會送出攻擊封包至發起機器所指定的目標主機。因此,駭客使用盜 取而來的帳號,先要對一定數量的發起機器上機預先作好入侵動作, 然後用『等比級數』的方式在去入侵更下層的攻擊伺服器,這樣子 才能達到大量攻擊的日標。當一切部署完成後,駭客只要由上層的 入侵帳號下令攻擊,在最短的時間差內,遭受攻擊的目標主機將會 收到非常大量的癱瘓攻擊。 由上述知道,要達到DDoS分散式攻擊有許多特定的條件。首先, 一定要有足夠的數量,且要有著快速網路頻寬的發起機器、攻擊伺 服器。因為要在最短的時問內將攻擊程式分散到所有的發起機器、 攻擊伺服器上,要達成完美的癱瘓攻擊,網路連線的速度是最重要 的關鍵點。其次是要在發起機器與攻擊伺服器上『隱藏』駭客所安 裝的攻擊發起程式、實際攻擊程式、還有入侵的後門程式等。為了 隱藏自己的行蹤,駭客會想盡辦法來延遲被追蹤的時間,例如運用 IP Spoofing的技術來入侵系統,達到隱藏入侵者身分、或是加強 DDoS的攻擊能力。所謂的IP Spoofing主要是更改封的表頭,讓整 個攻擊封包看起來像是來自可信任的網域,而被允許進入Router或 防火牆(firewall),直接攻擊網路主機。 DDoS攻擊種類 DDoS的攻擊原理大都是利用TCP/IP網路協定本身的漏洞與特性, 使受攻擊之目標主機或網路因無法處理由駭客所發出或偽造的大量 垃圾封包,而導致系統停滯或當機。目前電腦駭客常用的DDoS攻擊 程式,大致上可以分為下列三種: 1.利用網路主機處理封包的特性進行攻擊,其做法是向受攻擊之目 標主機發出超過其負荷之垃圾封包,使之因無法即時處理而導致 當機;或者是改變封包的控制資料,使網路主機無法正確地處理 所收到的封包。例如:Ping of Death、TearDrop攻擊。 ‧Ping of Death攻擊:運用網路上最常見的Ping工具程式,來 產生超過IP協定所能允許的最大封包。若是沒有檢查機制的系 統收到這些過量的封包時,則有可能會造成系統當機。 ‧TearDrop攻擊:利用IP封包重組的漏洞來進行攻擊。當資料要 經由網路傳送時,其IP封包常被切割成許多小片段;每個小片 段和原來封包的結構除了某些記載位移的資訊不同外,其餘大 致都相同,其中這些位移資訊是要使網路主機在收到這些小片 段時能夠正確地重組IP封包。TearDrop攻擊則憑空創造出一些 IP片段,但這些片段包含了重疊的位移值。當這些片段被傳送 到達目的地時,會重組成原來的IP封包,此時可能會造成系統 當機。 2.利用icmp做洪水或倍增型攻擊。例如:smurf、icmp攻擊。 ‧smurf攻擊:直接對網路進行廣播,造成網路很快地充滿垃圾封 包而中斷。smurf會不斷地將小量偽造的icmp要求封包送給IP廣 播位址(IP broadcast address),然後廣播位址會傳回大量 的icmp回應封包給目標主機。這種smurf的攻擊方式除了攻擊特 定目標主機,也能在網路上塞滿icmp的要求封包與回應封包而 造成網路中斷,所以常被稱為smurf倍增型攻擊。 ‧icmp攻擊:將大量『偽造來源位址』的icmp要求封包送給目標 主機,目標主機會回應等量的icmp回應封包而造成目標主機無 法負荷而當機。 3.利用TCP/IP通訊協定中詰問-回應模式的漏洞進行攻擊。網路上, 通訊雙方為了要確保彼此的連結溝通,通常會由一方發出詰問訊 息給另一方,並且等候對方回應一個正確的訊息。若是對方能夠 回應一個正確的訊息,則能確保訊訊雙方的彼此連結。具體而言, 在TCP/IP通訊協定中,甲端跟乙端的連結溝通方式,甲端會先送 出SYN封包給乙端,當乙端收到此封包之後,會回應一個SYN-ACK 的封包給甲端,最後甲端會再送一個ACK的封包給乙端作為確認 之用。在完成這些程序之後,甲端與乙端便能確認彼此的連結, 進而能夠傳送與收發溝通資料。駭客便針對這種溝通模式,企圖 產生一些大量的SYN封包給特定主機,然而卻不回送ACK的封包給 該主機,使之停滯或因無法處理而癱瘓。例如:SYN Flood、LAND 攻擊。 ‧SYN Flood攻擊:駭客只對目標主機發送一連串的SYN封包,每 個封包都要求目標主機系統回應一個SYN-ACK封包,然後目標 主機系統在回應SYN-ACK封包後會等待對方送出ACK封包。由於 駭客並不產生任何ACK封包給目標主機,因此目標主機的系統 佇列裡面會暫存大量的SYN-ACK封包,這些封包必須等到收到 對方的ACK封包或是超過逾時時間之後才會被移除。如此目標 主機系統會因為充滿了SYN-ACK封包而造成無法再處理其他使 用者的服務與要求。 ‧LAND攻擊:運用IP Spoofing技術送出一連串SYN封包給目標主 機,讓目標主機系統誤以為這些封包是由自己發送的。由於目 標主機在處理這些封包的時候,它自己並無法回應給自己SYN-ACK 封包,因而造成系統當機。值得注意的是LAND攻擊程式原本是 設計用來造成Windows95當機,但經過實際測試結果發現,許多 Unix工作站、甚至Router也受其影響。 DDoS攻擊防範之道 由DDoS攻擊方式得知,駭客會先在許多機器上放置DDoS的常駐攻 擊程式,進而利用DDoS攻擊迫使網路主機癱瘓,因此為要有效防制 DDoS攻擊,系統管理者只要能找出已經被放置這些常駐攻擊程式的 網站主機,就能解決被DDoS攻擊的威脅。目前已有許多偵測攻擊常 駐程式的工具,例如Windows系統可以利用IIS的Internet Scanner 6.01 程式與RealSecure 3.2.1程式來進行掃描。前者能有效地掃描出Tribe Flood Network的常駐攻擊程式,並且亦可協助找出網站漏洞,以避 免該網站成為駭客進行DDoS攻擊的幫凶。另外,後者能夠偵測出在 DDoS的發起主機與攻擊伺服器聯繫時的通訊,進而有效地阻止駭客 啟動DDoS攻擊。除此之外,英國NIPC亦針對DDoS攻擊發展出find_ddos 程式,此程式能讓系統管理者針對自己的系統進行偵測,以確定是 否曾被安裝了DDoS之類的攻擊程式。最後,系統管理者也可以監控 主機或Router,把怪異的偽造來源IP封包過濾掉,例如:10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16;或是把網路主機不需要的service port關掉;同時,也可以在網路主機或Router上設ACL(tcp_wrapper) 限制可登錄之對象等等來防止入侵。 結論 近幾年來,由於網際網路的快速成長,加上電子商務的掘起,使 得人們對於網路所可能帶來的商機存在著無限美好的願景,然而在 仰賴資訊科技的同時,仍然存在許多潛在的網路安全威脅與駭客攻 擊。上述所描述的DDoS攻擊只是駭客攻擊網站或主機的其中一種方 式。目前許多網路安全漏洞或駭客攻擊已被找出並且有其防範之道, 但是隨著科技的進步,駭客攻擊技術也隨之日新月異。因此為了能 夠建立一個安全的網路環境,系統管理者有必要深入探討系統可能 面臨的各種攻擊,進而完備一套健全的防禦機制。