封包交换-中兴大学系统与网路管理室.PPT

計算機網路的設計者可以做些什麼，來幫助連上網際網路的裝置防禦惡意軟體的攻擊？ 壞蛋們有可能攻擊伺服器與網路基礎設施 安全威脅有另一大類為服務阻斷 (denial-of-service，DoS) 攻擊。 絕大部分的網際網路DoS攻擊可以歸為以下三類之一： 弱點攻擊。這種攻擊牽涉到送出一些妥善編造的訊息給目標主機所執行之具有弱點的應用程式或作業系統。 頻寬滿載。攻擊者送出洪水般的封包給目標主機——封包多到塞滿目標的連線連結，讓合法的封包無法抵達該伺服器。 連線滿載。攻擊者會在目標主機上建立大量半開或全開的TCP連線 在分散式服務阻斷 (distributed DoS，DDoS) 攻擊中，如圖1.25所繪，攻擊者會控制多個來源，並且讓每個來源都對目標猛烈地送出資料流。 控制數千台主機構成的傀儡網路進行DDoS攻擊在今日是經常發生的情形。 DDoS攻擊比起來自單一主機的DoS攻擊要難以偵測防範許多。 壞蛋們有可能竊聽封包 雖然無所不在的網際網路連線極度便利，但是它也製造了重大的安全弱點——在無線傳輸者附近放置一個被動接收器，這個接收器就能取得所有傳輸出的封包副本！密碼、社會安全號碼、交易機密以及私人訊息等。會記錄下所有經過的封包副本的被動接收器，稱作封包竊聽器 (packet sniffer)。 竊聽器也可能會被裝設在有線的環境中。 本書所附的Wireshark [Wireshark 2012] 實驗 (參見章末有關Wireshark實驗的介紹) 所使用的正是這樣的封包竊聽器！ 因為封包竊聽器是被動的——也就是說，它們並不會注入封包到通道中——我們難以偵測到它們。 其中一些對付封包竊聽的最佳防禦措施，與密碼學有關。 壞蛋們有可能偽裝成你信任的某人 將具有假的來源位址的封包注入到網際網路的能力，稱作IP詐騙 (IP spoofing)，這僅是使用者要偽裝成另一個使用者的諸多方法之一而已。 要解決這個問題，我們需要端點認證 (end-point authentication)，也就是說，一種讓我們能夠有把握地判斷某則訊息是否真的來自於我們所認為之處的機制。 因為網際網路本來就是這樣設計的，建立在「一群互信的使用者連接到一個透明的網路」這樣的模型之上。 然而今日的網際網路確實不只跟「互信的使用者」有關而已。 我們應該要尋找對抗竊聽、端點偽裝、中間人攻擊、DDoS攻擊、惡意軟體，以及其他威脅的防禦機制。 1.8　總結 我們看到狹義地構成網際網路和廣義地構成計算機網路的各式各樣軟硬體組件。 觀察終端系統及其應用，以及提供給在終端系統上執行之應用程式的傳輸服務。 審視了連線網路中通常會看到的連結層技術以及實體媒介。 辨別封包交換與電路交換這兩種電信網路中傳送資料的基本方法。 我們看到網際網路的階層式架構。 檢視了封包交換網路中的延遲、產出率與封包遺失。 我們檢視了協定分層和服務的模型。 考察了網際網路時代一些較猖獗的安全性攻擊。 本書導覽 1. 計算機網路和網際網路 2. 應用層 3. 傳輸層 4. 網路層 5. 連結層和區域網路 6. 無線與行動網路 7. 多媒體網路 8. 計算機網路的安全性 9. 網路管理 第2至第5章是本書的四個核心章節。我們的旅程將由網際網路協定堆疊的最頂層，亦即應用層開始，然後一層一層的往下看。 在第6章中，我們會檢視無線與行動網路。在第7章 (多媒體網路) 中，我們會檢視音訊和視訊的應用。在第8章 (計算機網路的安全性)，我們會先檢視加密的基礎和網路安全性。最後一章 (網路管理) 則會探討網路管理的主要議題，以及網路管理主要會使用到的網際網路協定。 1.4.4 計算機網路的產出率 除了延遲與封包遺失外，計算機網路另一項關鍵的效能量測標準，便是端點到端點的產出率。 瞬間產出率 (instantaneous throughput) 平均產出率 (average throughput) 我們可以把位元想像成水流，通訊連結則想像成水管。 對於這個簡單的雙連結網路來說，其產出率為min{Rc, Rs}，也就是說，等於瓶頸連結 (bottleneck link) 的傳輸速率。 一個在伺服器與用戶端之間擁有 N 道連結的網路，這 N 道連結的傳輸速率分別為R1, R2,..., RN。運用跟雙連結網路相同的分析方式，我們發現從伺服器到用戶端的檔案傳輸產出率為min{R1, R2,..., RN}，同樣是伺服器到用戶端路徑上瓶頸連結的傳輸速率。 因此，今日網際網路產出率的限制因素，通常是連線網路。 作為最後的例子，請考量圖1.20 (b)，其中有10台伺服器與10台用戶端連接到計算機網路的核心。 核心內有一道10筆下載全部都會經過的連結。令這個連結 R 的傳輸率為 R。 而共用連結會將其傳輸速率平分給10筆下載。 產出率不只取決於路