幫助我清楚了解網路流程及架構,以及網路駭客的攻擊手法 ─ 恆逸教育訓練中心 ─ 學員證言網站

 

資訊安全

眾多顧客已親身體驗恆逸的好,並成功提升專業競爭力,你也可以!

來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!

柯彥竹

  • 文章分類:資訊安全
  • 參訓課程:網路安全封包分析認證課程

幫助我清楚了解網路流程及架構,以及網路駭客的攻擊手法

網路封包可針對三個情境進行錄製:

1. 於本機端錄製封包

2. 於Switch端使用Port Mirror或Port Mapping功能錄製封包

3. 於防火牆及Switch間架設Capturing System進行封包錄製

講師也列出了常用的網路封包分析軟體:Wireshark、TcpDump、A-PacketMan、IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)及UTM(Unified threat management)。

本課程教學重點在本機端中使用Wireshark以人工方式對封包錄製分析,上述最後三項封包側錄分析軟體(IDS、IPS、UTM),以人工方建立規則後,即可進行自動化分析。

 

Wireshark是一個免費開源的網路封包分析軟體,可於多種常見之作業系統中運行(Windows、Linux、MacOS皆可運行),除操作介面友善外,並具備完整的過濾器和統計分析功能,針對封包所屬通訊協定的種類以不同的顏色來呈現,讓我們在檢視時可即時瞭解所側錄的網路封包類型。

 

側錄網路封包所產生之資料量通常非常龐大,重要的是要怎麼去過濾出有用的封包資訊,使資料減量,除可加快人工檢閱的速度,並可提高分析的準確度,講師示範如何於Wireshark撰寫過濾條件,以有效地減少封包資料量,過濾語法可加入類似程式語言中的邏輯運算子(AND、OR、NOT)及比較運算子(==、!=、 >=、 <=)。

 

為怕我們跟不上操作教學,講師總是不厭其煩地重覆步驟,並提示Wireshark操作的小技巧,使我們可很快地熟悉使用Wireshark,針對各種常見之通訊協定及不正常封包活動,如HTTP、HTTPS、SMTP、IMAP、網路芳鄰(CIFS/SMB/NAS)、DNS Spoofing及SQL injection。除介紹其基本封包特徵外,講師也會描述其背後的歷史由來,使我們俱更深刻之印象,並直接於現場下載惡意程式,配合Wireshark觀察封包流動,除了可以很清楚了解網路流程及架構,也可藉此了解網路駭客的攻擊手法。

 

講師曾提到防毒軟體只能夠針對已知的惡意程式特徵進行過濾和阻擋,對於新型態或無法明確定義特徵的行為,幾乎都無法達到防護的要求,Wireshark雖不是入侵偵測系統,但若懂得網路封包於不同通訊協定的特定行為,安裝Wireshark會比防毒軟體還有更大的效用。

 

課程最後,講師示範如何使用Tor瀏覽器匿名連接至暗網,並提供一些實用之入口網站清單,使我們得以一窺暗網其中之奧妙,因暗網大多暗藏非法或不道德的資料,甚至會有許多惡意程式在流竄,講師建議上暗網前要採取適當之預防措施,最好使用乾淨且內無隱私資料之電腦來瀏覽暗網。

 

 

看看其他人怎麼說

看更多