封包分析課程,從了解資訊產業發展到實際封包側錄技巧 ─ 恆逸教育訓練中心 ─ 學員證言網站

 

資訊安全

眾多顧客已親身體驗恆逸的好,並成功提升專業競爭力,你也可以!

來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!

李智煒

  • 文章分類:資訊安全
  • 參訓課程:網路安全封包分析認證課程
  • 取得證照:NSPA網路安全封包分析認證

封包分析課程,從了解資訊產業發展到實際封包側錄技巧

經過NSPA三天課程,讓我對於資訊業發展的歷史又多增加了許多理解,現在資訊業所定義的封包大小,自從60年代至今經歷過相當多的歷程,曾經有1Byte=6bits或7bits的年代,現在我們所使用的封包1Byte=8bits是IBM所定義的,當年不同的廠商有不同的定義,造就現在大家常見的規格。封包內容的大小,在網際網路之間到處竄,以前從未想過要去側錄看看自己家電腦的封包歷程,或許大家自己在家做測試,也會有意想不到的結果。

 

電腦之間溝通所使用的通訊協定,以往只知道HTTP跟HTTPs所使用的433跟80port,至於其他port並未深入了解其預設值及用途對應,例如DNS、SMTP、POP3、IMAP、SMB、UPn、FTP等等都有其規範,經過NSPA課程仔細地介紹各種歷史來由,更能快速理解各種port所對應的通訊協定,並藉此通訊協定可判斷電腦之間是否在正常的進行溝通,或是有異常的使用行為。封包分析的確對於判斷電腦行為相當有效,讓解讀封包這件事情更能人性化的理解其背後的動作。

 

在異常封包溝通的狀態下,對於病毒、木馬、後門、蠕蟲等等其他攻擊行為,都會有相對應的特徵,有些是採特徵碼的方式展現,有些是字串的展示,但這很需要經驗的累積,許多側錄出的封包過程,看起來正常,但仔細分析起來,卻不一定正常,封包分析可看出電腦使用者、伺服器回應、駭客之間相對應的行為,電腦不會自動產生封包,一定有相對的動作才會有相對的封包產生。

 

在使用者行為以外的部分是有關伺服器的回應值,或是其他電腦的回應值,以往也並不會特別去注意200、206、304、500這幾個HTTP的回應值,只有去注意到網頁產生404這個畫面而已。上課後才知道原來在電腦通訊的過程之間,不論正常或是不正常,都會產生對應的資料出來,顯示電腦通訊之間的狀況。 自己在家錄封包的環境。

 

自己在家測試發現,可能是自家電腦環境太複雜,一打開就不斷產生很多的封包,而恆逸教育訓練中心的電腦環境相當單純,錄封包也很容易判讀出來。例如上課中老師如果沒有開瀏覽器或對其他電腦連線,基本不會產生封包,如果有側錄到封包,那就要判斷是否真的有異常連線產生。自己在電腦上側錄封包這件事,會產生出巨量封包,會需要花很多時間去解讀。

 

現在網路環境上的駭客相當多,對於自己的機敏資料,在學習封包分析的技術之後,往後便能更能知道如何進行有效的防護。

 

 

看看其他人怎麼說

看更多