Jul 26, 2008

Smurf Attack

Smurf是一種使用ICMP協定進行的DoS(Denial of Service,阻絕服務)攻擊,被攻擊的電腦在短時間內將收到大量的封包,進而佔用它的所有可用頻寬,讓它無法對外提供服務。

Smurf攻擊原理
目前電腦使用的TCP/IP通訊協定中,有一種稱為ICMP的子協定,它用於測試網路通訊以及在網路間傳輸一些控制訊息﹐該協定的應答過程是自動的。

防止Smurf攻擊
從Smurf攻擊過程中我們可以看到,ICMP協定的自動回應功能是駭客成功攻擊的基礎,為了防止Smurf攻擊,安全人員可以設定保護伺服器的防火牆丟棄Echo封包,這樣伺服器就可以避免被攻擊而當機。對於Smurf攻擊需要ISP的協助,由他們直接屏蔽Echo封包,才能成功防止Smurf攻擊佔用WAN頻寬,讓攻擊無法影響伺服器工作。

傳送攻擊封包
首先駭客偽裝被攻擊者的IP,修改封包表頭來源IP,傳送一個帶有Echo請求的廣播封包給某一個區域網路。

廣播攻擊請求
只要區域網路接收到這個封包,Echo請求就會在區域網路內廣播,區域網路中的電腦都會收到這個請求。

攻擊
由於封包在傳送時已經被駭客動過手腳,上面標示請求者為某主機,所以區域網路所有收到封包的電腦就會根據ICMP協定自動回應Echo Reply給該主機。如果駭客將攻擊封包傳送給數百個區域網路,在短時間內,該主機就會收到大量的回應請求訊息,進而將所有頻寬耗盡,無法正常提供服務。

R1(config)#int s0/0/0
R1(config-if)#no ip directed-broadcast


在interface上disable direct broadcast function用來防止smurf attack

另外一種方式是在Border Router上禁止任何來源地址直接發送廣播至內部的特定網段broadcast IP。
比方說R1是Internal Router,R2是Border Router,R1必須透過Ethernet0/0連至R2才能連上Internet。

R1
R1(config)# int f0/0
R1(config-if)# ip address 168.95.1.1 255.255.255.0
!
R1(config)# ip route 0.0.0.0 0.0.0.0 168.95.1.2 255.255.255.0


R2:
R2(config)# ip access-list extended STOP_DOS
R2(config-ext-nacl)# deny ip any host 168.95.1.255
R2(config-ext-nacl)# permit ip any any
!
R2(config)# int f0/0
R2(config-if)# ip address 168.95.1.2 255.255.255.0
!
R2(config)# int s0/0
R2(config-if)# ip address 200.1.1.1 255.255.255.252
R2(config-if)# ip access-group STOP_DOS in
!
R2(config)# ip route 0.0.0.0 0.0.0.0 200.1.1.1.2

Land Attack

Land Attack
這種攻擊方式與SYN floods類似,不過在LAND attack攻擊包中的原地址和目標地址都是攻擊對象的IP。這種攻擊會導致被攻擊的機器無窮迴圈,最終耗盡資源而死機。


R1(config)#access-list 100 deny ip host 192.168.1.254 host 192.168.1.254
R1(config)#access-list 100 permit ip any any

R1(config)#int s0/0/0
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#ip access-group 100 in


我們可利用Source/Destination IP使用同一個interface的IP address來防止Land Attack

NetFlow Sample Configuration(Default Port:2055)


R1(config)#ip flow-export destination 172.16.1.1 2055
R1(config)#ip flow-export version 5 origin-as bgp-nexthop
R1(config)#int s0/0/0
R1(config-if)#ip route-cache flow


以上的組態內容:172.16.1.1為cflowd serverIP,2055為Netflow的預設Port,使用NetFlow version 5包含每一個flow的origin及destination AS資訊

Jul 25, 2008

各ISP光纖服務佈局 對抗中華電

ZDNet記者鍾翠玲/台北報導

2008/07/24 19:41:02
光纖成為有線寬頻主流,各家ISP各自展開促銷方案與長期佈局計畫,以對抗中華電信。
隨著中華電信推動以光纖取代ADSL,並喊出年底達百萬用戶的目標,光纖已然成為有線寬頻的主流。根據據資策會FIND調查,國內光纖用戶數由2007年第一季26萬戶,急速成長至2007年第四季的55萬戶,年成長率超過1倍,未來光纖用戶(FTTH/B)每季的成長數估計約至少以10萬用戶倍數持續成長。同期xDSL則衰退到2007年第四季的364萬,年成長率衰退5.5%。分析師表示,其中中華電信市佔率為九成以上。

而因欠缺「最後一哩」線路而長期受到牽制的其他ISP業者,如台灣大寬頻、Seednet、So-net等,則各顯神通,藉由整合自有或外部資源,以期走出一條路。

今年初宣佈整合旗下行動、寬頻、有線電視資源的台哥大集團,日前開始第一波三合一(Triple-play)服務方案促銷。結合(原台灣固網的)光纖網路及(台固媒體的)有線電視,該公司於特定區域內推出10M/3M光纖連網+有線電視搭售方案,每月1100元。另外也推出3M/1M光纖上網+有線電視990元月費的服務。

如此一來,可以沒有台固光纖的區域,以有線電視彌補連網的用戶需求。但在兩者都沒有的區域,依然是採用中華電信的線路,那就必須支付500元的電路費用。

台固光纖上網服務區域包含新莊市、泰山鄉、林口鄉、汐止市、淡水鎮、鳳山市及宜蘭市。而有線電視系統則包括永佳樂有線電視、觀天下有線電視、紅樹林有線電視、鳳信有線電視、聯禾有線電視。台灣大指出,未來還會視需求重點增設光纖網路,但時程及速率等內容未定。

Seednet也在今年正式成為遠傳電信集團下的一員,後者擁有速博的光纖網路資源。不過,雖然遠傳去年起推出整合行動、ADSL及無線連網的大寬頻服務,但尚未包含光纖連網。Seednet表示,別家光纖網路都是上下行不同速率,但理想上,10M/10M才是較好的服務。但牽涉投資金額龐大,集團內還在溝通自有光纖連網服務。

在此之前,Seednet仍然仰賴中華電信的線路(需付電路費500元),但提供加值不加價的誘因,如因應應用展推出包含無線電話及無線AP的第三代無線電話Wagaly Talk,消費者並可以連網費(550元)抵用行動、長途或國際通話費。

日本Sony集團下的So-net欠缺本地母公司的資源,則藉由參與台北市政府下水道光纖佈建的計畫。該計畫去年七月展開,目前已完成台北市松江路及民權東路巷內的試辦區建置。So-net表示正式開通則仍得視北市政府進度而定。

該公司現階段主要仍以促銷方法吸引用戶。例如月初打出前兩個月免付費,吸引10M/2M光纖與ADSL用戶轉換ISP。即將開展的應用展上,則再打出光纖及ADSL新用戶可以半價購得PS3的方案。

Jul 24, 2008

Brocade將以30億美元併購Foundry

文/范眠 2008-07-23


像Brocade這樣的光纖通道儲存業者,也需要強化其乙太網路產品線,與其自行開發,不如併購擁有這方面堅強實力的Foundry。另一方面,這兩間公司的合併,可能會使網通大廠Cisco在資料中心市場面臨強勁對手。



儲存區域網路業者博科通訊(Brocade)週一(7/21)宣佈,已與網路交換器業者Foundry Networks達成協議,將以美金30億美元的價格併購該公司。著眼於產品互補的綜效,Brocade表示,兩家公司的結合,將能提供從網際網路到資料中心的完整網路技術。

根據雙方協議,Brocade將以每股18.5美金的價格再加上Brocade普通股0.0907股來交換Foundry Networks普通股的一股。依7月18日收盤價來計算,此筆交易的總金額約為30億美元。此併購案預計於今年第四季完成。

Brocade是儲存網路光纖通道交換器的領導廠商,擁有2400名員工,去年營收為12億美元。而Foundry Networks則專注於乙太網路交換器,擁有1100名員工,去年營收6.07億美元。

Brocade執行長Mike Klayko在聲明中指出,目前業界正面臨發展的轉折點,企業、服務供應商網路、以及資料中心都將匯流在一起。面對匯流網路的技術與市場需求,我們必須先行做好準備。

這樁合併案在業界引起很大的關注。一般認為,這意味著網通設備市場的持續整併,以及大者恆大的趨勢。同時,在匯流(converged)網路技術發展的推動下,這也代表著,光纖通道儲存網路與主流乙太網路技術整合的重要性也將與日俱增。

事實上,由於建構資料中心仍以乙太網路架構為主流,因此像Brocade這樣的光纖通道儲存業者,也需要強化其乙太網路產品線。EE Times即引述Linley Group資深分析師Bob Wheeler的看法表示,FCoE (Fibre Channel-over-Ethernet)觀念是這件合併案所蘊含的重要因素,對Brocade來說,與其自行開發,不如併購擁有這方面堅強實力的Foundry。

另一方面,這兩間公司的合併,可能會使網通大廠Cisco在資料中心市場面臨強勁對手。但是在國外媒體NetworkWorld報導指出,企業交換器與儲存市場需要長時間累積實力與市佔率,因此這項合併在短期內恐難對Cisco的交換器業務造成衝擊。倒是對其他的乙太網路交換器業者,如Nortel、Extreme Networks、Enterasys Networks等,帶來的影響會更大。

投資人對這項交易似乎也有質疑。就在併購案宣佈的隔日,7月22日Brocade的股票下跌了將近二成,為美金6.73美元。分析師認為,這項交易的金額所費不訾,但是實際的成效可能要長期才會浮現。(編譯/范眠)

Fortinet拿下中華電信安全管理服務訂單

ZDNET新聞專區 2008/07/23 18:43:02

整合式威脅管理解決方案廠商Fortinet宣佈,國內最大ISP--中華電信--選擇Fortinet的 FortiGate多重式威脅安全設備,提供最新的安全管理服務。

HiNet將把Fortinet整合式威脅管理安全設備用於最新的「Hinet安全艦隊2.0」。中華電信Hinet資安艦隊2.0透過在單一平台上整合多重安全應用程式,提供寬頻客戶健全的保護--包括防火牆、防毒、入侵防護(IPS)、VPN、網頁過濾和防垃圾郵件。

FortiGate系統的防火牆、防毒、VPN、IPS、防垃圾郵件、網頁內容過濾和流量塑型,皆可單獨部署或結合為UTM解決方案。所有的FortiGate系統透過Fortinet的FortiGuard網路自動更新,確保用戶安全。

Jul 23, 2008

Cisco Instructor Rewards Program

為了讓更多人可以享受Cisco Written Exam的折扣優惠(20%),所以我直接把Voucher Number放到部落格上,最後時限是2008/10/31,範圍是所有的Cisco Written Exam(不包含CCIE Lab Exam),Good luck to everyone! 尤其是要考CCNA 640-802的朋友,請不要跟錢過不去,USD$250真的是漲太多了~



Introducing the Cisco Instructor Rewards Program! As an instructor your
role in mentoring and educating networking students is vital to their
professional development. Because you play such an important role in your
students’ success, your Cisco Learning Partner has approved your
participation in the Cisco Instructor Rewards Program!

So, how do you get started earning your rewards?

Your unique referral promotional code listed below is the key to your
participation in the Cisco Instructor Rewards Program. Pass this referral code
(used as a voucher number in the Pearson VUE registration system), along to
your students, and they will receive a 20% discount off every exam
registered for and delivered between now and October 31, 2008.

有需要的同學請直接發mail跟我聯絡,謝謝!

Set-Cookie中的TM/LM數值的定義

以下是Set-Cookie中參數TM及LM解釋,引用自Cookie Dethroning.::DEMYSTIFIED(http://www.infosecwriters.com/text_resources/pdf/CookieCorePartA.pdf)這份文章中的說明:

Here is an example of a Google cookie:
GPREF=ID=26b2149fe108b391:TM=1109736400:LM=1109736400:S=pbbDWyL8tVmJrIL
c

You can see that after "GPREF=", there are name-value pairs ID, TM, LM,
and S (separated by colons). In this case, our ID is 26b2149fe108b391.
This is a (hopefully) unique ID, and it is most likely generated
randomly. Google probably doesn't worry about "collisions" (two users
getting the same ID) because this is a 16-digit hexadecimal number, and
there are 16^16 = 18446744073709551616 = 18.44674 x 10^18 possible IDs
that could be assigned. Even if everyone on the planet used Google, the
chance of collision would be very low. Google's cookie has an
expiration date of January 17, 2038. Essentially, unless you purposely
clear your cookies, format your hard drive, etc. this means it will be
with you for a very long time.

The TM value is a timestamp of the moment (to the second) that Google
generated your cookie. Here it is 1109736400, measured in seconds since
January 1, 1970, or March 1, 2005 at 10:06:40 PM (CST).

LM seems unimportant because it is a timestamp of when the user last
changed their preferences. Many other name-value pairs can appear, but
the only others that I have seen represent more preferences. Having the
unique ID means they are most definitely storing *something* on the
server side, but don't worry it's probably only analyzed in aggregate
unless you are one of Sergey's ex-girlfriends :-p.

Now, S is the most interesting value in the cookie. Some have
hypothesized that it is a checksum of some sort. It could be a hash,
for instance. In my experience, the signature only varies with
different ID and/or TM values. Thus, Google is assured that THEY
generated the cookie at a given time by doing a simple calculation of
the hash. But relying on a pure hash would be security through
obscurity, i.e. Google would basically be relying on the secrecy of the
hash function. Instead, I think that Google probably uses a digital
signature algorithm of some kind to generate it. So, maybe S stands for
signature. It appears that the signature is 16 characters long, casesensitive,
and alpha-numeric only, giving (10+26+26)^16 possibilities
or roughly the equivalent of a 93-bit hash (not incredibly strong by
today's standards, but definitely a good chunk of hash). I tried my
luck at guessing a hash function and mapping parts to base 62 numbers,
but I just don't think that they are stupid enough to do it that way.
Sucks for me, because I'm no Bruce Schneier when it comes to
cryptography. My instinct is that an attack against the signature would
be futile.