2015年已成為歷史，不過這一年來卻是感觸最多的一年，年初跟家人到了小琉球一趟，暫時離開城市的煩雜，享受一下片刻的慢活，從搭上東港前往小琉球的高速船，一切的時間卻開始變慢了，一個騎著車環島一圈不需一個小時的小島，卻有著純樸的風情，身邊帶著Mac Air，卻是一點也不想要打開它來用；來到小琉球的第一件事，當然就是找家道地的餐廳，品嘗一下在地的海鮮美食，之後再開始二天一夜的旅程，之前也不是沒來過，不過在冬天來這倒是第一次，還好沒遇上寒流也沒想像中的風大，反而在陽光下吹來徐徐的涼風，不斷的提醒我們現在還是冬天，倒也有著之前十月份去舊金山的感覺。

有人常問我說，像我經常到國外出差，覺得台灣跟世界上其它國家最大的不同在那？聽來這個問題頗大，也不是簡單就能夠回答的，多數情況我的答案是：「我覺得國外與國內最大的不同，在於許多的制度的出發點，因為文化背景上的差異，就有很大的不同，台灣在思考很多制度或是法規的設計時，多是以「防弊」為出發點，就深怕讓誰佔了好處；反觀國外多是以「信任」為出發點，因為制度絕對沒有十全十美，也不可能沒有缺點的制度，所以採用「信任」為出發點的制度來設計，讓許多新的思維與產業可能引領突破。這點在服務的單位也是有很深的感觸，團隊的成員除了需要在資安技術的精進之外，其它耗費最多的時間，卻是在處理制度內的行政流程；每次到訪其它的城市，都會安排個空檔到當地主要的大學走訪，有時候也不乏國際知名的學府，而國內在許多地方要求的產學結合，其中一樣是採防弊的精神來定出制度與辦法，而在國外早也實踐，尤其許多知名學府外的幾條馬路，都有著學校教授領導的公司，正在為產業的創新做出努力，同樣的場景回到台灣，應該早就被拿出來講得體無完膚了。

人的情感與思維是相當矛盾的，多數的人都是習於「安定」的生活，卻又忍不住抱怨時不我予，當到一個地方工作久了，往往就讓自己也沒了「競爭力」，習於每天例行性的工作內容，習於每天在線上聊天群組中的公司八卦，習於看不到外面世界的裋視，總是以為自己有多麼的重要，可是卻忘了職場上總是無情的，當我們越看不到其本質時，就讓我們自己失了依據，職場上的來來往往，來自外在的吹噓哄捧，讓許多的人迷失了自我，總覺得自己身居要職，廠商都得聽我的，而將自己的意識凌駕於專業之上，常常要廠商買東送西，其實說穿了差別只在於自己本身的價值，還是因為是在目前的位子呢？而讓業界願意提供更好的優惠呢？當然形形色色的人很多，往往人際間的經營，卻是人生最大的課題，「莫忘初衷」經常是我分享給團隊的一個概念，想想當時怎麼對目前的工作有興趣而爭取進入這個環境，一段時間過去了，這個感覺仍然還在嗎？這個是相當重要的！

2015年因為工作的關係，出國了幾趟，許多朋友常常看到我在機場打卡，就知道我又要出國了，接下來這幾天絕對不會打電話找我，因為常聯絡的朋友都知道，我在國外是不會接電話的，打了也沒用，還不如傳個訊息或是寫個電子郵件來得有效率；這一年來到訪了德國、奧地利、日本、挪威、美國、新加坡、中國大陸、泰國等，參加會議之餘多是利用回程前的片刻，挑個一、兩個景點走走，也算是瞭解一下當地的風土民情，看到了德國對於技術研發的重視與堅持，挪威融合天然美景資源下的城市，充滿新創與研發加速器的美國，新加坡則是有著快速步調的經濟實力，而大陸的一、兩線城市發展早已不亞於台灣的五都，有過之而無不及。



今年也拿到第二個來自Cloud Security Alliance的肯定，第一個是2014年拿到的「CSA Ron Knode Service Award」，而2015年拿到的是「CSA APAC Ninja Award」，連續兩年拿到來自CSA的肯定，當然需要感謝CSA亞太區的主席Aloysius對台灣的支持，經常的聯絡與協助我們在台灣推展CSA的相關研究議題，也讓我們能夠走得比亞太區的其它國家來得快，截至2015年底在台灣已有包括中華電信、遠傳電信、台灣大哥大、安碁eDC、國家實驗研究院、國家高速網路與計算中心等多個單位通過了CSA STAR Level 2的第三方驗證，可以預期的在2016年還會有更多的單位即將取得CSA STAR的殊榮，成為真正能夠在雲端服務的架構之下達成資訊安全要求的供應商。

2015年八月嘗試將三個大型的會議(CSA Taiwan Congress、HoneyCon以及IRCON)聯合舉辦，感謝整個團隊以及志工的幫忙，讓今年的會議在北海岸兩天一夜的Private Meeting之後劃下句點，感謝來自美國、香港、新加坡、馬來西亞、日本、德國以及韓國等地的朋友大力的支持，透過國際組織的能量，將我們凝聚在一起，也有這樣的機會可以請這些來自國際的資安專家，可以到台灣跟大家分享最新的資安技術與發展趨勢，而今年預期將會更加的擴大；回想起今年的活動，除了研討會的部份之外，我們辦理了HoneyMe (CTF)競賽、CSI:Cyber以及HoneyKids (Hack for Kids)的營隊活動，希望將資安推動到更廣大的領域，除了Workshop的菁英培訓之外，也希望透過營隊的活動將資安的種子撒在國小學童的心靈之中。

2015年在資安業務上的推動，也算是幫服務的單位，以TWCSIRT的名義完成加入FIRST國際資安組織，雖然到目前服務的單位或是國內幾個主要的單位，也還不是很清楚為什麼為成立TWCSIRT，其實TWCSIRT任務分成三大類，首先是負責惡意程式清理的主動網路威脅防禦中心（PCDC），第二類是包含數位鑑識、弱點分析、滲透測試在內的資安維運中心（SOC），提供學研網路以及國際資安事件調查，最後一類則是藉由國際合作，在第一時間獲得國際資安情資，合作對象包括各國資安協調中心CERT/CC，及一些重要的國際資安組織，例如：FIRST、The Honeynet Project等。

2015年到各地進行資安議題的分享，也超過了40場次，初估了一下應該也有超過3,000人次以上的聽眾，雖然不算太多，不過每次到各校或是各個研討會的場地進行資安議題的介紹，不論是技術面的還是管理面的，都是很開心主辦單位能夠邀請我，也讓我有機會可以分享每一段時期對於資安議題研究成果與心得，從演講到實務課程大多需要準備個幾天的時間，以期每次的分享都能夠讓與會人員有所收獲，尤其對於熱門的資安議題也都能夠瞭解，最重要的是可以建立資安的認知，不論在工作上或是在平時使用網路、雲端服務時，都能夠留意到資訊安全的潛在風險。

目前與國內幾位朋友共同的推動資訊安全相關的產業，也透過不同的協會組織，例如：資料保護協會、聯合資安發展協會等，深入各產業領域的推廣，希望將資訊安全的技術融合到不同的產業之中，所幸這一路走上遇到了不少的好友，有著共同的目標與理想，不計投入成本之下，在2015也逐漸有了許多的成果，這些都讓所有的忙碌有了實質的回報。

看著兩個小朋友的成長，雖然兩兄弟差了快六歲，不過也著實讓我跟老婆忙翻了，我經常在外出差，常常一早就得北上開會，回到家大都已超過八點了，無法每天幫忙看顧著小朋友，或是經常出國參加會議，常常透過視訊跟小朋友聊聊，雖然常常想著有些計畫可否少接點，團隊的人力也不是很充足，不過又考慮著有機會與能力可以多多幫忙規劃與執行資安的規劃，那何嘗不是與我們當時投入資安領域的初衷是一樣的呢？也謝謝參與到資安團隊的同仁能夠體諒與支持，讓我們的團隊也有著今天的成果。

來到目前服務的單位已超過14年頭，讓我從一個略懂資安的新手，成就了目前的我，除了感念之外，也思考著自己的下一步，自己總習慣的每隔十年給自己一個人生的目標，幾十個年頭過去了，好在每十年的目標都有如預期達成，面對自己的未來，有著不同層次的規劃，不論在職場上或是在學位上，都需要有所突破，首先規劃是讓自己的學位能夠再往畢業的門檻更進一步，得花些時間來寫論文投稿了，也給自己一個短期的目標：兩年內我要博士畢業！在這2016年開始之際，給自己一些自我勉勵與要求！

日期	講題	地點	主辦單位
2015/12/30	資料視覺化技術	南榮科技大學	南榮科技大學
2015/12/29	行動應用程式安全	國立雲林科技大學資訊工程系	國立雲林科技大學資訊工程系
2015/12/18	雲端安全國際趨勢	張榮發基金會	GOVSEC Summit 2016政府資訊安全年會
2015/12/16	資安事件案例分享與危害分析	國立北門高級農工職業學校	國立北門高級農工職業學校
2015/12/11	Google Hacking技術實務	高苑科技大學資訊管理系	高苑科技大學資訊管理系
2015/12/8-9	Mobile APP安全基礎知識	電信技術中心	電信技術中心
2015/11/27	深入資安領域的關鍵思維	高苑科技大學資訊管理系	高苑科技大學資訊管理系
2015/11/18	社群網站及網路犯罪的詐騙方法與實際案例	高雄市政府	高雄市政府都市發展局
2015/11/4	雲端世代的事件鑑識與分析	法務部調查局	雲端環境之數位鑑識研究成果發表研討會
2015/10/24	雲端世代的大數據革命	致理科技大學	Cyberspace 2015聯合研討會
2015/10/22	隱藏在資安領域中的資料科學	國立清華大學資訊工程研究所	國立清華大學資訊工程研究所
2015/10/6	FTP建置與資訊安全	高雄市警局	高雄市警局
2015/10/1	DDoS核爆與營運風險	台北六福皇宮	台灣雲端安全聯盟
2015/9/30	隱藏在資安領域中的資料科學	國立高雄大學統計所	國立高雄大學統計所
2015/9/11	雲端時代的資料安全	農林航空測量所	農林航空測量所
2015/9/8-9	Linux Server Security	中華電信學院	中華電信學院
2015/9/7	物聯網路與企業風險	中華電視公司	中華電視公司
2015/9/3	企業雲端化的資安關鍵思維	經濟部加工出口區管理處	經濟部加工出口區管理處研討會
2015/8/25	多層次資安防禦策略與案例分享	台北六福皇宮	IDC先進網路安全保護論壇
2015/8/24	新世代物聯網資安威脅	國立中山大學圖資大樓	高屏澎區網中心研討會
2015/8/20	深入殭屍網路與惡意程式分析	台大醫院國際會議中心	2015台灣資訊安全事件應變研討會(IRCON 2015)
2015/7/28-29	進階資安技術實務	Confidential	Confidential
2015/7/14	DNSSEC介紹與實作	長榮大學計算機與網路中心	TWNIC網安實務教育訓練課程
2015/7/13	DNS介紹與實作	長榮大學計算機與網路中心	TWNIC網安實務教育訓練課程
2015/7/7	雲端時代的資訊安全	台灣大哥大	台灣大哥大
2015/6/23	巨量資料於惡意程式行為分析應用	高雄漢神巨蛋九樓宴會廳	DAF 企業安全日
2015/6/4	深入誘捕網路技術	國立成功大學電機工程學系	國立成功大學電機工程學系
2015/5/15	雲端時代的資安威脅	中華電信學院	中華電信學院網路學系
2015/5/6,8-9	進階資安滲透測試技術實務	Confidential	Confidential
2015/5/4	雲端技術與資安趨勢	正修科技大學	正修科技大學
2015/4/30	對不起，駭到你-雲端資料庫與個人隱私安全	國立清華大學	國立清華大學通識課程
2015/4/28	2015企業資安防護策略	中華電視公司	中華電視公司
2015/4/17	雲端創新-2015企業跨境決勝新動力	台中老樣咖啡	中信國際電訊-企業跨境雲端應用研討會
2015/4/11	DNS與NTP的DDoS攻擊與防禦	西湖渡假村	DNS-SEC研討會
2015/4/9	雲端創新-2015企業跨境決勝新動力	台南Masa Loft	中信國際電訊-企業跨境雲端應用研討會
2015/4/1	雲端世代下的APT威脅	台北國際會議中心	FireEye圓桌研討會
2015/3/18	2015資訊安全關鍵報告	國立成功大學企業管理系	國立成功大學企業管理系
2015/1/21	雲端創新-2015企業跨境決勝新動力	台北六福皇宮	中信國際電訊-企業跨境雲端應用研討會
2015/1/14	Cuckoo Sandbox建置實務	崑山科技大學	崑山科技大學
2015/1/7	HoneyDrive實務	崑山科技大學	崑山科技大學
2015/1/5	雲端新世代網路架構發展	南台科技大學資訊工程學系	南台科技大學資訊工程學系

• 國立空中大學 「資訊安全」課程

從年初忙到接近年底，一直沒空分享一下今年的旅程，這是第一次來到北歐的挪威，雖然歷經了超過24小時的旅程，抵達時只能勉強趕上最後一班的公車到下榻的飯店，但這一切在隔天起床後就感覺到一切都是值得的，這次來挪威是為了參加The Honeynet Project Annual Workshop 2015的會議，想想當時在幾位好友的一股熱忱推動之下，在台灣成立了分會，陸續參加了每年的活動，不斷的將在年會看到的、學到的、知道的在台灣的HoneyCon做個分享，最重要的是認識了許多國外的資安研究同好，這次由挪威分會主辦今年的年會，終於有機會來到曾經聽到許多傳奇故事的國度。

在這之前常常聽到這邊的物價是出奇的貴，不過我想相對於挪威人的年收入，這個絕對跟大多數人是好幾倍的差距，挪威主要靠石油致富，工時短但是社會福利是相當令人嚮往的，來之前看了一些資料，挪威人的平均年薪超過八萬美元，換算成台幣都超過350萬的年薪了，這些種種不得不讓人想要更深入的瞭解一下北方的國度-挪威。

自然風景漂亮是對挪威的第一個印象，從飯站的房間望出去，遠在天邊的山水風光，到近在咫尺的小鎮風光，都吸引著讓人多看一眼，也享受一下心靈上的寧靜，回想在台灣的時候，幾乎從早忙到晚，有時候晚上還有跟國際組織聯繫的電話會議等等，我想這些對於挪威人而言，應該是很難想像的生活方式，總之既然來到這了，當然先放鬆自己的心情參加會議之餘，也看看這個北方的國度。

這次來挪威也是第一次我沒有換好外幣的一個旅程，從第一晚搭巴士開始，往後的幾天，幾乎沒遇到無法使用信用卡消費的地方，只是刷卡的金額滿心疼的，因為物價真的不便宜，隨便一杯咖啡或是到餐廳用餐，換成台幣的金額都是在台灣消費的三、四倍以上。

飯店的門口就有自行車出租，不過仔細一看並不是一般的自行車，而是電動的自行車，在上面還有一個大型的彩色螢幕，上網查了一下果然租金不便宜，不過提供的服務看來是滿不錯的，有興趣瞭解的朋友，可以到Gobike的網站看看。



離入住的飯店不遠的地方，就可走到位於默斯湖(Mosvatnet)的Stavanger kunstmuseum，採用玻璃屋的設計方式相當的特別，不過到訪時已閉館了，就無緣進入裏面一探究竟。

車站前的湖泊有著濃濃的北歐風，還有許多的水鳥在其中飛來飛去的，不過大多數的水鳥都已經準備找地方休息了，因此當時的氣溫太陽下山後其實還滿冷的。

一排排北歐的建築風格，帶著悠閒的氣息，雖然在主要車站附近，不過路上的行人並不多，少了喧嚷吵雜，但卻多了些寧靜的氛圍。

在挪威幾乎到處可以見到信天翁的蹤跡，昂首直視著湖面，像哨兵般的注意眼前動靜，當有危險時可以適時的提醒其它的夥伴，看著牠許久，牠卻是盡忠職守的只看了我們一眼，就繼續遠眺著湖面。

港口停泊了許多的遊艇與貨船，不過遠眺海面的船舶與港口旁稀稀落落的來往人群，這不就是我們一直在追尋的人生嗎？不同的環境讓我們接觸了各種的人事物，不同的人事物讓我們的生命更加的豐富。

此次來挪威主要是參加The Honeynet Project Annual Workshop，每年參加這個全球歷史悠久的資安組織年會，除了與熟識的朋友敘舊之外，主要是可以知道目前資訊安全發展的最新趨勢，也做為每年暑假在台灣辦理HoneyCon的參考，也透過會議的參加將最新的資訊帶回台灣。

漫步在森林小徑，看著湖邊的景色，寧靜中對人生有著更深的省思與體悟，走過許多的國家，也看過不同的文化與對生活的態度，對未來每個人都有自己的想法與規劃，也都有不同觀念與作法，希望可以有天可以達到個人心目中理想的鳥托邦，大海納百川而險峻的高山也非一下子就能夠形成，都是經過長久時間的累積與大地的造化。

回想到自己投入資訊領域中較少人接觸的資訊安全領域至今已數十年，一路走來遇到許多自己所不熟悉或是未曾瞭解的事物，雖然花費許多的時間投入學習，不過總是有所心得，也希望能夠透過研討會或邀約將不同的資安議題分享出去，在時間允許的情況下，大多會接收來自學校、產業或是國際組織的邀請，持續且不斷的接觸不同的產業，也讓自己的人脈存摺累積了越來越多無法取代的朋友，有的是學校的教授、有的是產業的精英，也有些是對於資安領域有興趣的同好，彼此的交流與經驗分享，對於人生的旅途而言，是最美麗的回憶。

參考資料：

近一年來常常被詢問DDoS相關的問題，從攻擊的手法到是否有相對應的解決方案等等，分享的課程以及參加的資安會議，也越來越多與DDoS有關，從不同的角度看待DDoS其實可以更真實的面對這個不斷成長中的網路攻擊。

分散式阻斷服務(DDoS, Distributed Denial of Service)是目前越來越常見，且越來越難防禦的網路攻擊手法，在各種不同的網路安全威脅之後，其中分散式阻斷服務攻擊(DDoS, Distribution Deny of Service)已成為近來主要的網路安全威脅之一，而此類型的攻擊，大多非直接入侵，而是透過耗盡網路資源、計算資源等方式，降低服務主機本身的系統效能，以達成影響受害者系統的目的，因此當遭遇到此類的網路攻擊時，受害者往往在短暫的時間內就會直接影響到原本的服務；近年來透過關鍵網路服務弱點，進行網路放大攻擊，除了可以避免因為連外網路頻寬不足而無法執行大規劃的攻擊。

當DDoS攻擊發生時，大多數所採取的策略都以降低其所造成的影響為主，一旦網路服務遭受攻擊時，往往可以讓我們進行應變的時間相當有限，從攻擊手法的行為偵測，到應用資安設備進行防禦，都需要配合進行調整，因此在近幾年網路化與雲端化的趨勢之下，也出現了許多針對此類網路攻擊提供「流量清洗」的服務，利用前端網路流量特徵的偵測，收集來自網路設備的資訊，例如：路由器所提供的Netflow資料，再經過網路行為特徵的分析，找到當時攻擊者所使用的攻擊手法，將該連線的行為轉移到清洗中心進行過濾，而清洗中心針對網路的流量進行比對，當確認網路流量中的異常行為時，則將該網路封包丟棄，最後再將經過純淨處理後的流量導回原本的網路設備，讓已經過濾完成的網路流量可以到達目的地，利用清洗中心進行異常網路流量的清除，可以減輕被攻擊的目標承受來自分散式阻斷服務攻擊的影響，不過因為攻擊的手法極有可能多樣化，或是當攻擊者發現所使用的攻擊方法無法達成預期的目標時，皆有可能轉換成其它的攻擊手法，因此由資安防禦的角度而言，建立預警的偵測機制，也成為相當重要的一環，配合前端的資料收集與預警，方便後續進行應變與處置。

當DDoS攻擊來臨時，第一個直接感覺到變化的就是網路流量的激增，增加的幅度會因為攻擊者所採用的攻擊手法不同而有所不同，大多數的網管單位都會配合網路的營運，建置如MRTG之類的網路流量收集平台，透過定期的資料收集，掌握網路頻寬的使用情況。

(圖)MRTG網路流量的變化

當巨量的攻擊開始之後，第二個直接受到的影響的就是遭受攻擊的主機，有可能會因為系統的資源或是網路的資源耗盡，而無法正常的提供服務，或是因為資源不足所造成的逾期回應，而出現伺服器錯誤等相關的訊息，目前多數的網站伺服器在設計上，會依據使用者的訪問，提供對應的執行程序，當使用者超過逾期回應(Time Out)的時間，伺服器才會將該名使用者的執行程序終止，不過在未終止之前，將會持續佔用伺服器本身的硬體資源，例如：記靜體的空間等。當無法回應或回應逾時，可能會出現「404 Not Found」或是「應用程式中發生伺服器錯證」等訊息。

(圖)伺服器的錯誤訊息

網路上的情資
目前網路上提供即時DDoS攻擊資訊的網站服務相當多，以下舉幾個是個人常拜訪的網站，可以用來掌握網路上的威脅情資，這些網站所提供的資訊，主要是從該業者的角度提供參考的資訊，雖然不會是完整的呈現網際網路的現況，不過涵蓋的範圍已經是具備參考的公信力了。

• Google Digital Attack Map (http://www.digitalattackmap.com/)

由Google所發展出來針對DDoS的攻擊行為分析平台，也收集了過往多次全球性的DDoS攻擊行動資訊，包括攻擊的來源、受駭的目的地、通訊協定的分析、攻擊的網路流量等等資訊。

(圖)Google Digital Attack Map的畫面

• ATLAS (https://atlas.arbor.net/)

 由Arbor Networks所提供的平台，透過全球超過9成5的ISP客戶的涵蓋率，掌握全球的網路安全威脅來源，也可以透過網路安全情資的發佈，讓我們掌握目前網際網路的危安因素。

(圖)ATLAS的統計資料

• Norse Dark Intelligence (http://map.norsecorp.com/)

NORSE也是個人常常到訪的網站，除了視覺化的呈現方式之外，在這也可以掌握目前全球的網路攻擊情況，尤其由所提供的攻擊平台，採用即時與互動的方式，可以提供使用者瞭解目前的網路威脅情況。

(圖)NORSE的視覺化平台

當DDoS攻擊活動出現時，透過視覺化的平台，就可以明顯的看到攻擊發生時的情況，例如：大量的攻擊流量來自特定的區域，或是全球性的分散來源，這些資料也方便我們對應到當時的網路情資，也可以與真實世界的事件有所聯結。

(圖)Norse呈現DDoS攻擊時的情況

DDoS的幫兇-殭屍網路(Botnet)

多年來殭屍網路伴隨著許多資訊安全事件的發生，從早期簡單的惡意程式發展至今，已成為具備多種能力的惡意程式，並且因為不同的系統或是軟體弱點的出現，朝向特定弱點或是特定攻擊方式的方向發展，在追蹤與分析來自誘捕網路(Honeynet)所收集到的惡意程式，透過分析報告不難呈現惡意程式所呈現的行為特徵，已有越來越多的惡意程式具備發動DDoS攻擊的能力，可以在攻擊者的一聲令下，成千上萬的殭屍電腦(Honeypot)就會參與大規模的網路攻擊行動。

(圖)Dorkbot.Botnet具備DDoS的功能

主要的攻擊類型：
目前在DDoS攻擊行動中常見的攻擊手法，主要可以歸納出以下幾項：

• 系統資源耗盡

從遭受攻擊的主機上來看，系統資源的耗盡是常見的手法，中央處理器的負載，在承受攻擊的當下，極可能直接飆高到100%，多核心的系統也可以看到同樣的情況，此時系統的效能將會快速降低，直接影響到正常使用者。

(圖)系統資源的使用

• 網路資源耗盡

網路頻寬是昂貴且有限的，在大量的網路攻擊行為發生時，網路頻寬的使用率將會是第一個反應的，以目前來自國內與來自國外的DDoS攻擊事件來看，來自國外的攻擊來源位址或是假冒的攻擊來源，仍然是最主要的攻擊手法，因此並沒有辦法從網路設備單純的拒絕特定的來源對目標的攻擊，而透過台灣網際網路的連線頻寬來看，目前大多數的ISP都有相當多的連外線路，頻寬的大小其實也跟各自的服務對象有關，不過這些連外的頻寬，就會成為DDoS攻擊過程的瓶頸，因此後來發展出來的針對基礎設施進行放大攻擊的手法，多是為了避免在這個關鍵點出現瓶頸所運用的技術。

(圖)台灣網際網路連線頻寬

• 針對系統或網路設備本身的弱點

未修補的系統或是網路設備本身的弱點，等於是幫攻擊者開了一道門，未修補的系統與軟體弱點，影響的嚴重程度可能比未安裝端點防護的軟體而多，以先前被運用為NTP攻擊的手法，CVE-2013-5211就是一個典型的弱點。

(圖)CVE-201305211 NTP弱點資訊

• 運用關鍵網路服務

從有網際網路以來，為了不斷的解決現在網路環境下的問題，陸續發展出許多基礎的關鍵網路服務，包括了DNS名稱解析服務、NTP網路校時服務、DHCP動態位址分配等，大多數的企業因應網路使用上的需求，都會配合建置，在建置當時多數會以最新的版本進行軟體的安裝，也會完成弱點的修補，但是隨著時間的流逝，系統可能會因為疏於維護而未修補了系統的弱點。

國際知名的資安研究組織Shadowserver，曾經進行了全球的Open Resolver DNS服務掃瞄計畫(https://dnsscan.shadowserver.org/)，其中出乎個人意料的是中國大陸(China)高達二百萬台以上的DNS有開啟Recursive(遞迴) DNS的查詢服務，經由 Recursive的方式，讓使用者可以從網域名稱的樹狀結構的根 ( Root ) 來進行遞迴式的查詢，可以找到需要的網址，這和實際的連結到 Authoritative DNS Server 進行的方式是類似的，如果在企業內建置具備遞迴查詢的服務，可以節省部份的流量，不過但也可能帶來部份的資安風險。

如果以ASN的方式進行統計，其中Hinet掃瞄出34萬台具備遞回查詢功能的DNS伺服器，也是全球的第三名，主要在於國內許多企業大多還是選擇自行架設DNS的服務，也可以擁有較高的自主性。

提供一個可以在線上檢測DNS服務是否有開放遞迴查詢功能的網站，可以透過http://openresolver.com/提供的服務進行檢測，以下就測試了一下國內應該是最多人使用的Hinet DNS服務，出現開放遞迴查詢的功能。

(圖)Openresolver.com的檢測服務

應變機制的建立

當DDoS來臨前，需事先完成應變團隊的建立，透過資訊安全管理系統的建立，可以透過事先的準備，減輕當事件發生時的應變以及處理的時效，避免因為緊急事件的發生，而亂了自身的分寸，影響對事件的處理流程，如果想要建立相關的應變機制，建議可以參考建立以下的表單：(資料來源：https://zeltser.com/ddos-incident-cheat-sheet/)

• 事件應變團隊(Incident Response Team)

• 運作手冊(Runbook)

完善資訊安全事件的應變團隊，在事件發生時可以避免因為手忙腳亂了失去了處理該事件的黃金時間。

一個縱深防禦的概念
從網路服務供應商(ISP, Internet Service Provider)的角度來看，皆需要針對DDoS的網路攻擊建立一套標準的作業流程以及因應的方案，以降低遭受攻擊時的影響範圍與遭受的損失，在網際網路的世界中，以ASN代表著不同的ISP，也意謂著不同的網路管理單位，因此以ISP為一個DDoS攻擊的防制中心，是最經濟且可以實施的方案，再透過不同的ISP之間的互助合作，快速的針對所造成的網路攻擊進行因應。

網路流量清洗的概念，目前已有多家網路服務與資安設備業界提供了網路清洗的解決方案，基本的運作原理多從應用層的服務或是特定的網路服務進行處理，以解決單純收集Netflow資料而無法掌握深度資訊的問題，當偵測到異常的網路流量時，可以依據攻擊者所使用的手法，例如：攻擊者使用的通訊協定，將網路流量引導到流量清洗中心進行處理，將異常的通訊清洗完成之後，再將乾淨的流量回到目標主機。

近年來許多ISP業者的頻寬因應網路使用需求的增加，不斷的加大網路的頻寬，以因應使用者以及新興網路應用服務的需求，而台灣的學研網路也即將進入100Gbps以上的世代，因為頻寬的增加，對於DDoS此類網路攻擊的威脅而言，更需要積極的面對與尋求解決方案，傳統單純使用Netflow進行資料收集與情資分析的方式，在目前網路流量激增的環境中，更面臨了挑戰。

一個DDoS的防禦概念，須具備縱深防禦的架構，就如同國際資安社群FIRST組織(https://www.first.org/)，建構以各國的CERT、CSIRT為主的情資平台，利用彼此之間的事件通報，讓各國的事件應變單位進行資訊安全事件的處理，對於廣域的事件處理，從兩個端點切入進行處理，而DDoS的防禦機制，也應具備相同的處理機制，從各個不同地點的設備進行分析與偵測，並且能夠進行全球性的攻擊情資的交換，由位於攻擊來源的區域直接進行處理。

網際網路已是現代人生活的一部份，每天我們都需要使用網路上的服務，取得所需要的資訊，從以前資訊系統與設備剛連上網路，使用者透過簡單的通訊方式，早期的BBS也許是許多跟我年紀相仿第一次接觸如何使用遠端服務的經驗，回想當時從使用者也成了BBS的站長，家裏的數據機一天到晚響個不停，從最早接觸到的2.4K到最後使用的56K，速度加快了，不過聽到的還是一連串聽不懂的聲音，那時候也不懂數據機發出的聲音，到底是要給人聽的還是給機器聽的，這個問題的答案當然是後者。

進入網路世界後，就像進入了太空時代，資訊技術隨著墨爾定律的成長曲線，幾乎幾個月就有新的技術或是概念問世，到現在雲端、物聯網、智慧城市的時代，網路的服務就像浩瀚的宇宙一樣，不斷有新的世界被發現，不斷有爆炸性的新技術被提出，而對於網路服務供應商或是高度依賴網路提供使用者服務的產業而言，透過網路提供服務是最容易達成的，尤其近年來的新創熱潮，許多新創公司多數都是利用網路上的資源，進行產業的佈局與提供需求者相關的服務。

目前網路世界的一方霸主，以雲端服務、社群網路為主，透過Internet Map就不難發現，這些服務在這個虛擬的世界中早已佔領了一席之地，這份在2011年就已完成的資料，對應到現在的環境，應該仍是相符合，由圖上可以看到，Google、Facebook、Yahoo、Youtube等大家所熟悉的網路平台所顯示的圖形大小，相較其它而言差異是很大的。

在Internet Map中，可以透過簡單Zoom In功能，放大任何一個區域所顯示的圖形大小，方便我們觀察這些不同的服務所佔有的區域，查詢了一下服務的單位，也許因為單位屬性的關係，在整個Internet中，還算是區域很小的一顆。

如果以目前參與的國際資安組織The Honeynet Project而言，網路上的使用者數並不是很多，主要是因為算是部份領域的資安研究吧，大多數有聽過或是想要知道誘捕技術的人才會到訪。

另外因為近年來許多教育的議題被提出來討論，也順手查了一下教育部的域名，目前大多數對於國內教育政策或是新制度的推動，大多數的訊息都會來自教育部的網站，因此許多家長或是莘莘學子想要知道升學或是學制方式的規定，也大多會來這到訪，也許再加上台灣的大專院校相較其它國家是滿多的，直接提昇了網站的使用者數量。

從各個國家所佔有的網路空間而言，美國是網際網路的起源，奪下第一名當然是理所當然的，其中比較有意思的印度的網站總數相當的多，不過空間大小的統計與第三名的中國相比較還小，這點就應該跟網路的使用人口有關了，只是中國目前對網路自由的管制，從幾年前的資料推論近年來的發展，也許目前如果再重新統計分析，這個排行與佔據的比例應該會重新洗牌。

參考資料：

維基百科 https://en.wikipedia.org/wiki/Modem

The Internet map http://internet-map.net/