EC-Council CND

MODULE 02: 網路攻擊與防禦策略
Network Attack and Defense Strategies
SYSTEM STATUS: SECURE // INSTRUCTOR: ACTIVE
00

課程模組核心目標 (Objectives)

本模組是網路防禦的基石。不同於紅隊(Red Team)專注於如何攻破系統,身為藍隊(Blue Team)的網路防禦者,我們必須理解攻擊者的 TTPs (Tactics, Techniques, and Procedures),才能設計出有效的防禦架構。重點不在於「修補每一個漏洞」,而在於「增加攻擊者的成本」並「縮短偵測時間」。

01. 關鍵資安術語解析 (Terminologies)

01

資安鐵三角 (Security Triad)

THREAT (威脅)
對系統有潛在破壞力的因素。它是外部的,我們通常無法控制。
Ex: 駭客組織、惡意軟體、自然災害。
VULNERABILITY (弱點)
系統設計或實作上的缺陷。這是防禦者可以控制與修補的部分。
Ex: 未更新的 Windows Server、弱密碼、SQL Injection 漏洞。
RISK (風險)
威脅利用弱點造成損失的可能性。
公式:Risk = Threat × Vulnerability × Impact
02

檢測指標 (Indicators)

IoC (Indicators of Compromise) - 入侵指標
表示「已經被駭」的證據。通常是靜態的特徵。
Ex: 惡意 IP 地址、已知的惡意檔案 Hash 值、異常的 Registry 修改。
>> 用於傳統防毒與防火牆黑名單。
IoA (Indicators of Attack) - 攻擊指標
表示「正在被攻擊」的行為模式。關注攻擊者的意圖。
Ex: PowerShell 執行了混淆代碼、短時間內大量的登入失敗、非上班時間的異常流量。
>> 用於現代 EDR 與威脅獵捕 (Threat Hunting)。

02. 常見攻擊向量與防禦策略

以下表格從防禦者角度比較常見的網路層與應用層攻擊:

攻擊類型 (Attack) 攻擊原理 (Mechanism) 藍隊防禦策略 (Defense Strategy)
Network Sniffing
(網路監聽)		 攻擊者將網卡設為 Promiscuous Mode,攔截流經的封包 (Packet)。常見於 Hub 環境或 Wi-Fi。
  • 使用 Encryption (SSH, HTTPS) 取代明文協定 (Telnet, HTTP)。
  • 使用 Switch 取代 Hub (減少廣播域)。
  • 實施 Port Security。
Man-in-the-Middle
(中間人攻擊)		 透過 ARP Spoofing 欺騙受害者與閘道器,讓流量經過攻擊者電腦。
  • 啟用交換器上的 Dynamic ARP Inspection (DAI)
  • 使用 VPN 加密通道。
  • 監控 ARP Table 異常變動。
DoS / DDoS
(阻斷服務)		 耗盡目標資源 (頻寬、連線數、CPU)。
Ex: SYN Flood, UDP Flood。
  • 啟用防火牆的 SYN Cookies 功能。
  • 實施 Rate Limiting (流量速率限制)。
  • 使用 CDN 或流量清洗中心 (Scrubbing Center)。
SQL Injection
(資料隱碼)		 在 Web 輸入欄位注入 SQL 指令,操縱後端資料庫。
  • Input Validation: 驗證所有輸入。
  • Parameterized Queries: 使用參數化查詢 (最有效)。
  • 部署 WAF (Web Application Firewall)。

03. 防禦架構與思維 (Frameworks)

LM

Cyber Kill Chain (網路殺傷鏈)

由 Lockheed Martin 提出。防禦者的目標是在鏈條的「早期階段」切斷攻擊。越早發現,損失越小。

  1. Reconnaissance (偵查): 攻擊者尋找目標 (Nmap, Whois)。
  2. Weaponization (武器化): 製作惡意 Payload (如 PDF Exploit)。
  3. Delivery (傳遞): 透過 Email 或 USB 傳送給受害者。
  4. Exploitation (利用): 觸發漏洞。
  5. Installation (安裝): 安裝後門或惡意軟體。
  6. C2 (Command & Control): 建立遠端控制通道。
  7. Actions on Objectives: 竊取資料、加密檔案。
DiD

Defense-in-Depth (縱深防禦)

沒有單一防禦是完美的。我們必須建立多層次的防護網 (Layered Security)。

1. Physical: 警衛、門禁、監視器。

2. Perimeter: 防火牆 (Firewall)、DMZ。

3. Network: IDS/IPS、VPN、NAC。

4. Host (Endpoint): 防毒軟體、EDR、修補程式管理 (Patching)。

5. Application: 程式碼審查、WAF。

6. Data: 加密 (Encryption)、備份、DLP。

04. CND 實戰模擬測驗 (Assessment)

MISSION: Answer 10 Scenarios. Passing Score: 100%