發表文章

圖片
DNSSEC安全技術簡介作者:游子興 / 臺灣大學計算機及資訊網路中心網路組約聘幹事
DNS 是一套已經廣泛使用的Internet 服務,但因先天的技術限制導致容易成為駭客攻擊的目標。本文主要在介紹DNSSEC 之緣起與技術背景,及其使用的加解密技術如何確保資料的完整性與來源可驗證性等,第二部分將介紹 DNSSEC 之實作與需特別注意之細節,將留待下回分解。 DNSSEC 之緣起與技術背景 DNS(Domain Name System)是所有人在 Internet 漫遊都會用到的技術,大部分的人都知道 google 的網址是 www.google.com , Yahoo 的網址是 www.yahoo.com。但應該沒有多少人知道 www.google.com 或 www.yahoo.com 的 IP 位址,若用指令查詢,會發現不止一個 IP 對應到 www.google.com
還好有了 DNS 的技術在背後幫忙將網址轉換為 IP 位址,因此大家才不需要記住這些個數字。 DNS 技術創立於 1980年代,在當時資訊安全並不是一項重要議題,因此存在許多先天的資安弱點。例如在 DNS 的查詢與回應中皆未加密,若有駭客在其中假造 DNS 封包,將使用者原先要連到的網址,回應錯誤的 IP而導向駭客的機器,其中可能因為網站內容看起來一模一樣,而騙到使用者之帳號密碼。 例如在 2011/09 土耳其的駭客組織 TurkGuvenligi 入侵 DNS 主機修改了超過 200個網站之 IP,許多知名網站如 UPS (ups.com), NGC (nationalgeographic.com) 還有國內的資訊大廠 Acer (acer.com)皆受其影響而直接導向駭客的機器,此種攻擊方式不論上述廠商投資了多少防火牆、資安設備等皆無法抵擋,因此該如何確保連上的網站就確實是該網站呢?
(圖片來源:http://www.ehackingnews.com/2011/09/theregistercouk-vodafone-daily.html ) DNSSEC 提供之資訊安全 此時就需要 DNSSEC (DNS security extension standard),DNSSEC 的優點在於可完全兼容於現行的 DNS,更額外提供三項資訊安全: 1.資料完整性 (data integrity)
2…

VPN 比較

圖片

How to block whatsapp

Block ip list from

https://www.whatsapp.com/cidr.txt

TC流量控制 ingress

From http://dp2u.com/2014/tc-control.html Introduction Linux操作系統中的流量控制器TC(Traffic Control)用於Linux內核的流量控制,它利用隊列規定建立處理數據包的隊列,並定義隊列中的數據包被發送的方式,從而實現對流量的控制。 TC模塊實現流量控制功能使用的隊列規定分為兩類,一類是無類隊列規定,另一類是分類隊列規定。無類隊列規定相對簡單,而分類隊列規定則引出了分類和過濾器等概念,使其流量控制功能增強。 無類隊列規定是對進入網絡設備(網卡)的數據流不加區分統一對待的隊列規定。使用無類隊列規定形成的隊列能夠接受數據包以及重新編排、延遲或丟棄數據包。這類隊列規定形成的隊列可以對整個網絡設備( 網卡)的流量進行整形,但不能細分各種情況。常用的無類隊列規定主要有pfifo _fast (先進現出)、TBF(令牌桶過濾器)、SFQ(隨機公平隊列)、ID (前向隨機丟包)等等。這類隊列規定使用的流量整形手段主要是排序、限速和丟包。 分類隊列規定是對進入網絡設備的數據包根據不同的需求以分類的方式區分對待的隊列規定。數據包進入一個分類的隊列後,它就需要被送到某一個類中,也就是說需要對數據包做分類處理。對數據包進行分類的工具是過濾器,過濾器會返回一個決定,隊列規定就根據這個決定把數據包送入相應的類進行排隊。每個子類都可以再次使用它們的過濾器進行進一步的分類。直到不需要進一步分類時,數據包才進入該類包含的隊列排隊。除了能夠包含其它隊列規定之外,絕大多數分類的隊列規定還能夠對流量進行整形。這對於需要同時進行調度(如使用SFQ)和流量控制的場合非常有用。 Principle 一 内核处理流程示意图 用户级程序^|+---------------+-------------------------------------+| Y ||-------> IP 协议栈||||||| Y ||| Y ||^||||/ ------> 转发…