Felix's Second Life 電腦數碼世界

http://www.pcnet.idv.tw/pcnet/network/network_ip_addr.htm

網際網路協定( IP )是整個 TCP/IP 協定的基礎﹐它的一些功能在前面的介紹 OSI 和 TCP/IP 模型的時候已經略略提過了﹐不過﹐由於它的重要性實在太值得了解﹐因此我們在這裡再深入的探討一下網際網路層的協定。而事實上，若 IP 這個環節若不過關的話，我會勸您別償試網路相關的工作了，否則會桶苦一輩子！

大體而言，網際網路協定的功能包括如下﹕

• 轉自鳥哥http://linux.vbird.org/linux_server/0350dns.php#theory
• 透過 DNS 查詢主機名稱 IP 的流程

剛剛說過 DNS 是以類似『樹狀目錄』的型態來進行主機名稱的管理的！所以每一部 DNS 伺服器都『僅管理自己的下一層主機名稱的轉譯』而已， 至於下層的下層，則『授權』給下層的 DNS 主機來管理啦！這樣說好像很繞口，好吧！我們就以下圖來說一說原理囉：

telnet 是一個很傳統的連線程式，它除了用來上 BBS 之外，也可以用來當做診斷各種伺服器與網路連線問題。

在早期網路剛發展起來的時候，BBS 在台灣非常流行，尤其是在各高中與大學院校，幾乎都有自己的 BBS 站，在台灣應該每個大學生都上過 BBS。

BBS 所使用的通訊協定就是 TELNET，而在 Linux 系統中也有一個小程式叫做telnet（其實 Windows 與 Mac OS 中也有），這個程式可以讓你使用 TELNET 通訊協定來跟遠端的伺服器溝通，上 BBS 就是一個最常見的例子。

2014年6月20日，香港民意調查投票網站PopVote.hk遭受超大規模的DDoS攻擊，攻擊流量史上第二高。PopVote使用了CloudFlare的服務，CloudFlare是一家CDN服務供應商，在抵禦DDoS攻擊方面非常專業。從一開始CloudFlare就使用了亞馬遜的AWS雲服務，並且將谷歌的Project Shield作為第二層DDoS防禦機制。在為期10天的PopVote投票時間裡，網站遭遇了多起大規模的DDoS攻擊，DNS反射流量高達100Gb，而NTP反射流量最高到達300Gb，TCP連接請求最高達每秒一億次，在攻擊中還有HTTP洪水攻擊、HTTPS攻擊，甚至出現了新的DNS Flood攻擊，最高每秒鐘2億5千萬的DNS請求，未經放大的情況下就達到了128Gb。亞馬遜AWS因為無法應對大規模流量而停止服務，谷歌也因為流量過於龐大影響到了其它服務而被迫宣佈退出。最後在多家網絡服務商共同努力之下才勉強撐過了這段投票時間。

近幾年發生的大規模DDoS攻擊事件中，頻繁出現反射式DDoS技術，其最重要的兩個技術是殭屍網絡和流量放大。

一、 殭屍網路技術

「肉雞」這個黑客術語指的是被黑客秘密控制的主機，當「肉雞」規模達到一定程度之後就會出現不易管理的問題，為了解決管理的問題，出現了相應的網絡技術，於是就出現了殭屍網絡。

 防禦DDOS攻擊

一、為何要DDOS？　　
　　隨著Internet互聯網絡帶寬的增加和多種DDOS黑客工具的不斷發布，DDOS拒絕服務攻擊的實施越來越容易，DDOS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網絡敲詐等多種因素，導致很多IDC托管機房、商業站點、遊戲服務器、聊天網絡等網絡服務商長期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題，因此，解決DDOS攻擊問題成為網絡服務商必須考慮的頭等大事。

在目前的網路基礎設施當中，DNS是最不可或缺的服務之一，少了它，我們就必須設法記住一堆難以記憶的IP位址，才能連到提供各種應用服務的後端伺服器，如果DNS無法正常運作、提供服務，許多IT應用甚至可能會因此停擺，因為，許多原本能連到目的地的連線請求，全部都會迷路。

或者當這樣的網路服務被入侵，相關資源設定也遭到竄改時，甚至使用者有可能會因此誤連到惡意偽造的網站，結果導致帳號、密碼、信用卡號等重要個資被竊取，損失慘重。

DNS的存在這麼重要，那麼，它本身夠安全嗎？事實上，要建立DNS伺服器很容易，幾乎所有的Unix和Linux作業系統，以及Windows Server作業系統都內建這樣的伺服器功能，取得方式幾近於免費。當中發展歷史最悠久，也最為普及的是BIND（Berkeley Internet Name Domain），這些DNS伺服器都是在作業系統上以應用軟體的方式執行，既然如此，所有軟體可能發生的安全性問題，它們都會面臨到，包括錯誤的設定、作業系統與DNS軟體本身的漏洞、伺服器管理者帳號與密碼被破解。