網絡安全威脅 Network Security

Wi-Fi 干擾與電磁干擾 Wi-Fi Interference & EMI 無線網絡干擾是影響 Wi-Fi 性能和可靠性的常見問題。電磁干擾（EMI）由外部源產生，通過電磁感應、靜電耦合或傳導影響電路性能。 干擾來源 來源 頻段 影響 微波爐 2.4 GHz 嚴重干擾 2.4 GHz Wi-Fi 藍牙設備 2.4 GHz 頻段競爭 鄰近 Wi-Fi 網絡 2.4/5 GHz 同頻道干擾（CCI） 無線電話 (DECT) 1.9 GHz 輕微干擾 雷達/軍事設備 5 GHz 觸發 DFS 頻道切換 天氣現象 多頻段 雷電、太陽耀斑影響信號 干擾類型 同頻道干擾（CCI）：多個 AP 使用同一頻道 相鄰頻道干擾（ACI）：使用重疊頻道的 AP 非 Wi-Fi 干擾：微波爐、藍牙等設備 惡意干擾（Jamming）：故意發射干擾信號 解決方案 […]

KRACK 攻擊 Key Reinstallation Attack KRACK（金鑰重新安裝攻擊）是2016年由比利時研究人員 Mathy Vanhoef 和 Frank Piessens 發現的 WPA2 協議漏洞，2017年10月公開。這是 Wi-Fi 標準本身的弱點，而非實現錯誤。 攻擊原理 攻擊者通過反覆重置 WPA2 四次握手第三步中傳輸的 nonce，逐步匹配之前看到的加密封包，最終學習用於加密流量的完整密鑰鏈。 影響範圍 所有主要平台：Windows、macOS、iOS、Android、Linux、OpenBSD Linux/Android 特別嚴重：wpa_supplicant 可被操縱安裝全零密鑰，完全無效化 WPA2 保護 任何正確實現的 WPA2 都可能受影響 攻擊後果 後果 說明 流量解密 攻擊者可讀取加密的 Wi-Fi 流量 封包注入 可向網絡注入惡意數據 中間人攻擊 完全控制受害者的網絡通訊 修復方案 更新所有設備的韌體/軟體（wpa_supplicant 2.7 已修復） 升級至 WPA3 協議 使用 VPN 作為額外保護層 Source: Wikipedia –

Heartbleed 漏洞 SSL/TLS 心跳攻擊 Heartbleed 是2014年公開的 OpenSSL 加密庫安全漏洞（CVE-2014-0160），影響了全球數以百萬計的網站和服務。它利用了 TLS 心跳擴展的實現缺陷，屬於緩衝區過讀漏洞。 攻擊原理 TLS 心跳機制用於保持連接活躍。攻擊者發送特製的心跳請求，聲稱負載大於實際內容，伺服器會返回記憶體中的額外數據，可能包含： 伺服器私鑰 用戶密碼和 Session Token 加密通訊內容 其他用戶的數據 影響範圍 指標 數據 影響版本 OpenSSL 1.0.1 至 1.0.1f 引入時間 2012年 公開時間 2014年4月 漏洞存在時間 約2年未被發現 2017年仍有漏洞主機 約18萬台 教訓 及時更新加密庫和伺服器軟體 漏洞修復後應更換 SSL 證書和私鑰 強制用戶更改密碼 實施自動化漏洞掃描 Source: Wikipedia – Heartbleed

WEP 加密漏洞 Wired Equivalent Privacy Vulnerability WEP（有線等效加密）是1997年隨 IEEE 802.11 標準推出的無線網絡安全算法，曾是 Wi-Fi 的預設加密方式。然而，2001年被揭露存在重大設計缺陷，從此被認為不安全。 WEP 的弱點 IV（初始化向量）太短：僅 24 位元，導致 IV 重複使用 RC4 演算法弱點：密鑰流可被統計分析破解 無重放保護：封包可被擷截並重新注入 密鑰管理差：所有用戶共享同一密鑰 WEP 破解時間線 年份 事件 1997 WEP 隨 802.11 標準發布 2001 FMS 攻擊揭露重大缺陷 2003 Wi-Fi Alliance 宣布 WPA 取代 WEP 2004 IEEE 正式廢棄 WEP 現今 WEP 可在幾分鐘內被破解 安全建議 絕對不要使用 WEP。請升級至 WPA3（最新）或至少 WPA2-AES。如果設備僅支援 WEP，應該更換設備。

中間人攻擊 Man-in-the-Middle Attack 中間人攻擊（MITM）是一種網絡攻擊，攻擊者秘密地插入兩個通訊方之間，竊聽甚至篡改其通訊內容，而雙方均不知情。 攻擊方式 Wi-Fi 竊聽：在未加密的公共 Wi-Fi 中放置惡意熱點 ARP 欺騙：在區域網絡中假冒閘道器 DNS 欺騙：篡改 DNS 解析將用戶導向假網站 SSL 剥離：將 HTTPS 連接降級為 HTTP 電郵劫持：攻擊者控制電郵伺服器通訊 實際危害 場景 風險 公共 Wi-Fi 登入憑證、信用卡資訊被竊取 企業網絡 機密文件、商業機密洩漏 金融交易 交易被篡改、資金被轉移 防禦措施 使用 HTTPS：確保所有網站通訊加密 VPN：在公共網絡中使用虛擬專用網絡 證書驗證：檢查 TLS 證書的有效性 雙向認證：使用雙因素認證（MFA） HSTS：強制瀏覽器使用 HTTPS Source: Wikipedia – Man-in-the-middle attack

BGP 劫持攻擊 BGP Hijacking BGP（邊界網關協議）是互聯網的核心路由協議，負責在不同自治系統（AS）之間交換路由資訊。BGP 劫持是指通過篡改 BGP 路由表，非法接管 IP 位址群組的攻擊行為。 攻擊原理 BGP 協議基於信任模型運作，預設所有參與者都是誠實的。攻擊者可以： 宣告不屬於自己的 IP 前綴，將流量引導至自己的網絡 宣告更具體的前綴（更長的子網遮罩）來優先放置合法路由 利用 AS 路徑操縱來影響路由決策 著名事件 年份 事件 影響 2008 巴基斯坦電信劫持 YouTube 全球 YouTube 服務中斷數小時 2018 Amazon Route 53 BGP 劫持 加密貨幣被竊取 2019 中國電信路由洩漏 歐洲流量被重定向 防禦措施 RPKI（資源公鑰基礎設施）：驗證 IP 前綴的合法擁有者 BGPsec：對 BGP 路由更新進行數位簽名 IRR（互聯網路由註冊表）：註冊和驗證路由策略 即時監控：使用 BGP 監控工具即時偵測異常路由變更 Source: Wikipedia – BGP