《AI 驅動的電信網路規劃與設計 🌐》 80/100 第八周小結與測驗 🕵️ 封包追蹤與分析-Wireshark

AI時代系列(4)：AI 驅動的電信網路規劃與設計 🌐

80/100 第八章：電信網路安全與管理

80. 第八周小結與測驗 🕵️ 封包追蹤與分析。

👉 使用 Wireshark 分析攻擊跡象。

📘 第八章導讀：電信網路安全與管理 — 打造穩健、安全、合規的營運核心

在數位時代，電信網路不僅是資訊傳輸的命脈，更是企業與用戶信賴的基礎。然而，這條命脈正不斷面臨層出不窮的安全威脅與營運挑戰。

本章將帶你全方位掌握「網路安全與管理」的核心機制。從SIM 卡詐騙、DDoS 攻擊、協定漏洞等具體威脅（單元 71）出發，進一步解析 加密技術（如 IPsec、TLS、SRTP）如何保障資料隱私與完整性（單元 72），再透過 防火牆 ACL 與 深度封包檢測 DPI（單元 73～74），建構流量控管與異常偵測的第一道防線。

不僅如此，本章也納入實戰案例（如 SS7 漏洞與大型 DDoS 事件）（單元 75），幫助你體會「全流程安全思維」的重要性，並以GDPR、個資法與 NCC 規範為依據（單元 76），建構合規意識。

在網路持續運行的後台，我們還將探索經典的 FCAPS 網管五大模組（單元 77）與 KPI/QoE 效能評估指標（單元 78），並認識 NOC/SOC 雙中樞如何協同維運與防護（單元 79）實現高可用、高安全、高滿意度的營運目標。

🎯 總結一句話：安全與效能，必須共同設計、同步監控、持續優化，才能撐起未來 5G/6G 網路的信任基石。

________________________________________

🔎 一、章節總結

71. 電信網路威脅 🦠

電信網路長期面臨多層次威脅，包括 SIM 卡詐騙、DDoS 攻擊、偽基站、惡意軟體、社交工程等。這些攻擊利用協定漏洞、資源消耗或假冒身份，造成用戶資安與營運風險。

👉 特徵：假冒身份（SIM Swap）、消耗資源（DDoS）、協定漏洞（SS7）。

72. 加密與保護 🔐

核心傳輸與應用服務必須加密，以確保隱私與完整性。IPsec、TLS、SRTP 提供端到端加密與驗證，避免封包竊聽或篡改。

👉 特徵：建立加密隧道、防止數據外洩與內容被修改。

73. 防火牆策略 📜

ACL（Access Control List）與規則策略可阻擋未授權流量，確保服務只接受必要的協定與來源。

👉 範例：允許 VoIP 封包、封鎖 P2P 流量，減少帶寬消耗與資安風險。

74. DPI 與流量監控 👁️

深度封包檢測能識別應用層流量（HTTP、VoIP、P2P），協助流量分類、頻寬分配與異常偵測。但也引發隱私爭議，必須符合法規。

👉 特徵：細粒度流量識別，有助 QoS 與安全，但涉及合規與資料保護。

75. 網路攻擊案例 🔥

• SS7 漏洞：竊取簡訊、攔截 OTP、追蹤位置。

• DDoS 攻擊：利用殭屍網路發送海量封包癱瘓伺服器。

👉 教訓：安全需「全流程思維」，從協定設計到運維操作都不能忽視。

76. 法規與合規 ⚖️

• GDPR（歐盟）：要求資料最小化、用戶同意。

• 台灣個資法：保護用戶資料隱私，防止濫用。

• NCC 規範：電信商必須遵守國家監管標準。

👉 關鍵：若不符合法規，可能遭罰、失去營運資格。

77. 網路管理流程 🛠 FCAPS

• F：Fault 故障管理 → 快速偵測與修復。

• C：Configuration 設定管理 → 管控設備設定與版本。

• A：Accounting 計費管理 → 確保收入與公平使用。

• P：Performance 效能管理 → 保證 QoS 與 SLA。

• S：Security 安全管理 → 防止入侵與數據外洩。

78. 網路效能監控 📈

透過 KPI（延遲、丟包率、頻寬利用率）與 QoE（用戶感受）來衡量品質。

👉 範例：

• 5G 延遲應 <20ms

• MOD 影音卡頓率應 <1%

79. 網路維運策略 🧑‍💻

NOC（Network Operation Center）與 SOC（Security Operation Center）是營運雙核心：

• NOC：專注效能、穩定性、網路健康度。

• SOC：專注資安威脅、入侵偵測、攻擊防護。

👉 範例：NOC 偵測異常流量 → SOC 驗證是否為 DDoS 或內部誤用。

________________________________________

📝 二、測驗題組與解析

Q1. SIM 卡詐騙主要風險為何？

A. 封包丟失

B. 用戶身分冒用 ✅

C. 頻寬不足

D. 訊號干擾

📌 解析：SIM 卡詐騙常透過「SIM Swap」冒用用戶身分，竊取 OTP 或話費。

Q2. 下列哪一協定最適合語音加密？

A. IPsec

B. SRTP ✅

C. TLS

D. GRE

📌 解析：SRTP（Secure RTP）專為即時語音/影音傳輸設計，效率與安全兼具。

Q3. DPI 的主要用途是什麼？

A. 增加頻寬

B. 封包過濾與應用識別 ✅

C. 儲存封包

D. 提升 QoE

📌 解析：DPI 可檢查應用層內容，分類流量、阻擋可疑行為。

Q4. SS7 攻擊可能造成什麼結果？

A. 網路頻寬下降

B. 電話號碼被凍結

C. 用戶位置與 SMS 被竊取 ✅

D. DNS 解析失敗

📌 解析：SS7 漏洞可攔截簡訊、追蹤位置，常用於竊取銀行 OTP。

Q5. FCAPS 中，P (Performance) 的重點是什麼？

A. 用戶身份驗證

B. 系統效能與網路品質 ✅

C. 流量封鎖

D. 用戶計費

📌 解析：Performance 監控延遲、頻寬利用率、丟包率，確保 SLA。

Q6. 在電信 NOC / SOC 協同中，SOC 的主要角色是？

A. 修復光纖斷裂

B. 監控資安威脅 ✅

C. 提升 QoE

D. 管理帳號費率

📌 解析：SOC 負責偵測、分析、應對駭客攻擊與內部威脅。

Q7. 你使用 Wireshark 捕捉到大量來自不同來源 IP 的 SYN 封包，並持續攻擊同一伺服器 Port，最可能是哪種攻擊？

A. ARP Spoofing

B. Port Scan

C. DDoS 攻擊 ✅

D. 中間人攻擊

📌 解析：SYN Flood 是常見的 DDoS 方式，利用大量半連線消耗伺服器資源。

Q8. 若使用者抱怨「晚上看 MOD 常卡頓」，但 QoS 測試顯示延遲與丟包率正常，下一步應該檢查什麼？

A. 頻寬利用率與流量尖峰 ✅

B. SIM 卡是否有效

C. 網路是否啟用加密

D. 用戶帳單是否到期

📌 解析：QoS 正常但仍卡頓，可能是尖峰時段頻寬不足，或內容快取未優化，需從流量分布與資源配置調查。

Q9. 在中華電信 NOC 與 SOC 的協同作業中，如果發現異常流量，正確的處理順序應該是？

A. NOC 停止所有流量 → SOC 再分析

B. SOC 先判斷攻擊類型 → NOC 再調整資源 ✅

C. 直接通報主管 → 等待指示

D. 使用者自行回報 → NOC 處理

📌 解析：NOC 負責偵測異常流量，但 SOC 必須先判斷是否為攻擊，再由 NOC 進行資源隔離與調度，這樣才能避免誤判導致服務中斷。

Q10. 假設某企業專線服務 SLA 承諾「延遲 < 50ms」，若監控顯示延遲達到 80ms，你作為網管人員第一步該怎麼做？

A. 立即退費給用戶

B. 檢查 QoS/QoE 日誌與路由狀況 ✅

C. 直接更換路由器

D. 通知用戶「系統繁忙」

📌 解析：延遲異常須先透過 QoS/QoE 日誌追蹤，確認問題出在哪一段路由（核心、接入、國際出口），再決定是否進行調整或擴容。

🧠 實務問答題組

________________________________________

Q1. 問：在電信企業客戶發生專線中斷時，請說明 NOC 與 SOC 應如何分工協作進行排查與復原？

✅ 參考答案要點：

• **NOC 角色：**先檢查物理層（光纖、設備狀況）、路由器/交換器連線、BGP 或 OSPF 是否收斂正常。

• **SOC 角色：**檢查是否有內部感染（如勒索病毒）、異常流量（如 DDoS 或 Port Scan）、或非法存取行為導致網路自動封鎖。

• **協作方式：**NOC 先確認「非設備故障」，即時轉交給 SOC 進行資安層分析；若為攻擊造成，SOC 應提供阻斷與黑名單策略，由 NOC 實施調整或 reroute。

________________________________________

Q2. 問：若 Wireshark 偵測到來自外部某 IP 的連續 SYN 封包，但伺服器未回應 SYN-ACK，請說明此現象可能代表什麼？應如何處置？

✅ 參考答案要點：

• 現象代表可能遭遇 SYN Flood 攻擊，攻擊者只送 SYN 而不完成三向交握，讓伺服器資源被耗盡。

• 應立即：

1. 利用 Wireshark 鎖定來源 IP。

2. 通報 SOC 封鎖來源 IP 或部署 SYN Cookie 機制。

3. 通知上游防火牆或 DNSWARP 濾除異常流量。

________________________________________

Q3. 問：在 MOD 服務中如何使用 QoE 指標提升用戶體驗？請舉一具體指標並說明用途。

✅ 參考答案要點：

• 可使用 「卡頓率」（Buffering Ratio） 作為 QoE 代表指標，定義為播放過程中發生緩衝事件的次數佔總播放時間比例。

• 若卡頓率超過 1%，即表示用戶觀感不佳，可能流失。

• 工程師會依此調整 CDN 節點分配、頻寬資源、或壓縮編碼參數，確保 5G/MOD 高畫質服務持續穩定。

________________________________________

🕵️ 三、實作：Wireshark 封包追蹤與分析

實作目標

• 學會使用 Wireshark 捕捉與過濾封包。

• 辨識攻擊跡象（如 DDoS、ARP Spoofing、Port Scan）。

• 撰寫報告，培養資安事件分析能力。

實作步驟

1️⃣ 安裝 Wireshark

下載並安裝 → 選擇監控網卡（Wi-Fi / Ethernet）。

2️⃣ 開始捕捉封包

點擊「Start Capturing」，收集即時流量。

3️⃣ 設定過濾器

• 僅看 TCP：tcp

• 檢查 ICMP 攻擊：icmp

• 偵測特定來源：ip.addr == 192.168.1.100

4️⃣ 觀察異常跡象

• DDoS：大量來自不同 IP 的 SYN 封包。

• ARP Spoofing：多個 IP 對應同一 MAC。

• Port Scan：短時間掃描多個 Port。

5️⃣ 輸出與報告

File → Export → CSV / JSON → 整理異常樣本 → 撰寫報告。

________________________________________

📌 小結

• 威脅 → 防禦 → 管理 是電信網安全的核心鏈條。

• FCAPS 與 NOC/SOC 協同 形成全方位維運，確保效能與安全並重。

• Wireshark 是網管人員必備工具，能快速定位異常與攻擊模式。

• 在 5G/6G 時代，安全管理不僅是「防護牆」，而是結合 AI 自動化、合規制度與持續監控的全套體系，才能真正縮短停機時間、保障用戶體驗。