中國文化大學資訊安全產業研發碩士班

碩士論文

Graduate Institute of R&D Master Program in Information Security Industry

Chinese Culture University

Master Thesis

DDoS 攻擊及防火牆之研究：以 VoIP 與視訊會議為例

A Study of DDoS Attacks and Firewall Protection

─ Use VoIP and Video Conference as Examples

徐悟梵

Hsu, Wu-Fan

指導教授﹕劉仲鑫 博士

Advisor: Liu, Chung-Hsin, PhD

中華民國 99 年 7 月

July, 2010

ii

摘 要

論文名稱：DDoS 攻擊及防火牆之研究： 總頁數：51

以 VoIP 與視訊會議為例

校(院)所組別：中國文化大學資訊安全產業研發碩士專班

畢業時間及提要別：九十八學年度第二學期碩士學位論文提要

研究生：徐悟梵 指導教授：劉仲鑫 博士

論文提要內容： 隨著網際網路的蓬勃發展，可以提供即時性影音對談的視訊會議

系統已經愈來愈普遍，除了 ITU-T H.323 及 IETF SIP 標準外，許多 IM軟體也都提供視訊會議的功能，讓天涯近在咫尺，但視訊會議帶來的

便利性卻往往讓人忽略其安全議題，故隨著而來的安全性也是極需重

視的問題。 本研究針對標準的 ITU-T H.264 高階視訊及常見的 IM 視訊軟體

進行探討分析，以 DDoS 攻擊視訊會議之通訊，量測其影像品質所受之影響，並以軟體式防火牆進行防護，期盼在基本且簡易的防火牆網

路環境中提供視訊會議通訊影像品質正常運作之參考。

iii

A Study of DDoS Attacks and Firewall Protection

─ Use VoIP and Video Conference as Examples

Student: Hsu, Wu-Fan Advisor: Liu, Chung-Hsin, PhD

C h i n e s e C u l t u r e U n i v e r s i t y

A B S T R A C T

With the progress of Internet video conference applications are increasingly common in

Internet. In addition to ITU-T H.323 and IETF SIP standard, many of IM software also

provides video conferencing function. The world-wide communication is nearby convenience.

But convenience usually accompanies security issues. That is what we need to pay much

more attention to.

This study will analyzes and measure the images of ITU-T H.264 video conference

codec and a few common IM video applications communications in the DDoS attack. And

determine the image quality impact during DDoS attack. Then use a software based firewall

to protect the video communication. Looking forward to provide a qualify video conference

with add-in a basic firewall security environment.

iv

誌 謝 辭

本論文幸蒙恩師劉仲鑫博士悉心指導，在短短八個月的時間內，

學習本文所需之各種工具再加以實測，更得以將各項研究結果投稿並

收錄於 IEEE Engineering Index 系列之研討會，包括 IIHMSP 2010

(Darmstadt, Germany)、NCM 2010 (Seoul, Korea)、ICIS 2010 (Chengdu,

China) 、 ICAEE 2010 (Beijing, China) 、 2010 IEEE3CA (Tainan,

Taiwan)、MMIT 2010 (Kaifeng, China)。老師亦師亦友的指導方式，不

斷地鼓勵學生學習新知，再將不同專業領域之內容融會貫通，在老師

的指導下學生獲益良多，對於未來資訊專業領域之發展也更具信心。

並特別感謝蔡敦仁所長，孫振東老師，蔡昌隆老師，張耀鴻老師、

陳同孝老師、莊佳蓉學姊、各位口試委員，以及學習過程中所有指導

過我的老師及先進，本文才能順利完成，在此謹向所長、指導教授、

各位老師與先進致上最高的敬意！

最後並感謝我太太─王小姐，結耦五年，一路有妳相伴與支持，

我才能專心完成學業，在此致上由衷的感謝！

v

內 容 目 錄

中文摘要 …………………………………………………………… ii

英文摘要 …………………………………………………………… iii

誌謝辭 …………………………………………………………… iv

內容目錄 …………………………………………………………… v

圖目錄 …………………………………………………………… vii

表目錄 …………………………………………………………… ix

第一章 緒論 ............................................................................................1

第一節 研究背景、動機、目的 ....................................................1

第二節 研究範圍與限制 ................................................................3

第二章 文獻探討.....................................................................................5

第一節 相關名詞解釋 ....................................................................5

第二節 相關之國內外論文(標準)探討..........................................9

第三章 研究方法及實驗內容...............................................................21

第一節 實驗模型 ..............................................................................22

第二節 實驗及量測方式 ..................................................................23

第四章 結論 ..........................................................................................34

參考文獻 ..................................................................................................36

附錄 ..........................................................................................................41

vi

附錄 A Check Point ZoneAlarm free firewall 9.2 安裝 .................41

附錄 B Polycom PVX 8.0.2 設定畫面...........................................47

vii

圖 目 錄

圖 1-1 CSI 調查資安事件比例圖 ................................................ 2

圖 2-1 新式的視訊會議系統已內建支援 UPnP ........................... 8

圖 2-2 H.323 系統架構圖 ............................................................ 10

圖 2-3 SIP 系統架構圖 ................................................................ 12

圖 2-4 LMSE 之 p 點與 A、B、C、D 點之相對位置 ............ 19

圖 3-1 實驗研究法流程 ............................................................... 21

圖 3-2 對照組之網路拓樸 ........................................................... 22

圖 3-3 DDoS 分散式阻斷式攻擊之網路拓樸 ............................ 23

圖 3-4 以 TFN2K 進行混合式 DDoS 攻擊 ................................. 26

圖 3-5 DDoS flood 佔用接收端的網路資源 .............................. 26

圖 3-6 接收端遭到 DDoS 攻擊時之網路使用率 ....................... 27

圖 3-7 接收端遭到 DDoS 攻擊時之影像 ................................... 27

圖 3-8 ZoneAlerm 防護對話框 ................................................... 28

圖 3-9 以防火牆抵擋 DDoS 攻擊 ............................................... 29

圖 3-10 防火牆有效抵擋 DDoS 攻擊 ......................................... 29

圖 3-11 停止 TFN2K 之 DDoS 攻擊 ........................................... 30

viii

圖 3-12 Polycom PVX 8.0.2 視訊影像在 DDoS 攻擊時之差異...30

圖 3-13 Windows Live 2009 視訊影像在 DDoS 攻擊時之差異 31

圖 3-14 Skype 4.2.0 視訊影像在 DDoS 攻擊時之差異 .............. 31

圖 3-15 Google video chat 視訊影像在 DDoS 攻擊時之差異 .... 32

ix

表 目 錄

表 2-1 ITU-T 定義之 CIF 解析度 ................................................ 7

表 2-2 防火牆之分類參考 ............................................................ 14

表 3-1 本實驗所測試之視訊軟體及 ITU-T/IETF 標準 .............. 24

表 3-2 本實驗所測試之視訊軟體影像解析度 ............................ 24

表 3-3 Mean Opinion Score (MOS) 指標 .................................... 32

表 3-4 視訊影像遭受 DDoS 攻擊時 ............................................ 33

之 PSNR 值與 MOS 指標

表 3-5 以 ZoneAlerm 防火牆抵擋 DDoS 攻擊 ........................... 33

之 PSNR 值與 MOS 指標

1

第一章 緒論

第一節 研究背景、動機、目的

隨著網際網路的蓬勃發展，以文字及圖像內容為主的網路服務正

逐漸的轉往影音 (Video and Voice) 服務發展 (陳韋男，2006)。

YouTube、Google videos 等影音網站的掘起，以及微網誌使用者迅速

的增加，對於網路之影音服務也帶來推波助瀾的效果。網路服務除了

提供單向的影音內容外，可以雙向溝通的 VoIP (Voice over IP) 及視訊

會議系統 (Video conference)，也因為其加值型的服務及便宜的通訊成

本而愈趨普遍。

由於 IP 是一種以封包交換 (Packet switching) 為傳送基礎的協

定，其特性是盡可能傳送 (Best effort) ，並不提供保證服務，所以可

能有封包順序錯置或中途遺失的風險，且網路上處處可見的電腦病毒

或時而發生的攻擊事件，都可能對於 VoIP 及視訊會議的通話服務品

質造成影響，故對於視訊會議之影音服務所伴隨的網路管理與安全問

題也必須加以重視。

本研究針對 ITU-T (International Telecommunication Union -

Telecommunication standardization sector) H.264 高階影像及常見的 IM

(Instant Messaging) 軟體 Windows Live、Skype、Google video chat 等

視訊會議通訊，在遭受 DDoS (Distributed Denial of Service) 攻擊時其

影像傳輸所受之影響，再以防火牆系統進行安全防護，觀察及量測影

2

像變化之差異。本研究之目的是分析及實測視訊會議通訊在現有的網

路防火牆安全機制的防護架構下，可以達到通訊之可用性與安全性。

圖 1-1 CSI 調查資安事件比例圖 資料來源：CSI Survry 2009

由於 DoS (Denial of Service) 及 DDoS 類型之攻擊不曾因為網路

防護技術的增強而有減少，甚至 2009 年的攻擊比例較 2008 年還高，

如圖1-1 Computer Security Institute (CSI) 2009年12月發表之調查報告

(CSI, 2009)。故本研究針對 DDoS 攻擊之資安情境，建置一套 VoIP 及

3

視訊會議系統通訊品質量測架構，將 VoIP 及視訊會議系統接收端之

影像以 YUV 格式進行通訊品質差異值衡量，再加入 DDoS 攻擊之資

安情境，以及軟體防火牆之安全防護進行實測，最後並以影像之 PSNR

(Peak Signal to Noise Ratio) 值提供攻擊與防護之差異的客觀比較。

本研究架構的傳送端與接收端之通訊模型可以置換為不同的影

音串流系統，除了本研究所量測的視訊會議系統外，亦可利用於未來

延伸量測其他影音串流系統的通訊品質。而本研究所架構的 DDoS 攻

擊模型，是以三台的殭屍網路 (Botnet) 電腦攻擊受害目標，而在實驗

環境許可的情況下，殭屍網路之電腦數量可以任意擴充，可於未來延

伸探討不同數量之殭屍網路電腦攻擊所產生的損害程度。

第二節 研究範圍與限制

本研究將探討 ITU-T 標準之H.264高階視訊以及目前市面上常見

的幾種 IM 軟體 Windows Live、Skype 及 Google video chat 等在受到

DDoS 攻擊時之運作情況。其他如 AIM (AOL Instant Messenger)、

Yahoo Messenger、QQ 等軟體，並未納入本次研究，可於未來再延伸

探討。

在阻斷式攻擊之測試部份，由於 DDoS 比 DoS 攻擊能對受害目

標造成更大的影響 (台灣電腦網路危機處理曁協調中心，2005；駱俊

霖，2009)。故本研究不再探討 DoS 之攻擊，只採用 DDoS 攻擊視訊

影像之接收端，並量測其所造成之影響。而 DDoS 著名的攻擊程式有

trinoo (Trin00)、TFN、TFN2k 及 Find DDoS 2.0 等 (Krutz, Vines,

4

2007)。本研究選用 TFN2k 進行 DDoS 攻擊實測，至於其他的攻擊程

式，不在本文的實驗範圍，可於未來再延伸探討。

防火牆之部份則採用知名品牌 Check Point ZoneAlarm Free

Firewall 9.2.044 (2010 年 5 月發佈) 作為本研究測試標的。ZoneAlarm

防火牆屬於 Stateful 之延伸類型防火牆，並將防護層級上推至 OSI

(Open Systems Interconnection model) 第七層應用層 (Application

Layer) (Zone Labs, 2001)。而其他如 Packet filtering 及 Proxy 等類型之

防火牆，對於 DDoS 攻擊之防護效果，不在本研究之討論範圍，可於

未來再延伸探討。

有關視訊會議之雙串流標準 H.239 (Video plus Data) (ITU-T Rec.

H.239, 2005)，因目前使用之系統與實驗設備尚無法完整支援，亦不在

本研究之討論範圍，可於未來有完整實驗設備時再延伸探討。

5

第二章 文獻探討

第一節 相關名詞解釋

一、視訊會議

視訊會議 (Video conference) 是指透過網際網路連接進行影音封

包交換，以達到遠距通訊之目的，其系統可以提供兩個地點或以上的

使用者同時進行雙向 RTP (Real-time Transport Protocol) 影音對話。視

訊會議之通訊協定也包括了 VoIP 之應用，目前市場上的主流產品是

以H.323及SIP (Session Initiation Protocol) 協定為主之設備 (Jackman,

2010)，在政府機構、軍事、商務及醫療等領域都有廣泛的應用。

二、 RTP 協定

RTP (Real-time Transport Protocol) 是一個網路傳輸協定，由 IETF

的多媒體傳輸工作小組 1996 年在 RFC 1889 中公布，之後 ITU-T 國際

電信聯盟也發布了自己的 RTP 文件 RFC 3550 (原 H.255) 。另一文件

RFC 3551 則詳細描述了使用最小控制的音頻以及和視訊會議相關之

內容。RTP 定義網際網路上傳遞音頻和視訊的標準數據封包格式，原

始設計是一個多播 (Milticast) 協定，實務上卻大量應用在單播

(Unicast) 領域 (IETF RFC 1889, 1996；IETF RFC 3551, 2003)。

三、 H.263 及 H.264 標準

H.263 及 H.264 是屬於 OSI 第六層展現層 (Presentation Layer)之

6

影像編解碼器。H.263 於 1995 年由 ITU-T VCEG (Video Coding Experts

Group) 所公佈，在當時是一個劃時代具備壓縮功能的視訊編解碼

(codec) 標準，15 年後的今日還是常見於各種類型之視訊會議系統。

而且 H.263 也已使用於的眾多知名網站，如 YouTube、Google videos

等 (Uro, 2005)。

2003年 5月公佈的H.264編解碼器，同時也被稱為 MPEG – 4 Part

10，因為它是由 ITU-T VCEG 和 ISO/IEC MPEG (Moving Picture

Experts Group) 所共同提出，提供比 H.263 更好的壓縮率及視訊品質，

不過也較佔用 DSP (Digital Signal Processer) 之資源。大多數遵循

ITU-T 標準的視訊會議系統，也都具備 H.263 和 H.264 的編解碼標準。

四、 G.711、G.722 及 G.729 標準

G.711、G.722及G.729屬於OSI 第六層展現層 (Presentation Layer)

之音頻編解碼器。ITU-T 1972 年發佈的 G.711 音頻標準主要用於電話

語音系統，是一個波形編解碼器標準，亦稱為脈衝編碼 (Pulse Code

Modulation, PCM) ，定義語音之取樣及轉換等標準，以 8 kHz 取樣頻

率產生 64 kbit/sec 的語音串流。

ITU-T 發佈的 G.722 為 7 kHz 多頻語音編解碼器標準，是工作於

48、56、64 kbit/sec 之語音標準。並有 G.722.1、G.722.2 之延伸標準，

提供較低的壓縮，以及品質更高的位元率 (Bit rate)。G.722 及其延伸

標準採樣率為 16kHz，所以可提供極佳的音頻品質和清晰度。

ITU-T 定義的 G.729 語音編碼是在 8 kbit/sec 的 CS-ACELP

(Conjugate-Structure Algebraic-Code-Excited Linear Prediction ) 音頻數

7

據壓縮之演算法。由於低頻寬需求及其壓縮技術和品質，使 G.729 普

遍成為 VoIP 之各種應用程式所採用之語音編碼標準，如 Skype 等

(Skype Support, 2009)。

五、 CIF 格式

ITU-T 定義視訊會議標準之 CIF (Common Intermediate Format)影

像解析度為 352×288 像素，QCIF (Quarter CIF) 則為之四分之一 CIF

176x144 畫素 (ITU-T Rec. H.263, 1998；王穎智，2007)，如表 2-1。本

文在標準的視訊會議部份將量測 H.323 之 CIF 影像之傳輸品質。

表 2-1 ITU-T 定義之 CIF 解析度

Format Video Resolution QCIF 176 × 144 CIF 352 × 288 4CIF 704 × 576 9CIF 1056 × 864 16CIF 1,408 × 1,152

資料來源：ITU-T Rec. H.263, 1998

六、 UPnP 協定

UPnP (Universal Plug and Play) 協定原先由 Microsoft 所提出，後

由 ISO (International Organization for Standardization) 及 IEC

(International Electrotechnical Commission) 納為解決防火牆及 NAT

(Network Address Translation) 透通的方法，其架構強調只要支援UPnP

協定的設備接上網路，不必作任何設定即可讓使用者立即透過網路使

用該設備 (施銘原等，2005；ISO/IEC，2008)。圖 2-1，為視訊會議系

統之 UPnP 說明，新式的視訊會議系統已內建支援 UPnP 協定。

8

圖 2-1 新式的視訊會議系統已內建支援 UPnP

9

第二節 相關之國內外論文(標準)探討

一、 H.323 標準

H.323 屬於 OSI 第五層會談層 (Session Layer) 之通訊協定，是由

ITU-T ( International Telecommunication Union - Telecommunication

Standardization Sector ) 所公佈的網際網路訊會議系統介接的標準，並

定義所使用的控制埠 (Port) 為 TCP 1718~1720，初始的資料傳輸埠則

為 TCP 3220~3237 及 UDP 3230~3253 (ITU-T Rec. H.323, 1998；IETF

RFC 3508, 2003)。H.323 與 SIP 是目前主流的 VoIP 及視訊會議系統之

通訊協定，以下分別對這種協定簡單的介紹：

圖 2-2 為 H.323 之系統架構圖 (ITU-T Rec. H.323, 1998)，其四個

主要元件如下：

終端機 (End Point, EP 或稱 Terminal)

閘道管理器 (GateKeeper, GK)

閘道器 (Gateway, GW)

多點會議控制器 (Multipoint Control Unit, MCU)

H.323 最初的版本是在 1996 年由 ITU-T 發布，為通信產業提供一

個通訊標準，然而最初定義的協定只局限在區域網路 (Local Area

Network) 提供服務。1998 年 ITU-T 發布 H.323v2，使得 H.323 得以跨

足網際網路。1999 年發布 H.323v3，奠定 H.323 成為全球數位 IP 電

話及視訊會議系統發展之基礎。2000 年 11 月 H.323v4 問世，增加很

多重要的擴充和改進項目，其中包括可靠性，可測量性和擴充性等。

10

使得 H.323 已經成為影音 (Video and Voice) 及資料 (Data content)

會議的主流之一。

圖 2-2 H.323 系統架構圖 資料來源：ITU-T Rec. H.323, 1998 

H.323 的終端機 (EP) 主要功能是讓使用者在網路上雙向傳遞即

時性的語音、視訊以及非即時性的資料 (ITU-T Rec. H.323, 1998)。

閘道管理器 (GK) 有兩個主要功能：位址轉換以及頻寬管理

(ITU-T Rec. H.323, 1998)。

閘道器 (GW) 是當終端機要與 H.323 以外之元件通話時所需使

用的介面設備 (ITU-T Rec. H.323, 1998)。

多點會議控制器 (MCU) 是 H.323 系統中最複雜且昂貴的設

備，可允許並控制三點以上的終端機能彼此同時交談，即使各個終端

機使用不同的協定 (ITU-T Rec. H.323, 1998)。在理論上並可利用視訊

串接 (Cascading) 功能，將不同的多點會議控制器串連，以便達到無

限多點同時會議連線，唯受限於 DSP (Digital Signal Processor) 效能、

網路頻寬及視訊螢幕呈現之困難，實務上以 16 點 (含) 以下同時通訊

較常見 (Polycom Inc., 2009 )。

11

二、 SIP

SIP (Session Initiation Protocol) 屬於 OSI 第五層會談層 (Session

Layer) 之通訊協定。其發展源由是因 H.323 是以視訊會議系統之應用

所制定的標準，為容納影像資料 H.323 所定義之封包框架 (Frame) 過

大，且連線時每個點需佔用 8 個 UDP 埠，若是單純的語音系統的應

用，將浪費過多的資源，也不容易在小型資訊系統平台上執行，如 PDA

(Personal Digital Assister) 或行動電話等。

SIP 因此應運而生，成為新的語音會議系統的標準。SIP 能夠連

接使用任何 IP 網絡，包括 LAN 和 WAN、網際網路 、行動電話 2.5G、

3G、3.5G、WiMAX 和 Wireless LAN，並可以和任何 IP 設備，如個

人電腦、筆記型電腦、IP Phone、PDA 或行動電話的用戶連接 (賈文

康，2005)。另外，SIP 可以透過 MCU (Multipoint Control Unit) 系統

與 H.323、H.320 等協定之設備互相通訊 (IETF RFC 5589, 2009)。

RFC2543 定義 SIP 協定之模型由 User Agent (UA)和 Server 等兩

類主要實體元件所組成。SIP UA 具有 UAC (User Agent Client)及 UAS

(User Agent Server) 的雙重功能，UAC 的功用是發話 (發出 SIP 要

求)，UAS 的功用則是受話 (接受要求和回應要求) (IETF RFC 2543,

1999)。簡單來說 UA 就是網路電話設備，可以是硬體或軟體。SIP Server

則有四大類，分別為 Proxy Server、Location Server、Redirect Server

及 Registrar Server，主要是負責網路電話的註冊及找到受話方。而

Location Server 通常可以被包含在 Registrar Server 或是 Redirect

Server 之中。因此，也可以說 SIP 協定模型由四種基本的 SIP 邏輯元

件組成，其系統架構如圖 2-3 (賈文康，2005)。

12

RequestResponseNon-SIP Protocol

SIP User Agent(Caller)

SIP User Agent(Callee)

SIP Proxy

SIP Redirect Server

SIP Proxy

Location Service

1

2

5

6

7

8

9

10

RTP

3

4

11

圖 2-3 SIP 系統架構圖 資料來源：賈文康，SIP 會談起始協議操典，2005 

三、 DDoS 攻擊

DDoS (Distributed Denial of Service) 分散式阻斷服務攻擊其目的

是為了消耗特定目標之系統資源，如佔用網路頻寬或 CPU 等，使其無

法提供正常之服務。通常有以下幾種不同的攻擊型態 (台灣電腦網路

危機處理曁協調中心，2005)：

TCP Flood

ICMP Flood

UDP Flood

ACK Flood

SYN Flood

Connections Flood

Script Flood

Proxy Flood

13

DDoS 攻擊容易實施而且不易預防，且只要攻擊者有心隱藏，將

難以追查攻擊來源 (楊中皇，2008)。其基本攻擊原理是透過大量的殭

屍網絡 (Botnet) 電腦，以洪水般大量之網路封包向受害主機發送，讓

網路中充斥著大量卻無用的封包，致合法用戶的網路服務無法正常使

用。只要殭屍網絡的電腦數量越多則所造成的阻斷將越嚴重，故 DDoS

也被稱為洪流攻擊 (Flood attack)。

防止 DDoS 攻擊的最佳方法便是要防止電腦成為殭屍網絡主機，

只要殭屍網絡的電腦數量不足，則所可能造成的危害就較為有限。安

裝防火牆及防毒軟體並定時更新電腦病毒之特徵碼，可以較有效地避

免電腦成為 DDoS 攻擊的幫手。

四、 防火牆

防火牆 (Firewall) 是用來限制存取網路的設備，多數的網路使用

者或組織都會使用防火牆限制從網際網路的使用者存取他們的私域

網路 (Private Network) 或內部網路 (Intranet)。

防火牆設備需可以支援並執行該組織的網路安全政策。一個組織

的安全政策可以明確訂立不同層次的可接受指令的和不可接受之行

動，並指出其涉及的安全議題。防火牆可提供一個明確及細節化的安

全政策，決定哪些服務可以允許存取，什麼 IP 位址和範圍受到限制，

以及哪些 Port 可以或拒絕存取。防火牆通常被描述為一個「閘道」或

「瓶頸」，因為在網路中所有的通信都必需流通過它，這正是防火牆

的網路流量檢查與限制之功能。

防火牆可以是軟體系統或是獨立的硬體設備，需根據組織所配置

14

的安全政策監測數據封包，過濾不符合要求安全政策的封包、丟棄、

重新包裝或重新定向這些封包。數據封包篩選的基礎包括來源和目標

位址、埠、封包類型、協定、標題訊息、序位等。網管人員使用特定

的功能及參數，限制或允許其存取。

因為每個組織的環境都可能有其獨特的需求和安全目標，防火牆

的發展經歷演變出各種複雜性和功能，關於防火牆的類型可參考表 2-2

(Harris, 2007; Scarfone, Hoffman 2009)。

表 2-2 防火牆之分類參考

書名 CISSP Certification AIO Exam. Guide 4th Edition

Guidelines on Firewalls and Firewall Policy

作者 Shon Harris Karen Scarfone, Paul Hoffman

出版社 及年份

McGraw. Hill, Nov. 2007

NIST (National Institute of Standards and Technology), Sep. 2009

防火牆 之分類

[Types of firewalls (in Ch 7)] 1. Packet filtering 2. Dynamic packet filtering 3. Stateful 4. Proxy 5. Kernel proxy

[Firewall Technologies (in Ch 2)] 1. Packet Filtering 2. Stateful Inspection 3. Application Firewalls 4. Application-Proxy Gateways 5. Dedicated Proxy Servers 6. Virtual Private Networking 7. Network Access Control 8. Unified Threat Management (UTM) 9. Web Application Firewalls 10. Firewalls for Virtual Infrastructures

資料來源：

1. Harris CISSP Certification AIO Exam. Guide 4th Edition, 2007

2. Scarfone, Hoffman ,Guidelines on Firewalls and Firewall Policy, 2009

15

以下茲針對 Packet filtering、Stateful 及 Proxy 防火牆簡易的介紹。

1. Packet filtering 防火牆

Packet filtering 防火牆是控制那些數據可以流入及流出的一種機

制，並利用使用 ACL (Access Control List) 進行規則辨識，以分辨那

些數據封包可以被接受，哪些數據封包必須拒絕。當使用封包過濾機

制時，當數據封包到達該防火牆路由，防火牆便比對 ACL 以確定這

個數據封包是否應該允許或拒絕。如果是允許的數據封包通過，則會

傳遞到目標主機或其他路由器 (鳥哥，2007)。

Packet filtering 防火牆有以下的弱點 (Harris, 2007)：

無法阻止攻擊特定應用程式的漏洞。

目前封包過濾防火牆的日誌記錄功能較有限。

多數的封包過濾防火牆無法支援進階的使用者認證架構。

單純的封包過濾防火牆不能檢測 OSI 第三層網路層 (Network

Layer) 位址的篡改或欺騙。

由於依靠 ACL 進行存取控制決策，容易因為規則及順序配置

不當產生安全威脅。

2. Stateful 防火牆

一般的 Stateful Packet Inspection (SPI) 或 Stateful-inspection

filtering (狀態偵測/過濾) 防火牆是透過不斷追踪封包到什麼地方，直

16

到每一個特定連接被關閉。

但 Stateful (狀態檢測) 防火牆不僅只是這樣運作，Stateful 防火牆

像是一位多管閒事的鄰居，一直追蹤誰什麼時候做過那些事，所以當

發生盜竊案時警察就可以向這位多管閒事的鄰居詢問，因為她知道附

近所有一切不尋常的事情 (Harris, 2007)。

Stateful 防火牆亦可針對數據封包設定允許或拒絕通過，且功能比

Packet filtering 更進一步。例如，針對 UDP 數據封包的請求服務埠 25

可能只有一個規則─允許 UDP 數據封包，除非發送端或接收端提出離

開的請求 (Harris, 2007)。

舉例來說，如果使用者 A 請求發送到一台主機 B，這一要求被記

錄在防火牆的狀態表，表示使用者 A 對主機 B 提出的請求和數據封包

應該回來使用者 A。當主機 B 在網際網路上回應使用者 A，防火牆就

針對這些數據封包進行比對，由於該封包的訊息在防火牆的狀態表已

經記錄過，所以防火牆便允許該封包通過。

另一方面，若使用者 A 沒有作出任何的要求，則防火牆可以比對

以前沒有使用者 A 要求的任何訊息，則依照其 ACL 來處理這些封包。

也就是說當一個 Stateful 防火牆收到數據封包時，它先查看其狀態表

是否連接已經建立，是否有這些數據要求。如果沒有以前的連接狀態

表，並保存任何有關的訊息，則數據封包就交由設備的 ACL 規則處

理的。

由於以下的特點，故 Stateful 防火牆的防護能力優於 Packet

filtering (Zone Labs, 2001)：

不斷追蹤封包到什麼地方，直到每一個特定連接被關閉。

17

Ststeful 可以作用在 OSI 第三層網路層 (Network Layer) 和第

四層傳輸層 (Transport Layer)。

追踪每個節點 (IP、Port) 什麼時候做過那些事。

Statful 防火牆必須維持一個動態狀態表以記錄連結。

雖然 Stateful 防火牆提供更多額外的防護措施，但因為必須維持

一個動態狀態表和記憶連結，所以也增加許多複雜度。故基本型的

Stateful 防火牆無法抵抗 DoS 或 DDoS 類型的攻擊，因為這種類型的

攻擊可以針對狀態表提供大量的虛假訊息。由於狀態表也是一種資

源，必需佔用系統的儲存空間，以及處理器時間。當狀態表充滿假的

訊息時，該設備若不是凍結就是必需重新啟動，而防火牆重新啟動便

會失去所有最新的連接訊息，因此可能造成拒絕合法的數據封包，導

致網路服務完全中斷。

而進階型的 Stateful 防火牆則可以判斷狀態表中的訊息，將無用

的連結或是被認定為攻擊來源的連線切斷，使正常的網路服務不會受

到非法連線的影響 (Zone Labs, 2001)。

3. Proxy 防火牆

Proxy 防火牆提供一種完全的存取代理服務，可以將 Internet 及

Intranet 直接的通訊全數阻隔，其優缺點如下 (Harris, 2007)。

優點：

專注於訊息內容，防護規則可一路追朔至 OSI 第七層應用層

完全分隔信認與非信認之網域

18

比 Packet filtering 提供更好的安全性

缺點：

某些代理防火牆只支援有限的應用程式

由於完全分離之特性，故大幅降低 WAN 端之網路效能

有擴充性及效能的問題，尤其是 Application-based proxy 防火

牆

五、影像差異值衡量法 (Difference Distortion Metrics)

學術界提出的影像差異值衡量法有以下幾種：(陳建宏，2008)

1. 絕對值平均差 (Average Absolution Difference, AAD)

∑−

=

−=1

0'1

N

iii pp

NAAD .………………………………. (公式 2-1)

2. 最大差值 (Maximum Difference, Max)

{ }ii ppMaxMax −= ' .…………………………….... (公式 2-2)

3. 內容結構值 (Structural Content, SC)

∑

∑−

=

−

== 1

0

1

0'

N

ii

N

ii

p

pSC

.……………………………………………. (公式 2-3)

19

4. 拉普拉斯均方差 (Laplacian Mean Squared Error, LMSE)

∑

∑−

=

−

=

−= 1

0

2

1

0

))((

)]'()([

N

ii

N

iii

pF

pFpFLMSE

.……………………… (公式 2-4)

其中之 F(p)，是用以表示 4 倍的 p 點像素與其的上、左、下、右

點 (A、B、C、D) 像素之差值，如公式 2-5 及圖 2-4。

pDCBApF 4)( −+++= .………………………... (公式 2-5)

A B p D C

圖 2-4 LMSE 之 p 點與 A、B、C、D 點之相對位置

5. 均方差 (Mean Squared Error, MSE)

∑ ∑= =

⎥⎦⎤

⎢⎣⎡ −=

col

i

row

jijDijS

rowcol

N NNYNY

NNMSE

0 0

2)()(1 .…… (公式 2-6)

6. 峰值雜訊比 (Peak Signal to Noise Ratio, PSNR)

20

⎥⎥⎥⎥⎥⎥⎥⎥⎥⎥

⎦

⎤

⎢⎢⎢⎢⎢⎢⎢⎢⎢⎢

⎣

⎡

= =⎥⎦⎤

⎢⎣⎡∑ ∑ −

=col

i

row

jijDijS

rowcol

peakdb

N NNYNY

NN

VnPSNR

0 0

10

2)()(1log20)( …(公式 2-7)

六、峰值雜訊比指標

PSNR 是評斷影像傳輸好壞的客觀指標之一，在圖像處理之領域

經常被引用 (Kuttera, Petitcolasb, 1999；Wolf, Pinson, 1999；Lee, Chen

1999；Winkler 2000；Thomos, Boulgouris, Strintzis, 2006；駱俊霖，

2009)，其計算所得之數值便是所謂的峰值雜訊比，用以表示影像訊號

最大可能功率以及影響其表示精度的破壞性雜訊功率之比值 (李遠

坤、陳玲慧，1999)。

依據 ITU-R (ITU Radiocommunication Sector) 定義之影像色差是

將 Y 亮度、C 彩度、P/C 同步脈衝分解 (ITU-R BT.709-3, 1998)，其

中的 Y 亮度是人類視覺最容易受到影響的訊號 (江博通、程啟正，

2008)。PSNR 指標之計算原理則是將來源始影像 S 和目的影像 D 的亮

度 Y 當做比較值，其值越大表示目的影像與原始影像的差距越小，畫

面的品質越相近，故可作為視訊會議或圖像壓縮等領域中訊號重建品

質的測量方法。本研究之 PSNR 數值是以 NS (Network Simulator ) 2.29

版之 avgpsnr.exe 執行計算 (柯志亨，2005)。其他如 GNU GPL (General

Public License) PSNR.java 也是一個相當好的工具 (DarkLilac,

2009)。Matlab、C++、Delphi 或 C# 等程式語言也有相似之程式可以

應用，唯 PSNR 程式之撰寫不在本研究探討之範圍。

21

第三章 研究方法及實驗內容

本研究以實驗研究法進行，先收集相關文獻，歸納現有之模型，

規劃本研究之實驗模型並進行實測，再將產生之結果分析，最後提出

結論。其流程如圖 3-1 所示。

圖 3-1 實驗研究法流程

22

第一節 實驗模型

圖 3-2 是一個未受攻擊的對照組網路拓樸環境，由 node 0 (n0)至

node 1 (n1) 以 vbr (variable bit rate) 連線傳送 UDP 封包，時間自 0 至

300 秒。

對照組模型即代表著正常的視訊會議之通訊，在正常通訊的情況

下所截取之通訊圖像，即為本研究對照組之圖像，以便與攻擊模型所

截取之圖像進行比對。

圖 3-2 對照組之網路拓樸

圖 3-3 則是一個 DDoS 分散式阻斷式攻擊的網路拓樸環境，node 0

(n0) 則為合法用戶之節點，目的地節點為 node 1 (n1)。n0 以 vbr 連線

傳送正常之 UDP 封包，時間自 0 至 300 秒。

Node 2 (n2)、node 3 (n3)、node 4 (n4) 為攻擊節點，n2、n3 及 n4

亦以 vbr 連線傳送大量且無用的 UDP 封包，時間自 20 至 240 秒。本

研究便依照圖 3-3 之模型，截取節點 n1 之視訊圖像，以量測該視訊軟

23

體在遭受 DDoS 攻擊時影像品質之變化。

圖3-3 DDoS分散式阻斷式攻擊之網路拓樸

第二節 實驗及量測方式

一、選用視訊會議軟體

本研究之視訊會議測試是選用具備 ITU-T H.264 編解碼標準的

Polycom PVX 8.0.2 和幾種常見的視訊軟體如 Windows Live 2009、

Skype 4.2.0 及 Google video chat 等進行測試。表 3-1 為本實驗所測試

之視訊軟體及軟體可支援之 ITU-T/IETF 標準 (Polycom Inc. 2006,

Skype Limited, 2010) 。

24

表 3-1 本實驗所測試之視訊軟體及 ITU-T/IETF 標準 Item Protocol Video Codec Voice Codec

Polycom PVX 8.0.2 H.323, SIP H.263, H.264 G.711, G.722,

G.729 Windows Live 2009 ─** ─ ─

Skype 4.2.0 SIP ─ G.711, G.722,

G.729 Google video chat ─ ─ ─

註 *：「─」表示無適當資訊 註 **：Skype for SIP Open Beta，目前可支援 Cisco、sipXecs 和 ShoreTel 之 IP PBX資料來源：1. Polycom Inc, Polycom PVX Software Giude,2006 2. Skype Support, 2010

為了圖像內容的一致性以便計算 PSNR 值，本實驗之視訊會議通

訊在對照組及攻擊模型之實驗皆以拍攝固定場景進行測試。首先在對

照組模型 (無攻擊狀態) 之接收端截取 10 張圖像，然後在 DDoS 攻擊

模型之攻擊階段及防火牆防護階段各截取 10 張圖像。將截取之圖像

以 Adobe Premiere 6.5 工具轉換為 AVI 檔，再以 ffmpeg.exe 轉為 NS2

(Network Simulator 2) avgpsnr.exe 計算所需之 YUV 檔以計算 PSNR

值。至於各種轉檔工具之差異或優劣，本文不再延伸探討。表 3-2，

是本研究測試之視訊軟體影像解析度和標準 CIF 之比例。

表 3-2 本實驗所測試之視訊軟體影像解析度 Item Image size Pixels Rate of CIF

ITU-T CIF (Common Intermediate Format)

352 × 288 101,376 100.0%

Polycom PVX 8.0.2 366 × 277 101,382 100.0% Windows Live 2009 320 × 240 76,800 75.8%

Skype 4.2.0 143 × 107 14,338 14.1% Google video chat 225 × 141 31,725 31.3%

25

二、進行 DDoS 攻擊

DDoS 攻擊程式則採用 Linux based 之 TFN2K 進行攻擊， 本實

驗的 TFN2K 原始碼之 gcc (GNU C Compiler) 版本為 4.1.2，攻擊發

起端及受感染之殭屍網絡的 gcc 版本也都為 4.1.2。受害目標則沒有作

業系統或gcc版本限制，只要是TCP/IP網路上之資源都可以進行攻擊。

TFN2K 可進行以下五種型態之 DDoS 攻擊：

1. UDP flood

2. TCP/SYN flood

3. ICMP/PING flood

4. ICMP/SMURF flood

5. mix flood (混合型)

mix flood 可以混合發出 1~4 的各種 flood 封包。

發起端之攻擊參考指令如下： (其中 host.txt 為殭屍網絡之 IP 列

表檔)

./tfn -f host.txt -c 4 -i 192.168.y.z (UDP flood)

./tfn -f host.txt -c 5 -i 192.168.y.z (TCP/SYN flood)

./tfn -f host.txt -c 6 -i 192.168.y.z (ICMP/PING flood)

./tfn -f host.txt -c 7 -i 192.168.y.z (ICMP/SMURF flood)

./tfn -f host.txt -c 8 -i 192.168.y.z (mix flood)

./tfn -f host.txt -c 0 -i 192.168.y.z (stop flooding)

本實驗預先將編譯完成之攻擊程式 td 植入三台電腦

(192.168.99.135、192.168.99.136 和 192.168.99.137) 以組織殭屍網

26

絡，接下來便以 TFN2K 操作殭屍網絡發動 DDoS 攻擊視訊會議之接

收端主機 (192.168.1.124)，如圖 3-4。

圖 3-4 以 TFN2K 進行混合式 DDoS 攻擊

殭屍網絡發送大量 DDoS 封包至受害目標 (192.168.1.124)，如圖

3-5。

圖 3-5 DDoS flood 佔用接收端的網路資源

27

受害目標 (192.168.1.124) 也就是視訊會議接收端的網路資源遭

到佔用，網路使用率突然飆升至 50%左右，如圖 3-6。

圖 3-6 接收端遭到 DDoS 攻擊時之網路使用率

接收端 (192.168.1.124) 遭到 DDoS 攻擊時之接收影像，如圖 3-7。

圖 3-7 接收端遭到 DDoS 攻擊時之影像

28

三、以防火牆防護視訊會議之接收端

本實驗運用 Check Point ZoneAlarm Free Firewall 9.2 做為接收端

之網路安全防護裝置。在接收端 (192.168.1.124) 啟動 ZoneAlarm 防

火牆後，只有設定允許的程式可以進行連線，未經設定的網路存取都

會跳出防護對話框，讓使用者自行判斷是否允許連線，並可將設定記

錄下來，如圖 3-8。

圖 3-8 ZoneAlerm 防護對話框

29

DDoS 攻擊封包未經允許便無法再與接收端連結，如圖 3-9。

圖 3-9 以防火牆抵擋 DDoS 攻擊

接收端開啟 ZoneAlarm 防火牆之後，視訊影像已可正常呈現，如

圖 3-10。

圖 3-10 防火牆有效抵擋 DDoS 攻擊

30

實驗完成，TFN2K 發起端輸入正確之 td 攻擊程式密碼以停止

DDoS 攻擊，如圖 3-11。

圖 3-11 停止 TFN2K 之 DDoS 攻擊

四、視訊會議受到 DDoS 攻擊時之影像差異

本實驗之視訊會議在受到 DDoS 攻擊時之影像如下，可看出接收

端之影像都有明顯的破壞，且畫面亦來不及補正，圖 3-12 為 Polycom

PVX 8.0.2 在受到 DDoS 攻擊時之影像差異。

傳送端之影像 接收端之影像

圖 3-12 Polycom PVX 8.0.2 視訊影像在 DDoS 攻擊時之差異

31

圖 3-13 為 Windows Live 2009 在受到 DDoS 攻擊時之影像差異。

其中 Windows Live 傳送端影像與實際場景左右相反，若將攝影鏡頭

朝向發話者拍攝，就會如同照境子般，也提供使用者視訊會議對談時

的方便性。

傳送端之影像 接收端之影像

圖 3-13 Windows Live 2009 視訊影像在 DDoS 攻擊時之差異

圖 3-14 為 Skype 4.2.0 在受到 DDoS 攻擊時之影像差異。

傳送端之影像 接收端之影像 圖 3-14 Skype 4.2.0 視訊影像在 DDoS 攻擊時之差異

32

圖 3-15 則為 Google video chat 在受到 DDoS 攻擊時之影像差異，且 Google video chat 傳送端之影像也與實際場景左右相反。

傳送端之影像 接收端之影像

圖 3-15 Google video chat 視訊影像在 DDoS 攻擊時之差異

五、計算 PSNR 及 MOS 指標

如第二章文獻探討之介紹，PSNR 指標是將來源始影像 S 和目的

影像 D 的亮度 Y 作為比較值，用以表示信號最大可能功率和影響它的

表示精度的破壞性雜訊功率之比值，其值越大表示目的影像與原始影

像的差距越小。

表 3-3 Mean Opinion Score (MOS) 指標 PSNR (dB) MOS

>37 5 (Excellent) 31～37 4 (Good) 25～31 3 (Fair) 20～25 2 (Poor)

33

好，最後再將其評分平均而產生之數值，故可以提供影像品質好壞之

客觀比較 (Ohm, 1999)。

表 3-4 視訊影像遭受 DDoS 攻擊時之 PSNR 值與 MOS 指標

Item PSNR (dB) MOS

1 Polycom PVX 8.0.2 without firewall 20.360679 2 (Poor)

2 Windows Live 2009 without firewall 20.796633 2 (Poor)

3 Skype 4.2.0 without firewall 25.458193 3 (Fair)

4 Google video chat without firewall 23.248287 2 (Poor)

實測結果視訊影像在無防火牆環境下遭受 DDoS 攻擊時，其 MOS

指標除 Skype 為等級 3 (Fair) 以外，其他視訊系統之影像都為等級 2

(Poor) ，詳見表 3-4。至於為何 Skype 影像受 DDoS 影響較小，本文

沒有針對這部份進行研究，可於未來再延伸探討。

表 3-5 以 ZoneAlerm 防火牆抵擋 DDoS 攻擊之 PSNR 值與 MOS 指標

Item PSNR (dB) MOS

1 Polycom PVX 8.0.2 with ZoneAlarm 9.2 38.188369 5 (Excellent)

2 Windows Live 2009 with ZoneAlarm 9.2 38.724710 5 (Excellent)

3 Skype 4.2.0 with ZoneAlarm 9.2 39.534975 5 (Excellent)

4 Google video chat with ZoneAlarm 9.2 38.834341 5 (Excellent)

在接收端開啟 ZoneAlern Free Firewall 9.2 防護之後，其 PSNR 皆

提升至 MOS 指標之等級 5 (Excellent)，詳見表 3-5。MOS 指標之等

級 5 (Excellent) 之圖像，已達人類視覺不易分辨之差異 (Ohm, 1999)。

34

第四章 結論

視訊會議通訊有機會成為下一代電信服務的標準，全球的電信業

者亦積極投入這個未來的通訊服務領域，視訊影像可以縮短兩的端點

通話者的距離感，讓天涯近在咫尺，在商務、醫療和軍事等用途的助

益更是不可限量。

資訊通訊便利的同時，通常安全議題也會隨之產生。本研究針對

DDoS 攻擊之資安情境，建置一套 VoIP 及視訊會議系統通訊品質量測

架構，除了測試 ITU-T 標準之 H.264 編解碼器之影像傳輸，並在相同

的環境中置換目前市面上幾種常見之視訊會議軟體，包括 Windows

Live 2009、Skype 4.2.0 及 Google video chat，再加入 DDoS 攻擊之資

安情境，以及軟體防火牆之安全防護進行實測，記錄及量測其影像尺

寸及影像品質，最後並以 PSNR 值提供攻擊與防護之差異的客觀比較。

本實驗之攻擊模型是以 TFN2K 建立之殭屍網路進行 DDoS 攻

擊，量測視訊圖像在受到 DDoS 攻擊時影像差異，再以 Check Point

ZoneAlarm free firewall 9.2 進行防護並量測其影像差異。最後將計算

之 PSNR 值轉換為客觀的 MOS 指標，以證實本研究所選用之 Stateful

類型防火牆對於 DDoS 攻擊之防護效果。在未來的研究中，可從本研

究之攻擊模型，探討不同數量之殭屍網路電腦攻擊所產生的損害程

度。

另外，ITU-T H.239 雙串流 (Video plus Data) 標準可同時進行視

訊及資料通訊，但在網路頻寬受限的情況下，該協定之資料封包將優

先傳送 (ITU-T Rec. H.239, 2005) ，對於影像品質的變化勢必加劇。

35

本研究架構的傳送端與接收端之通訊模型正可利用於未來延伸量測

各種影音串流系統的通訊品質。在未來的研究領域中，除了可以探討

不同類型防火牆的防護能力，及不同數量之殭屍網路電腦攻擊所產生

的損害程度，亦可針對視訊會議之雙串流標準 H.239 進行資安情境之

探究。

36

參考文獻

一、中文部份

王穎智 (2007)，H.264 之快速小數點移動估測法則之研究，國立中央

大學通訊工程研究所碩士論文。

台灣電腦網路危機處理曁協調中心 (2005)，DDoS 與 DoS 的發展與分

類，台灣電腦網路危機處理中心通訊 78 。

江博通、程啟正 (2008)，以視覺為基礎之海底管線辨認，第十屆水下

技術研討會暨國科會成果發表會。

李遠坤、陳玲慧 (1999)，數位影像資訊隱藏技術探討，資訊安全通訊，

第五卷第四期。

施銘原、陳尚逸、陳茂雄、連彥宗、常瑜傳、余聲旺 (2005)，VoIP

安全性機制─防火牆技術研究，電信研究雙月刊第 35 卷第 2

期。

柯志亨 (2005)，計算機網路實驗─以 NS2 模擬工具實作，學貫行銷。

陳建宏 (2008)，多媒體導論 (修訂三版)，全華圖書。

陳韋男 (2006)，整合 PSTN、VoIP、SIP 於嵌入式家用閘道器之 MSN

Agent，中正大學電機工程學系研究所碩士論文。

鳥哥 (2007)，鳥哥的 Linux 私房菜伺服器架設篇第二版，上奇資訊。

楊中皇 (2008)，網路安全：理論與實務 (第二版)，學貫出版社。

37

賈文康 (2005)，SIP 會談起始協議操典，松崗出版社。

駱俊霖 (2009)，VoIP 可用性之研究模擬，中國文化大學數位機電科技

研究所碩士論文。

二、英文部份

Computer Security Institute (2009), 14th Annual CSI Computer Crime and

Security Survey Executive Summary.

DarkLilac (2009), PSNR.java.

http://rastertovector.googlecode.com/svn-history/r11/trunk/src/com/sxz/math/PSNR.java (available in June 2010)

Harris, Shon (2007), CISSP Certification AIO Exam Guide 4th Edition.

McGraw Hill.

IETF RFC 1889 (1996), RTP: A Transport Protocol for Real-Time

Applications.

IETF RFC 2543 (1999), SIP: Session Initiation Protocol.

IETF RFC 3508 (2003), H.323 Uniform Resource Locator (URL) Scheme

Registration.

IETF RFC 3551 (2003), RTP Profile for Audio and Video Conferences

with Minimal Control.

38

IETF RFC 5589 (2009), Session Initiation Protocol (SIP) Call Control –

Transfer.

International Organization for Standardization (2008), ISO/IEC standard

on UPnP device architecture makes networking simple and easy.

ITU-R BT.709-3 (1998), Parameter values for the HDTV standards for

production and international programme exchange.

ITU-T Rec. H.239 (2005), Role management and additional media

channels for H.300-series terminals.

ITU-T Rec. H.263 (1998), Video coding for low bit rate communication.

ITU-T Rec. H.323(1998), Packet-based multimedia communications

systems.

Jackman, Elizabeth (2010), New Video Conferencing System Streamlines

Firefighter Training. Peoria Times.

Krutz, Ronald L.; Vines, Russell Dean (2007), The CEH Prep Guide: The

Comprehensive Guide to Certified Ethical Hacking. Wiley

Publishing Inc.

Kuttera, M and Petitcolasb, F. A. P. (1999), A fair benchmark for image

watermarking systems. The International Society for Optical

Engineering.

39

Lee, Yuan-Kun and Chen, Ling-hui (1999), The study of digital image

information hiding technique. Information Security Journal.

Ohm, Jens-Rainer. (1999), Bildsignalverarbeitung Fuer

Multimedia-systeme. Skript 1999.

Polycom Inc. (2006), Polycom PVX Software Guide.

Polycom Inc. (2009), Administrator’s Guide for the Polycom SoundPoint

IP/SoundStation IP/ VVX Family.

Scarfone, Karen and Hoffman, Paul (2009), Guidelines on Firewalls and

Firewall Policy. National Institute of Standards and Technology.

Skype Limited (2010), Skype for SIP product datasheet.

http://www.skype.com/intl/en-us/business/sip/overview/ (available in

June 2010)

Skype Support (2009), Skype-for-SIP.

https://support.skype.com/faq/FA10309/I-m-having-problems

-with-call-quality-when-using-Skype-for-SIP-What-should-I-do?frompage=category (available in June 2010).

Thomos, N.; Boulgouris, N. V.; Strintzis, M. G. (2006), Optimized

Transmission of JPEG2000 Streams Over Wireless Channels. IEEE

Transactions on Image Processing.

40

Uro, Tinic (2005), The quest for a new video codec in Flash 8.

Kaourantin.net.

http://www.kaourantin.net/2005/08/quest-for-new-video-codec-in-flash-8.html (available in June 2010).

Winkler, Stefan (2000), A Perceptual Distortion Metric for Digital Color

Video. Signal Processing Laboratory, Swiss Federal Institute of

Technology.

Wolf, Stephen and Pinson, Margaret H. (1999), Spatial-temporal

distortion metrics for in-service quality monitoring of any digital video system. Institute for Telecommunication Sciences, National

Telecommunications and Information Administration.

Zone Labs (2001), ZoneAlarm Manual. Zone Labs, Check Point Software

Technologies Ltd.

41

附錄

附錄A Check Point ZoneAlarm free firewall 9.2 安裝

1. 開始安裝 ZoneAlarm 之畫面

42

2. 輸入使用者自選之名稱及 email (email 可略)

3. 安裝正在進行中

4. 系統詢問是否要增加安全選項

43

5. 若選“Tell Me More“，則會在瀏覽器安裝 ZoneAlarm 工具列 (此工具列若不需使用可隨時移除)

6. ZoneAlarm 工具列安裝完成

其中的「Side Check」功能可以提供瀏覽網站的相關資訊

44

7. 若選擇「No, Thank You」則會跳過上述 5, 6 步驟

8. 進行 ZoneAlarm 的設定，初次安裝或對系統不熟悉的使用者可選擇

「Default quick installation」，由系統依照預設的規則快速進行設定

45

9. ZoneAlarm 開始進行自動設定

10. 安裝完成後需重新開機

46

11. 開機完成後檢視 Firewall 設定， 其預設之 Internet Zone Security 為 High， Trusted Zone Security 為 Med. (Medium)

12. 檢視 Program Control 設定，

預設之 SmartDefense Advisor 為 Auto (Automatic)

47

附錄B Polycom PVX 8.0.2 設定畫面

1. Polycom PVX 內建 AES 加密功能

48

2. Polycom PVX 支援 H.264 高階視訊 codec

49

3. Polycom PVX 支援 ITU-T H.323 及 IETF SIP 標準 ( H.323 控制埠為 TCP 1720，SIP 控制埠為 UDP 及 TCP 5060 )

50

4. Polycom PVX 8.0.2 之 H.323 設定畫面

51

5. Polycom PVX 8.0.2 之 SIP 設定畫面 (H.323 或 SIP 只能擇一進行通訊)