一個「被設計來挨打」的網路
在幾乎所有活動裡,網路只有一個任務:別礙事。大家想上網、直播、投票、展示;而一個好的網路,是沒有人會去想到它的網路。
資安攻防競賽把這件事整個顛倒過來。在這裡,參賽者不是在「使用」網路,而是在網路裡進行攻防。他們要在很短的時間內完成偵查,於是用程式發動大量掃描,再用各種手法嘗試突破防護。對網路來說,這代表現場會在短時間內湧出又多又猛的異常流量。網路不再是默默支撐活動的基礎設施,網路就是賽場本身。
光是這一個事實,就改變了它該怎麼被設計的一切。你要建的,不是一個「需要撐過大家使用」的網路,而是一個「需要撐過大家故意把它弄垮」的網路。
為什麼 CTF 與資安演練的網路自成一類
在 CTF 奪旗賽或紅藍隊演練裡,網路同時是賽場、是規則、也是裁判。隊伍在它裡面行動、攻擊裡面的目標、防守屬於自己的網段。要讓這件事公平又安全,網路必須做到一般活動網路從來不需要做的事:
- 讓隊伍徹底分開:除了賽制明確允許的範圍,一支隊伍絕不能看到、碰到或干擾另一支。
- 在混亂中仍可控:當現場湧出大量掃描與高強度的攻防流量,網路必須維持住自己的形狀。
- 可稽核:主辦需要知道每一隊、每一筆流量發生了什麼,才能評分與處理爭議。
- 無論如何都要在線:網路一倒,比賽就停。這裡沒有「重整一下再試」這種事。
撐住它的四根支柱
嚴格隔離
這是地基。每支隊伍、每個競賽系統、每一類流量都被切開,沒有非預期的可見性,也沒有橫向移動的路徑。隔離不是單一設定,而是層層疊出來的:網段切割、防火牆策略、流量管控彼此互相補強。做得好,參賽者只能在被指定的範圍內行動,而那些必須被擋在外面的(其他隊伍、計分系統、主辦自己的基礎設施),就確實被擋在外面。
精細的流量控管
參賽者會用程式發動大量掃描、產生遠超平常的流量,網路就必須具備「塑形」與「管控」它的能力。速率限制、流量塑形與 per-team 控管,意味著當某一隊產生異常流量時,影響被框在他自己的邊界內,而不會擴散到整場活動。
控管的另一個重點,是落實賽制規則。舉例來說,有些賽制明文禁止使用 AI Agent 或特定外部服務,這時就得靠網路層直接辨識並阻擋相關流量,確保所有隊伍在同一套規則下競爭。
企業級資安架構
這不是消費級設備能勝任的工作。競賽等級的防火牆、網段切割與監控(與用來保護企業及園區網路同等級的架構)會被直接部署到賽事現場。
而且防火牆不是裝上去就好,現場必須全程盯著它,確認賽事裡的攻擊流量乖乖待在競賽環境內,沒有任何一筆外洩到真實世界。一旦攻擊流量跑到對外的網際網路,就可能波及賽場之外、毫不相干的系統,這是絕對不允許發生的。競賽網路的資安強度,至少要跟它要承受的攻擊一樣認真。
對抗環境下的穩定
一般網路用「負載」來檢驗,競賽網路要面對的,則是一群正在全力攻防的人。整套架構都建立在一個前提上:現場一定會出現高強度、來勢洶洶的流量,而網路無論如何都得繼續乾淨、公平地運作。工程師全程監控環境,一旦有東西開始走樣,隨時介入。
在任何人連上線之前就完成的工作
跟所有關鍵任務型活動網路一樣,決定成敗的工作,發生在比賽開始之前。
它從理解賽制開始:這是攻防賽、解題賽(jeopardy),還是完整的紅藍隊演練?有幾支隊伍?每一隊需要什麼樣的環境與隔離程度?這些答案決定了網段設計與控管策略。
接著是對著真實情況做測試:模擬活動實際會產生的流量與攻擊情境,把隔離與控管壓力測試到弱點現形為止。在資安競賽裡,這比平常更重要,因為臨場才發現的隔離漏洞不只是技術小毛病,而是整場賽事公平性與完整性的破口。該抓出它的時機,是在第一面旗被奪下之前,而不是過程中。
一個資安競賽網路,必須可信賴到讓人只在乎一件事:被檢驗的是參賽者的實力,而永遠不會是網路本身的完整性。
為什麼主辦會把可立可請進現場
可立可支援過網路本身就是挑戰一部分的資安競賽與演練。我們將企業級與園區級的網路及資安架構直接部署到現場,並全程派工程師駐點,因為在這類活動裡,「網路大致撐住了」並不算及格。
- 隊伍、系統、流量之間層層疊起的嚴格隔離
- 精細的流量塑形、速率限制與 per-team 監控
- 依賽制落實規則,例如在網路層阻擋禁用的 AI Agent 或外部服務
- 現場部署並全程監控企業級防火牆,確保攻擊流量不外洩到真實世界
- 為「有人正在全力攻防」的環境所設計的穩定性
- 賽前場勘,以及針對賽制、針對隔離與控管的壓力測試
當網路就是賽場,它就必須毫無疑慮。我們的工作,是確保這個房間裡唯一的那場較量,是參賽者真正為它而來的那一場。