20199101 2019-2020-2 《网络攻防实践》第一周作业
1.知识点梳理与总结
通过对第一章的内容的学习,我大概将内容分为四个部分进行梳理与总结。
- 网络攻击实际案例(以黛蛇蠕虫为例)
- 黑客、黑客道及坚守的本义
- 网络攻防技术的基本介绍
- 物理攻击与社会工程学
网络攻击实际案例(以黛蛇蠕虫为例)
黛蛇蠕虫是在2005年12月15日开始在互联网上爆发的著名蠕虫案例。其感染机制主要为
- 外部感染源首先通过TCP端口的MSDTC服务漏洞攻陷主机
- 然后注入shellcode,获取FTP服务器位置和下载指令
- 从FTP服务器下载黛蛇蠕虫样本到主机并激活该病毒
- 进一步对外扫描传播
黑客、黑客道及坚守的本义
黑客(hacker)本是指一群热爱计算机(后面也衍生为其他行业),为解决计算机问题及其发展作出贡献的人,意为面对挑战、创造技术、解决问题的人。骇客(cracker)是为了非法的利益破解正常系统安全运作的人。我想在这里解释一下,以便大多数人能够分别。区分黑客或者骇客不是依据给自己的名字,或者说成为一名黑客你至少应该具备什么?我不想用太多的道德来约束一个人,但是附上一首禅诗,也是我个人比较喜欢的。
To follow the path
Look to the master
Follow the master
walk with the master
see through the master
become the master
希望我们每个人都能成为一名优秀的Hacker!!!
希望我们每个人都能成为一名优秀的Hacker!!!
希望我们每个人都能成为一名优秀的Hacker!!!
黑客道(Hackerdom)是指对黑客的精神层面的探究。主要分为一下几个时代
- 史前时代,主要依靠机器语言、汇编语言变成的人
- 远古时代,ITS操作系统的广泛使用
- 近古时代,UNIX和C语言的忠实粉丝
- 近代史,以Linux为主的开源的流行,同时这个时期是计算机的蓬勃发展时代,建立了许多为之一振的超级互联网商业公司
- 现代史,以Morris蠕虫的出现为标志,标志着计算机的发展是技术与安全并重的时代
网络攻防技术的基本介绍
网络攻防主要分为系统安全攻防、网络安全攻防、物理攻击和社会工程学三个部分。
- 系统安全攻防是网络安全攻防的核心组成部分。主要是使用源代码审核、逆向工程、Fuzz测试等方法,挖掘系统漏洞。
- 网络安全攻防是利用网络协议在设计时的一些漏洞。典型的如应用层的HTTP明文传输,Padding-Oracle攻击,IP源地址欺骗,TCP会话劫持等。
- 物理攻击和社会工程学主要是利用人性的弱点和硬件的无力攻击等方式,不包含太多的技术。将在下一节具体介绍社会工程学,以及课后作业中利用社会工程学完成的例子。
物理攻击与社会工程学
物理攻击和社会工程学有时候在网络攻防中是不可或缺的。物理攻击指攻击者绕开物理安全防护体系,从而进入受保护的设备场所或资源内。当我们需要进入一个公司的内部网络时,很多时候我们不得不采取技巧性物理攻击和社会工程学结合的方式。社会工程学的攻击定位非常明确---人。人也是整个系统中最不可靠的地方,社会工程学就是利用人性的弱点而达到预期的行为的一门艺术或科学。我们更应当掌握的是如何防范社会工程学攻击。
2.学习中遇到的问题及解决
对于第一章的知识,目前并没有什么大的问题。通识的了解了网络攻防这门课。
3.学习感悟、思考
- 没有任何一个系统是安全的。相反这也是告诉那些骇客们,你们的攻击也不一定是天衣无缝的。是的,这个世界有许多人为了利益去做一些见不得光的事情。但是我相信,更多的人应当秉承一个真正黑客的理念--只为热爱,不为利益。
- 社会工程学不仅仅在网络攻防上很重要,他本身就是一门真正的艺术。
4.课后作业
4.1 电影《我是谁,没有绝对安全的系统》观后感
- 这部电影主要采用倒叙的模式,以本杰明像情报局自首开始,叙述了黑客组织CLAY的一系列行动,包括从一开始的为了乐趣故意放恶意视频,为了公益攻击不良药店等,从不谋私利,以及为了向MRX证明自己攻击情报局和刑侦的故事。然而,结局反转,本杰明利用社会工程学使得整个CLAY组织都获得了证人保护的资格。
- 首先这部电影令我十分感兴趣的地方在于对社会工程学的灵活应用。如本杰明为了混入系统内部,以丢皮夹子为由,在食堂内部部署了一个公共网络。这是他利用社会工程学,以害怕家庭暴力,博得保安的同情,从而顺利进入。
- 当然对于社会工程学运用最好的就是本片的主体就是一部社会工程学,从本剧的开始本杰明进入情报局就是一个骗局开始。他灵活的让女调查员自己发现自己具有多重性格,事实上并没有,来博取女调查员的同情。最终如图所示,自己取得了女调查员的信任,成功将自己的团队和自己都纳入了证人保护计划。
- 作为一部黑客电影,本片自然不乏技术手段,如找到情报局内部人员的邮箱,从而给他们感兴趣的内容发钓鱼链接,引起他们的信息泄漏。
在获得了这些信息后,他们主动出击,进入情报局大楼,攻破其系统。
其实黑客,无非就是网络科技的魔术师,魔术师的工具是那些魔术道具,而黑客的工具是那些繁复又简单的代码!电影的结局是本杰明在车里和汉娜玩的那个魔术,原本是四颗方糖,结果变成了一颗,看似是变成了一颗,其实一直都是四颗,只不过另外三颗在她看不到的地方而已。可能着就是这个世界的复杂之处,好像我们每个人都是魔术师。小说家是文字的魔术师,摄影师是画面的魔术师,后期制作是影像的魔术师。其实就像没有绝对安全的系统一样,也没有绝对骗不到的人。每个系统都有漏洞,每个人都有弱点。
愿每一位且行且珍惜!
###社会工程学实践
注:由于涉及到同学的隐私,这里不便截图,仅说明一些过程
- 首先我偶然逛空间发现了初中同学的这么一条说说
这个疫情什么时候结束啊,好像出去找工作啊~
- 然后以找工作为契机,我开始了和同学的攀谈
- 了解到同学年前辞职,目前待工在家
- 同学高中学历,目前对我也不是很了解,所以我说我在保险行业工作,推荐他去做销售
- 给他发了几个太平洋保险公司的保单介绍
- 然后提出,我帮他介绍入职,两个人都有奖金500块拿
- 然后我就在网上找了一个个人信息表,并添加上和太平洋保险公司有关的信息
- 至此,我成功的拿到了同学的所有个人信息。
强调:拿到之后我并没有仔细看,便删除了。而且告诉同学事情的原委,为了补偿他,还欠了一顿饭。你们看着办吧!!!