一 黑客信息
国内著名黑客
黄鑫
“绿色兵团”是中国大陆最大最早的民间黑客组织之一。创始人goodwell1997年在外网站申请一免费空间并在国内多处做了镜像站点,当初起名为绿色兵团,原地址”i.am/hack1“。作为最早的中国黑客组织,绿色兵团成员在短期里成员迅速状大!上海、北京、石家庄等地均由其主要成员分布。同时,其影响力也在网民之中大增,特别是与与网易的几次冲突,使绿色兵团名声大振。
黄鑫还是西安电子科技大学的学生时,为了给自己的电脑杀毒,黄鑫一头栽进网络安全的世界里再也没有出来。1999年上半年,黄鑫写出了冰河木马软件。木马冰河是中国黑客史中必须提到的一个软件,黄鑫在最初开发这个软件最初版本的时候并没有考虑到它能够作为一个特洛伊木马来使用,但随后冰河疯狂流行于黑客手中,很多用户在不知不觉中被冰河控制。早期的冰河还不能算是一个好的木马软件,随后黄鑫用了大量的时间对冰河进行代码重构,冰河2.2版本诞生了。新版本的冰河迅速被流传出去,并让大批初级黑客快速的步入了黑客这扇大门。中国黑客软件的开发从此走向了新的纪元,再次之后,黑洞、网络神偷、灰鸽子、XSan、YAI等众多优秀的国产黑客软件纷纷涌现,黑客也开始出现商业化迹象,由前“绿色兵团”成员组建的“中联绿盟”网络安全公司成立,正式开始了黑客向商业化迈进的脚步,中国黑客逐渐成长了起来。随着冰河木马在网上的迅速传播,黄鑫的名字被越来越多的人熟悉。
国外黑客信息
凯文·米特尼克
20世纪70年代末,13岁的米特尼克(当时他还在上小学)喜欢上了业余无线电活动,在与世界各地无线电爱好者联络时,他领略到了跨越空间的乐趣。他很快对社区”小学生俱乐部“里唯一的一台电脑着了迷,并因此掌握了丰富的计算机知识和高超的操作技能。这个被老师们一致认为聪明,有培养前途的孩子,却干了一件令大人们震惊的事:他用学校的计算机闯入了其他学校的网络。入侵的成功,令米特尼克兴奋不已。他用打工赚的钱购买了一台当时性能不错的计算机,并以远远超出其年龄的耐心和毅力,闯入了神秘的黑客世界。15岁时,米特尼克成功入侵了“北美空中防务指挥系统”的主机。这次入侵,成为黑客历史上的一次经典之作。
然后继续入侵“北美空中防务指挥系统”,不久,米特尼克又成功破译美国“太平洋电话公司“在南加利福尼亚洲通讯网络的“改户密码”。米特尼克立即施展浑身解数,破译了联邦调查局的“中央电脑系统”密码,每天认真查阅“案情进展情况的报告”。由于当时网络犯罪还是很新鲜的事,法律上鲜有先例,法院只将米特尼克送进了少年犯管教所。他成了世界上第一个“电脑网络少年犯”。
他是第一个在美国联邦调查局“悬赏捉拿”海报上露面的黑客。他由于只有十几岁,但却网络犯罪行为不断,所以他被人称为是“迷失在网络世界的小男孩”。
2002年,对于曾经臭名昭著的计算机黑客凯文·米特尼克来说,圣诞节提前来到了。这一年,的确是Kevin Mitnick快乐的一年。不但是获得了彻底的自由(从此可以自由上网,不能上网对于黑客来说,就是另一种监狱生活)。而且,他还推出了一本刚刚完成的畅销书《欺骗的艺术》(The Art of Deception: Controlling the Human Element of Security)。此书大获成功,成为Kevin Mitnick重新引起人们关注的第一炮。
他被称为是世界上“头号电脑黑客”。有评论称他为“世界头号黑客”。
二 安全工具信息及使用教程
安全工具信息
Wireshark
Wireshark 在2006年夏天的商标纠纷中以“空灵”而闻名,wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。wireshark是开源软件。 可以运行在Windows和Mac OS以及Linux上。Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码。
网络封包的使用者
网络管理员会使用wireshark来检查网络问题
软件测试工程师使用wireshark抓包,来分析自己测试的软件
从事socket编程的工程师会用wireshark来调试
听说,华为,中兴的大部分工程师都会用到wireshark。
抓包就是将网络传输、发送与接受的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常用来数据截取等。
Metasploit
Metasploit是一款开源的安全漏洞检测工具,同时Metasploit是免费的工具,因此安全工作人员常用Metasploit工具来检测系统的安全性。Metasploit Framework (MSF) 在2003年以开放源码方式发布,是可以自由获取的开发框架。它是一个强大的开源平台,供开发,测试和使用恶意代码,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠平台。
这种可以扩展的模型将负载控制(payload)、编码器(encode)、无操作生成器(nops)和漏洞整合在一起,使 Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。
Nessus
1998年, Nessus 的创办人 Renaud Deraison 展开了一项名为 "Nessus"的计划,其计划目的是希望能为因特网社群提供一个免费、威力强大、更新频繁并简易使用的远端系统安全扫描程序。经过了数年的发展, 包括 CERT 与 SANS 等著名的网络安全相关机构皆认同此工具软件的功能与可用性。2002年时, Renaud 与 Ron Gula, Jack Huffard 创办了一个名为 Tenable Network Security 的机构。在第三版的Nessus 发布之时, 该机构收回了 Nessus 的版权与程序源代码 (原本为开放源代码), 并注册成为该机构的网站。 目前此机构位于美国马里兰州的哥伦比亚。
Nessus的优点
- 提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库。
- 不同于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。
- 其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高。
- 可自行定义插件(Plug-in)
完整支持SSL (Secure Socket Layer)。
自从1998年开发至今已谕十年, 故为一架构成熟的软件。
采用客户/服务器体系结构,客户端提供了运行在X window 下的图形界面,接受用户的命令与服务器通信,传送用户的扫描请求给服务器端,由服务器启动扫描并将扫描结果呈现给用户;扫描代码与漏洞数据相互独立,Nessus 针对每一个漏洞有一个对应的插件,漏洞插件是用NASL(NESSUS Attack Scripting Language)编写的一小段模拟攻击漏洞的代码,这种利用漏洞插件的扫描技术极大的方便了漏洞数据的维护、更新;Nessus 具有扫描任意端口任意服务的能力;以用户指定的格式(ASCII 文本、html 等)产生详细的输出报告,包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。Snort
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GNU General Pubic License),
Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
Snort的不足
Snort入侵检测系统适应多种平台,源代码开放,使用免费,受众多用户喜爱,但也有不少缺点。Snort之所以说他是轻量型就是说他的功能还不够完善,比如与其它产品产生联动等方面还有待改进;Snort由各功能插件协同工作,安装复杂,各软件插件有时会因版本等问题影响程序运行;Snort对所有流量的数据根据规则进行匹配,有时会产生很多合法程序的误报。安全工具的使用
Wireshark
安装老师给的SEED,里面有安装好的 Wireshark,下面介绍Linux Wireshark 的使用,打开 Wireshark看到如下界面
过滤器有两种:
一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录
一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上,填好Filter的表达式后,点击Save按钮,例如填http
表达式规则
1. 协议过滤
比如TCP,只显示TCP协议。
- IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,
ip.dst==192.168.1.102, 目标地址为192.168.1.102 - 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的原端口为80的。 - Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。 - 逻辑运算符为 AND/ OR
作业
1. 通过社会工程学手段获取异性同学的信息
选取一个异性同学,根据其QQ号,可以大致了解其信息,可以根据其空间状态看出其是否工作从而可以核实他的年龄是否真实,以及其性格情况,根据他的性格选择合适的方法与其聊天,获得其信任,从而得到他的各项信息.