2019127 2019-2020-2《网络攻防实践》第一周作业
| 这个作业属于哪个课程 | 网络攻防实践 |
|---|---|
| 这个作业的要求在哪里 | 第1次作业-网络攻防概述 |
| 我在这个课程的目标是 | 1.学习总结;2.课后作业;3.学习中遇到的问题与解决;4.学习感想和体会 |
| 这个作业在哪个具体方面帮助我实现目标 | 学习和实践了社会工程学这一黑客手段,对网络攻防有了新的认识 |
| 参考文献 | 《网络攻防与实践》(诸葛建伟) |
1.知识点梳理与总结
1.1本周课程学习内容包括:
①信息安全五大目标的概念和内涵。②介绍了包括计算机病毒、蠕虫、系统后门、恶意代码、非法接入与访问等在内的诸多网络安全威胁手段,并对他们逐一进行区分和比较。③介绍网络安全研究内容的价架构,课程讲解了网络安全体系中,物理层安全。系统层安全、网络层安全、应用层安全方面的理论和应用。
1.2《网络攻防与实践》(诸葛建伟著)第一章阅读和概括。
第一章介绍网络攻防概述,以Dasher蠕虫事件的发生、取证追踪和重现为例引入对黑客和黑客文化以及网络攻防技术进行了简要介绍。梳理如下:
1.2.1Dasher蠕虫机理
①外部感染源首先通过TCP1025端口的MSDTC服务器漏洞MS05-051攻陷蜜罐主机;②诸如的Shellcode执行后将连接控制命令服务器,获取FTP服务器位置和下载指令;③从FTP服务器下载黛蛇蠕虫样本到蜜罐主机;④在蜜罐主机上激活黛蛇蠕虫;⑤在蜜罐主机上激活后的黛蛇蠕虫将进一步对外进行扫描和传播。
1.2.2黑客与黑客道
人们理解的黑客包含两类人:①真正的黑客(hacker):擅长于快速通过编程解决问题的狂热的编程爱好者,迷恋于探索可编程系统的细节及如何拓展其能力的方法,并且能够赏识黑客能力和价值的人。他们是网络攻防技术的创造者和掌握者。②骇客(cracker):利用其超强的编程能力强行闯入或以某种恶意目的干扰、侵入系统,破坏重要数据的真正罪犯。
黑客道,Hackerdom。更多是对精神层面的探究,无法用具体语言来描述,需要在直面挑战追逐技术的路径上慢慢琢磨和寻味。
1.2.3网络攻防技术介绍
基本框架如上
①系统安全攻防是网络攻防技术的核心组成部分,它的底层基础是软件程序中存在的安全漏洞(Software Vulnerability),软件安全漏洞是指信息系统的软件程序中存在的缺陷或不适当的配置,它们可使攻击者在未授权的情况下访问或破坏系统,导致信息系统面临安全风险。
②网络协议攻击是利用网络协议在设计时存在的安全缺陷或不安全因素。
③物理攻击与社会工程学主要利用信息系统所处物理环境、使用的硬件以及所涉及的人存在的安全弱点,通过物理入侵或人际交流,达到攻击信息系统目标的攻击方法。
1.2.4物理攻击与社会工程学
- 物理攻击是指攻击者通过各种技术手段绕开物理安全防护体系,从而进入受保护的设施场所或设备资源内,获取或破坏信息系统物理媒体中受保护信息的攻击方式。物理攻击与社会工程学的存在基础是物理环境与硬件的设计缺陷、以及人性与生俱来的心理弱点。
- 物理攻击分为暴力型和技术型两种方式,暴力型主要依靠装备武器的武装人员,通过破坏性手段对物理安全防护体系进行摧毁,然后进入受保护区域接触目标,达到获取或破坏的目的。技术型物理攻击是人类智慧与行动力的结合,期望的目标是在神不知鬼不觉中攻破包括人类守卫在内的物理安全防护体系,在不触动安全警报的情况下,获取或破坏秘密信息。
- 社会工程学是利用人类的愚蠢,使人们顺从你的意愿、满足你的欲望,操纵他人执行预期的动作或泄露机密信息的一门艺术与学问。
- 常见的社会工程学攻击方式:
- 1.冒充不引人注目的职业,潜入攻击目标所处的工作区;
- 2.攻击新员工,通过假冒权威、寻求帮助、建立认同感等各种策略套取无害信息。
- 3.伪装身份,获取目标部分信息后,通过伪装建立起信任,通过对话获取更敏感的信息。
- 4.十度隔离法,利用关联层层渗透,对攻击目标逐步接近。
- 5.正面攻击,直接了当地开口要求所需信息。
- 6.构造陷阱,导致攻击目标面对棘手的问题,然后施以援手,在此过程中窃取信息,针对人们的感激之情进行攻击。
- 7.使对方感觉良好能使他们更易于欺骗。当人们被奉承时,总是倾向于继续被奉承,而放松先前所有的警惕。
- 8.施以小恩小惠,利用人性贪婪,获取更大的敏感信息。
- 9.垃圾搜寻,企业的垃圾中往往包含有用信息。
- 10.结合钓鱼网站、木马程序等等。
1.2.5 黑客道德与法律法规
- 黑客道德
- 包括六条基本准则
(1)首要诚令:对计算机和硬件的访问应是彻底和完全的;
(2)自由、没有产权、免费;
(3)不信任权威、促进分权;
(4)黑客只以技术能力和成就进行评价,没有其他“伪造的标准”;
(5)Hacking=艺术和创新;
(6)计算机能改善生活,黑客应为之奋斗。 - 法律法规
- 美国是目前相关法律最健全的国家之一,我国的相关立法情况并不令人满意。但作为社会群体的组成部分,黑客道中的成员,无论黑帽白帽,都需要遵守法律法规。
2.课后作业
①黑客电影赏析《Who Am I - Kein System ist sicher》(我是谁:没有绝对安全的系统)。
如下截图是影片中有关社会工程学的剧情截图。麦克斯教本杰明使用社会工程学获取密码、参数等信息,而本杰明最终利用了女调查员的性格弱点最终使自己和同伴逃脱。电影中将人类的各种性格弱点也作为安全系统中的一种漏洞,事实证明系统的物理安全包括甚至非常依赖于人,而社会工程学正是攻击这一弱点的手段。
②社会工程学实践
通过“钉钉‘可以得到其他老师同学的手机号码,通过“每天打卡”可以知道现在其他老师同学的家庭住址详细位置。通过手机号搜索QQ账号,可以发现部分绑定手机号的老师同学的QQ账号;QQ上有更多生日、邮箱、个人爱好等信息,更可以进入某些同学未设权限的QQ空间,QQ空间中有他们过去留下的说说照片,可以收集到很多信息,比如某某同学是某球星的球迷,某某老师喜欢养花之类(利用这些信息我已经可以投其所好暗中获取更多想要的信息或者使用钓鱼网站链接尝试骗取密码了),利用相同用户名搜索微博及其他网络app还能得到更多信息。
3.学习感悟、思考等
如电影中所言,最大的安全漏洞就是人类自身。通过对社会工程学的学习和了解,对于这一点有了比较清晰的认识,日后会在这些方面提高意识多加防范。世上的人未必都是“性本善”的,每一次对人性的探究都是对人性的披露,人性禁不起考验,对于有些人能够克己守礼用道德约束自己已经是一件不容易的事了,希望每个人都不要轻易地被人性支配。
手机电脑上的各种使用网络的程序网站,会留下一个人的各种痕迹,这些痕迹拼凑起来,信息量仍然不可想象,即使我们时刻警惕也未必百无一漏。唯一能做的就是提高意识,时常删除一些时间久远不宜存留的网络个人信息,保护好自己。