网络攻防备课笔记

从“踩点”到“创建后门”的攻击流程

1. 踩点：攻击者在实施攻击前对目标进行初步的探索和调查的过程，包括收集目标的IP地址、开放的端口、服务版本、可能的漏洞等信息。

2. 扫描：使用工具如Nmap、Masscan等对目标进行端口扫描，找出开放的端口和对应的服务。

3. 漏洞探测：在知道目标系统的服务和版本后，攻击者会查找可能存在的漏洞，使用如Nessus、OpenVAS等工具进行自动化的漏洞扫描。

4. 利用漏洞：发现漏洞后，攻击者会尝试利用这些漏洞进入系统，例如使用Metasploit工具。

5. 提权：攻击者在进入系统后，可能首先获得的是低权限账号，他们会尝试使用各种方法提高权限，直到获得root或administrator权限。

6. 横向移动：在一个组织内部，攻击者会尝试从一个系统移动到另一个系统，利用内网的开放服务和配置错误。

7. 创建后门：为了确保自己可以随时访问被攻击的系统，攻击者会在系统中创建后门。这可以是一个隐藏的账户、一个启动项，或者是一个特殊的网络服务。

8. 数据窃取：攻击者可能会寻找并窃取有价值的信息，如用户数据、商业秘密等。

9. 清除痕迹：为了不被发现，攻击者会清除日志和其他可能暴露其行为的痕迹。

后门

后门（Backdoor）在计算机安全领域通常指可以绕过正常认证过程的一种秘密访问方法。

后门可以被用于多种目的，包括但不限于：

1. 恶意用途：如上述攻击手段，攻击者利用后门重新进入被攻击的系统，窃取数据或进行其他恶意操作。

2. 维护和管理：一些软件开发者在软件中为了方便维护或管理而留下的后门。这种情况下，后门可能是有意设计的功能。

3. 国家或政府用途：有报道称某些国家要求企业在其产品中安装后门以供政府机构使用。这种后门可能是为了情报收集或其他目的。

不论是出于哪种原因，后门都存在安全风险。一旦被恶意使用或被第三方发现，都可能导致系统被非法访问或数据被窃取。因此，许多安全专家和隐私倡导者都反对任何形式的后门，认为这是一个不可接受的安全风险。

---

黑客 Hacker/骇客 Cracker/红客

这三个术语“黑客”、“骇客”和“红客”在计算机和网络安全领域中有特定的含义。让我为您解释一下它们的区别：

1. 黑客 (Hacker)：原始的定义是指那些热衷于计算机技术的人，他们喜欢探索、破解和创新。但在大众文化中，这个词逐渐与非法侵入计算机系统和网络的行为相关联。现在，“黑客”通常被用来描述那些寻找并利用计算机系统漏洞的人，但他们的目的可以是好的、坏的，也可以是中立的。

2. 骇客 (Cracker)：这个词是为了区分原始的“黑客”定义与非法行为而创造的。骇客专指那些出于恶意目的攻击计算机系统的人。他们的目标可能是窃取数据、破坏系统或其他恶意行为。

3. 如果黑客是炸弹制造专家，那么骇客就是恐怖分子。

4. 红客：红客是中国特有的一个术语，通常用来描述那些声称自己是为了“爱国”目的而攻击其他国家的网络或网站的人。这种行为可能涉及到破坏网站、窃取数据或其他形式的网络攻击。红客与“蓝军”相对，后者通常指的是防御方或者负责维护网络安全的团队。

值得注意的是，网络安全领域中还有很多其他相关术语，例如“白帽”（白帽黑客，出于正当目的进行安全研究的人）和“黑帽”（出于恶意目的攻击系统的人）。

骇客未必有很高的技术？黑客呢？

1. 骇客与技术能力："骇客"一词通常用来描述那些有恶意的黑客，他们的技术能力可能各不相同。就像所有的黑客一样，他们中的一些人可能具有高度的专业技术，而另一些人可能只是脚本小子，依赖他人开发的工具。

2. 黑客与技术能力："黑客"一词原本的含义更偏向于对技术的热情和好奇心，而不一定意味着高技能。但是，随着时间的推移，这个词在大众文化中的含义发生了变化，经常被用来描述具有高技术能力的个体，无论他们的意图是好是坏。

黑客在IT圈带有正面意义？

在IT和编程社区中，"黑客"通常是一个褒义词，描述的是那些富有创意、技巧和对技术充满热情的人。他们可能是编程高手，喜欢“玩”技术，并且经常能够找到解决问题的独特方法。这与大众文化中经常提到的、与犯罪活动相关的“黑客”形象是不同的。

不是所有的黑客都是恶意破坏者，但也确实有一部分黑客从事非法或恶意的活动。因此，更为准确的说法应该是：“并非所有黑客都是恶意破坏者”。

---

常见角色术语

1. 白帽黑客 (White Hat Hacker)：这些是合法、道德上正当的黑客，他们通常在拥有明确许可的情况下进行渗透测试或漏洞评估，目的是找出安全漏洞并帮助修复，而不是利用它们。

2. 黑帽黑客 (Black Hat Hacker)：这些黑客从事非法活动，他们寻找系统的漏洞，但与白帽黑客不同，他们的目的是为了个人利益，可能是金钱、信息窃取或纯粹的破坏。

3. 灰帽黑客 (Grey Hat Hacker)：介于白帽和黑帽之间。他们可能会在没有明确许可的情况下探测和利用漏洞，但他们的意图通常不是为了恶意目的。他们可能会发现一个漏洞并通知相关公司，有时甚至会提供解决方案。

4. 红队 (Red Team)：专业的渗透测试团队，他们模拟真实的攻击者来评估一个组织的安全防御能力。

5. 蓝队 (Blue Team)：专门负责防御的团队，他们的任务是应对红队或真实攻击者的攻击，并加强系统的防御。

6. 紫队 (Purple Team)：是红队和蓝队的结合。他们的目的是确保红队和蓝队之间有有效的沟通和协作。

7. 绿帽 (Green Hat)：这是一个不太常用的术语，通常指的是黑客新手。

8. 脚本小子 (Script Kiddie)：这是一个略带贬义的术语，用来描述那些使用他人开发的工具进行攻击，但自己没有深入的技术知识的人。

9. Hacktivist：这是“黑客”和“活动家”两个词的结合。这些黑客出于政治或社会目的进行攻击，如为了表达对某种政策或事件的不满。

10. 国家支持的黑客 (State-sponsored Hackers)：这些黑客在某个国家的支持或指导下进行网络攻击，目的可能是为了窃取情报、进行网络间谍或其他国家利益相关的目的。

---

蜜罐技术

蜜罐技术是一种非常独特的网络安全防御策略，其核心思想是通过模拟伪造的目标来吸引并诱导攻击者，从而达到检测、研究和预防真实攻击的目的。

1. 蜜罐（Honeypot）的定义: 蜜罐是一个故意设置的、看似容易被攻击的目标（如一个伪装的系统或服务），用来引诱潜在的攻击者。其主要目的是监控、记录攻击者的行为，从而更好地理解攻击策略和技术。

2. 主要类别:

• 低交互蜜罐：这种蜜罐只模拟了一些服务的外部行为，如SSH、Telnet或HTTP。攻击者与这种蜜罐的交互是有限的。
• 高交互蜜罐：这种蜜罐是一个完全功能的系统，它提供了真实的应用程序和服务供攻击者互动。这可以为安全研究者提供关于攻击者策略和行为的详细信息。

3. 用途:

• 威胁检测：蜜罐可以用作网络中的一个哨兵，监控潜在的恶意行为和未知威胁。
• 研究：研究人员使用蜜罐来收集关于新型恶意软件、攻击技术和攻击者策略的信息。
• 干扰攻击者：通过使攻击者浪费时间和资源在蜜罐上，可以减缓或转移对真实目标的攻击。

4. 风险与考虑:

• 遭遇智能攻击：有经验的攻击者可能识别并绕过蜜罐。
• 误报率：蜜罐可能会吸引大量无害的流量，这可能导致大量的误报。
• 被利用的风险：如果不正确地配置，蜜罐可能被攻击者利用作为攻击其他系统的跳板。

5. 蜜网（Honeynet）: 蜜网是由多个蜜罐组成的网络，通常模拟一个真实的网络环境，提供更复杂的互动和数据收集能力。

---

数据库蜜罐

 在数据库安全领域，蜜罐技术同样可以得到应用。

数据库蜜罐（Database Honeypot）被设计为诱饵，吸引并记录对其的非法访问或攻击尝试，从而为安全研究者或管理员提供早期的警告或威胁情报。

以下是数据库蜜罐在实际应用中的一些特点：

1. 模拟真实数据库：数据库蜜罐经常模拟流行的数据库系统，如MySQL、Oracle、SQL Server等，使其看起来尽可能地像一个真实的、有价值的目标。

2. 记录访问和查询：数据库蜜罐会记录所有尝试连接和查询的详细信息，包括来源IP、使用的凭据、执行的SQL命令等。

3. 设置诱饵数据：为了进一步吸引并误导攻击者，蜜罐可能包含一些诱饵数据，这些数据看起来很有价值（例如伪造的客户信息或内部文档），但实际上是虚假的。

4. 限制实际功能：尽管模拟真实数据库，但数据库蜜罐的实际功能通常受到限制，以防止被攻击者用作其他恶意目的。例如，它可能不允许数据的实际写入或更改。

5. 警告和响应：当检测到潜在的攻击行为时，数据库蜜罐可以配置为自动发送警告或执行其他响应动作。

6. 研究新攻击手法：通过分析攻击者对蜜罐的行为，安全研究者可以了解新的攻击技巧、工具和模式。

虽然数据库蜜罐为组织提供了一个额外的防御层，但它们不能替代其他的数据库安全措施。使用蜜罐时，仍然需要确保所有真实的数据库都经过了适当的加固、更新和监控，以最大限度地减少风险。

---

CTF

“夺旗赛”（Capture The Flag，简称CTF）这个名称起源于传统的户外团队竞技游戏。在传统的夺旗游戏中，两个团队各自设有一个旗帜，目标是进入对方的领地、捕获对方的旗帜并带回自己的基地，同时也要防止自己的旗帜被对方捕获。

在网络安全的CTF竞赛中，这个概念被借鉴和转化。比赛中的“旗帜”通常是一个特定的字符串或文件，它位于受保护的服务器、应用程序或其他类型的计算机系统中。参赛者的目标是通过解决各种安全问题和挑战来“夺取”这个旗帜。同样地，某些CTF赛事模式（如“防守/攻击”模式）还要求团队防守自己的系统，阻止其他团队获取旗帜。

因此，尽管这是一个计算机和网络安全比赛，但它的名称和基本概念与传统的夺旗游戏有很强的相似性，所以称之为“夺旗赛”。