20199317 2019-2020-2 《网络攻防实践》第1周作业

20199317 2019-2020-2 《网络攻防实践》第1周作业

1.知识点梳理与总结

1.1 黛蛇蠕虫病毒

• 黛蛇蠕虫的获取与激活：

（1）外部感染源首先通过TCP1025端口的MSDTC服务漏洞MS05-051攻陷蜜罐主机；

（2）注入shellcode，并执行后将连接控制命令服务器，获取FTP服务器位置和下载指令；

（3）从FTP服务器下载黛蛇蠕虫样本到蜜罐主机；

（4）在蜜罐主机上激活黛蛇蠕虫病毒；

（5）在蜜罐主机激活之后再进一步对外扫描进行传播。

• 黛蛇蠕虫的传播过程：
  

  黛蛇蠕虫运行后，会扫描并试图利用漏洞攻击目标主机，目标主机的地址是蠕虫携带的地址列表生成的，多数地址瞄准了中国互联网上的国内用户，蠕虫攻击目标主机成功后，会操纵目标主机自动连接到某控制命令服务器的53号端口，请求黑客指令，然后根据指令从某个FTP服务器下载并运行一个键盘记录软件和黛蛇蠕虫文件包，从而完成传染过程。其中存放样本的FTP服务器地址是由控制命令服务器动态指定的。

• 解决方案：

（1）手工检查：

 查看系统上是否存在Sqltob.exe, Sqlscan. exe Sqlexp exe, Sqlxp1 exe, Sqlxp2. exe, Sqlxp3.exe文件，如果存在，将进程停止并删除相应文件。

（2）升级补丁：

 用户应立刻升级MS05-051、MS04-045、MS04-039补丁程序。同时注意及时升级防病毒软件。

（3）工具查杀：

 建议用户安装防病毒软件，并更新到最新版本，然后对系统进行彻底查杀。

1.2 黑客与黑客道

1.2.1 黑客

  现阶段，人们使用“黑客”这一称呼，其中至少包含了两类人：

• 第一类：真正的黑客（hacker），指那些对任何操作系统神秘而深奥的工作方式由衷地感兴趣的人。他们通常是程序员，掌握操作系统和编程语言方面的高级知识，能发现系统中所存在的安全漏洞以及导致那些漏洞的原因
• 第二类：骇客（cracker)，指那些强行闯入终端系统或者以某种恶意目的干扰终端系统完整性的人。

1.2.2 黑客道

• “白帽子”：对社会起积极作用的黑客，包括致力于互联网安全保障的研究人员，安全厂商/反病毒厂商中的核心技术人员，及遵循黑客精神和道德的独立研究者等。
• “黑帽子”：给社会带来负面作用的骇客，包括追求经济利益的职业计算机犯罪者、计算机领域恐怖分子，以及充满好奇心但又缺乏责任心的骇客们等。
• “灰帽子”：处于两者之间。

1.3 网络攻防技术介绍

1.3.1 网络攻防技术框架

• 网络攻防的基础技术体系框架：
  
  

• 系统安全攻防：网络攻防技术的核心组成部分，它的底层基础是软件程序中存在的安全漏洞（Software Vulnerability），它们可使攻击者在未授权的情况下访问或破坏系统，导致信息系统面临安全风险。

• 网络协议安全攻防：网络协议攻击是利用网络协议在设计时存在的安全缺陷或不安全因素。网络检测与防御技术则包括网络嗅探与协议分析、入侵检测、防火墙、VPN等。

• Web安全攻防：Web安全攻防是目前网络攻防领域中的热点问题，同时也是系统安全攻防与网络协议安全攻防在Web这一互联网主流应用领域上的汇集，其内容包括Web服务器安全攻防、Web应用程序安全攻防、Web客户端浏览器安全攻防、Web客户端浏览器安全攻防及Web传输协议安全攻防。

1.3.2 网络攻击一般过程

1.4 物理攻击与社会工程学

1.4.1 物理攻击

• 物理攻击：指攻击者通过各种技术手段绕开物理安全防护体系，获取或破坏信息系统物理物理媒体中受保护信息的攻击方式。物理攻击通常需要攻击者真正入侵到受保护的物理空间，存在很大风险与挑战，常见于军事、情报部门的特殊行动，以及恐怖及犯罪活动。

• 物理攻击的两种方式：
  
  暴力型：这种物理攻击并没有精巧的技术手段与方法，主要依赖高科技武器的威力或武装人员的战斗技巧。
  
  技巧型：这种物理攻击则是人类智慧与行动力的完美结合，期望的目标是在神不知鬼不觉中攻破包括人类在内的物理安全防护体系，在不触动安全警报的情况下，获取或破坏秘密信息。其主要应用场景是情报部门特工和间谍秘密完成特定的反恐或渗透任务。
  

• 抵御物理攻击的主要方法：
  对单位保安部门或专业保安公司而言，遵循物理安全工程的技术标准与规范，提升受保护场所和资源的物理安全防护体系，具体措施包括：防爆装置、障碍物设置、安全门禁系统、闭路电视监视系统、安全守卫与巡逻、安全响应机制等。对于个人而言，则需要关注一些日常生活中的物理安全策略，例如：对笔记本电脑、手机等个人经常使用的硬件设备一定要保持高低的保护意识，防止被窃。

1.4.2 社会工程学

• 社会工程学就是利用人类的愚蠢，使人们顺从你的意愿、满足你的欲望、操纵他人执行预期的动作或泄露机密信息的一门艺术与学问。社会工程学攻击定位在计算机安全工作链路的一个最脆弱的环节——人的攻击手段，因为任何一个系统都有人的参与，所以不管这个系统的软、硬件防护措施做得多么好，在人的环节上出问题，所有的防护手段都形同虚设。

• 社会工程学防御措施：
  
  （1）尽可能不要使用真名上网，或者将真实世界与网络世界划清明确的界限，并特别注意互联网上公开可查的个人信息，以确认没有泄露个人隐私；
  
  （2）不要轻易相信别人，尤其是未曾谋面或未建立起信任关系的陌生人；
  
  （3）别把自己的计算机或移动终端轻易留给别人使用，必要时刻(如维修计算机时)务必清理上面的个人隐私信息，否则结果可能会很惨；
  
  （4）单位应建立起规范的安全操作规程，包括门禁和人员控制，不同分类资料数据的访问机制，规范的垃圾回收和处理机制等；
  
  （5）单位应对员工进行安全意识和操作规程培训，包括IT流程、身份认证机制、陷入危机的应变策略，对垃圾邮件、钓鱼网站、危险附件的识别与处理，以具备基本的社会工程学抵御能力；
  
  （6）涉密信息与计算机系统的处理有着相应更加严格的保密流程与规范，请参考专门书籍及内部资料。
  

2.课后作业

（1）黑客电影鉴赏，撰写一篇影评在个人博客上发表，或者从影视作品中截取社会工程学或者物理攻击片段，说明其利用了何种攻击手段，加以具体评述。

  观看的电影是《我是谁，没有绝对安全的系统》

  

  影片中的物理攻击片段有：

  几位主人公在垃圾场找到情报局里负责清洁工作的朱迪的卡片，得到朱迪的邮箱，接着通过发送邮件发送钓鱼连接，获取进入情报局的通行证，再在同伴的帮助下，顺利拿到情报局的加密资料。

  

  

  

  

  

  

  

  

  

  社会工程学片段有：

  另一个主人公马克斯通过在垃圾箱里的披萨账单，利用披萨店服务员的胆小怕事，得到了两个巧克力甜圈。

  

  

  

  

  

  主人公本杰明假扮参观的学生，利用警卫的同情心，进入刑警组织安装“邪恶兄弟”。

  

  

  

  

  

  

  主人公本杰明利用负责这次案件的女探员的母性以及对他的同情心，成果逃脱。

  

  

（2）通过社会工程学手段尝试获取其他同学的个人信息，并详述你的社工过程，包括成功的和失败的。

  因为是同学，戒备心不强，很容易就可以问到手机号、出生年月日和星座，也不容易引起怀疑。

  

3.学习中遇到的问题及解决

• 问题1：不知道这一章中出现的蜜罐系统、蜜罐网、蜜罐主机是什么？

• 问题1解决方案：上网查阅。
  
    蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
  
    蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。
  

• 问题2：一开始不能理解黛蛇蠕虫的机制。

• 问题2解决方案：上网查阅资料并反复理解。

4.学习感悟、思考等

  计算机的飞速发展，在给人们带来便利的同时，各种安全漏洞、互联网攻击层出不穷。在这次的学习中，黛蛇蠕虫场景的展现让我对网络攻防这门课有了更深的印象，黑客与黑客道的学习让我对“黑客”这一词有了全新的看法，以前总觉得黑客都是不好的，是危害社会的，这次才知道危害社会的称之为“骇客”，真正的黑客是为社会谋福利对计算机世界有着浓厚兴趣的那些人。在了解网络攻防技术的框架、物理攻击和社会工程学后，越发觉得网络安全的重要性，以及储备相关方面知识的必要性，在日常生活中，更是要提高安全意识，保持警惕。

参考资料

• 病毒——黛蛇蠕虫
• 蜜罐技术——通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析...