20159311《网络攻击与防范》第二周学习总结

学习内容总结

一、关于黑客：
在我印象中，黑客就是穿着一身黑风衣，戴着副黑墨镜，然后在电脑面前疯狂的敲键盘的人。他们无视法律规定，自由的穿梭在各个网站之间。在此特地去百度“黑客”二字，得到如下解释：通常是指对计算机科学、编程和设计方面具高度理解的人。看来电影对我造成的影响真不小。原来黑客们所做的并不是恶意破坏，他们是一群纵横于网络上的技术人员，热衷于科技探索、计算机科学研究。在黑客圈中，Hacker一词无疑是带有正面的意义，例如：system hacker熟悉操作的设计与维护；password hacker精于找出使用者的密码，若是computer hacker则是通晓计算机，进入他人计算机操作系统的高手。所以在此特别介绍两个词，以此来洗刷黑客的清白。”Hacker”与“cracker”是分属两个不同世界的族群，基本差异在于，黑客是有建设性的，而骇客则专门搞破坏。
关于黑客，我之前有一点没说错，他们无所不入，如果他们愿意，他们可以不用授权就进入各种各样的系统，包括卫星。在他们看来世界上没有不可攻破的系统，只是之间。在这里不得不说的是“黑客界的祖师爷”凯文米特尼克，一个仅在新社区的小学生俱乐部学到了高超的计算机专业知识和操作技能的人。关于米特尼克的各种“英雄事迹”简直数不胜数。当米特尼克刚刚接触到电脑时，就已经明白他这一生将与电脑密不可分。他对电脑有一种特殊的感情。电脑语言“0，1”的蕴涵的数理逻辑知识与他的思维方式天生合拍，在学习电脑的过程中，米特尼克几乎没有遇到过什么太大的障碍。他编写的程序简洁、实用、所表现的美感令电脑教师都为之倾倒。他的电脑知识很快便超出了他的年龄。在15岁的时候，米特尼克仅凭一台电脑和一部调制解调器就闯入了北美空中防务指挥部的计算机系统主机。
说到国内著名的黑客大师，不得不说的就是龚蔚。他是中国黑客教父，绿色兵团创始人，COG发起人。1997年龚蔚成立了第一个中文黑客站点“绿色兵团”时，并未想过黑客两个字能够聚集那么多年轻人参与，但随着中国互联网的飞速发展，让黑客成了那个年代年轻人们最执着的互联网理想。在此后的一段时间里，龚蔚并没有只停在这个层面，而是代表中国黑客顶级技术的团队开始走向商业化运作的道路，同时选择了远离了媒体的喧嚣。与这些黑客前辈们不同，一批批新踏入这一领域的年轻黑客并没有继承前辈的精神和文化，黑客新人辈出而在追求至高技术的同时却没有任何正确的引导，缺乏一些最基本的道德准线，短短几年就形成了数个骇客集团，他们对盗号钓鱼的兴趣远远高于黑客技术的探索。对这种现象，龚蔚表示，黑客是一群对生活乐观、思维活跃、行事低调的人，会不断寻求新的解决问题的方法，或是去发现这些问题，不只在计算机领域，只要有这样精神的人都可以称为黑客。

二、Sectools:

在关于介绍网络安全工具的网站里（http://sectools.org/），介绍了不少有用的工具。比如一下这些热门的工具:
① Wireshark：网络协议分析器；
② Metasploit:安全漏洞检测工具；
③ Nassus:网络漏洞扫描；
④ Aircreak：用于破解WEP和WPA的工具套装；
⑤ Snort:网络入侵检测系统。
在这里就介绍两个我比较感兴趣的网络安全工具。
Aircreak主要用于无线网络和密钥的破解，从而非法入侵未经许可的无线网
络。Aircrack-ng是由6个不同部分组成的套件，包括aircrack-ng 、airdecap-ng 、airmon-ng、aireplay-ng、airodump-ng、tools。在Windows上运行它非常容易，只要在系统上安装合适的驱动即可，这些驱动可以在Aircrack网站上找到。安装完后就可以开始恢复WEP密钥这一部分。首先就要收集足够的数据包来破解密钥。简单介绍下使用Aircreak-ng破解WEB加密无线网络的步骤：
①载入无线网卡；
②激活无线网卡至monitor模式；
③探测无线网络，抓取无线数据包；
④对目标AP使用ArpRequest注入攻击：读取ARP请求报文，并伪造报文再次重发出去，以便刺激AP产生更多的数据包，从而加快破解过程，这种方法就
称之为ArpRequest注入攻击；
⑤打开Aircreak-ng，开始破解WEP：在抓取的无线数据报文到达了一定数量后，就可以开始破解，若不成功就等待数据报文继续抓取后多是几次；

Snort是用C语言开发的入侵检测系统，在网上可以通过免费下载获得Snort。Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。
Snort工作需要各插件的协同配合，比如要合适的数据库，web服务器，图形处理器等等。在简单介绍snort的使用方法之前有必要知道snort人体的具体工作过程。
①在网络TCP/IP的5层结构的数据链路层进行抓取网络数据包；（根据系统的差异，选择libpcap或者winpcap函数）；
②将不活的数据包送到解码器解码；
③将数据包送到预处理器（在这个过程通过重组去处理明显的错误问题）；
④最关键的一步是进行规则的建立，以及根据规则进行检测，监测数据包是否含有入侵行为；
⑤检测后的数据包以各种形式输出。
安装及使用过程：
①下载snort软件；　　
②安装开始，根据提示一步一步安装。
③安装完成后，在snort目录下，新建一个temp文件夹；
④安装规则库，这个是snort软件必备的文件，否则，软件的效力大打折扣。
需要说明的是，规则可与根据自己的需要进行编写，牵涉到大量书写规范及关键字，在这里不做赘述，有兴趣的可以参考以下网站，里面有详细教程。http://wenku.baidu.com/link?url=INQSj8HdBAq_3pV4IG0f7adSTLTQqs7j9k4b7mLmfwVrxOTwY2L6aQOrYi6Xe7wpLpmfMvRqs6Aqq2QWWSCYVySIzjPa1HwxAjvuqF7ozn_

三、关于教材的学习：
教材的前两章对网络攻防进行了初步的介绍。第一章介绍了网络攻防的一些基础知识，在第一章从“黛蛇蠕虫”的这个真实案例第一次了解到了网络攻击的真个具体过程。首先是攻击目标主机，其中目标主机的地址是蠕虫携带的地址列表生成。攻击成功后自动连接到某控制命令的53号端口，请求黑客的指令。然后根据指令从某个FTP服务器下载并运行一个键盘记录软件和黛蛇蠕虫文件包从而完成传染过程。而为了尽早的缩小传染范围，技术人员需要尽快的取证分析与追踪。首先远程登录FTP服务器，对黑客上传的程序，样本进行证据集权。接着IP定位确认控制命令服务器的地址，研究蠕虫样本访问的日志，定位IP地址。最后利用互联网搜索就可以确定黑客的地址。网络攻防也有三种攻击形态：利用软件安全漏洞的系统攻击、利用协议安全缺陷的攻击、利用人性弱点的社会工程学攻击。网络安全攻防主要是协议的漏洞，而系统安全攻防是软件的漏洞。网络攻击可以分为九个步骤，分别是：踩点、扫描、查点、获取访问、特权提升、拒绝服务、偷窃盗取、掩踪灭迹以及创建后门九个步骤。紧接着第二章介绍了网络攻防实验环境的搭建，需要了解到的一个新概念是：虚拟化技术。虚拟化技术是从有限硬件设备中虚拟出额外的硬件资源，并可构建虚拟的系统。关于环境的配置需要用到的一个关键软件叫做VMWARE WORKSTATION，安装该软件来构建支撑个人版网络攻防实验环境的虚拟化平台，它同时支持系统为Windows或Linux的宿主主机。

四、关于视频的学习：
本周学习了前几个kali视频，觉得最有成就感的就是关于虚拟机的安装，所以简单写个安装虚拟机的小教程。
Kali Linux 是基于Debian的Linux的发行版，设计用于数字取证和渗透测试。所以其操作与Debian类似。它支持超过300个渗透工具，并且支持中文。装虚拟机首先要有一个kali Linux的镜像，在kali网站（www.kali.org）即可下载kali Linux安装包。打开虚拟机后，在虚拟机上挂载镜像（kali Linux）并且修改名字。在未安装的模式（live）选择install。安装结束后运行处不配置好的虚拟机。由于kali Linux支持中文，所以安装过程中可以选择简体中文。在网络配置过程中填写主机名、域名，并且填写root密码，root密码类似于Windows的管理员密码，所以应该填写的越复杂越好。使用向导模式进行磁盘分区，根据提示step by step就ok。接着需要安装GRUB引导器，安装结束后需要重启电脑。最后一步需要操作的是创建快照，以便于及时恢复。
搭建好后的页面如图所示：

教材学习中的问题和解决过程

初步真正认识到黑客这个概念，对以往的一些错误的观点做了改正。

视频学习中的问题和解决过程

在安装kali linux的过程中遇到一些问题，在视频教程中无法寻求解答。
利用网上搜索引擎工具去寻找答案，最重要的是自己动手实践。