2017-2018-2 《网络攻防技术与实践》 第二周做业

一 黑客信息

国内著名黑客

黄鑫
“绿色兵团”是中国大陆最大最先的民间黑客组织之一。创始人goodwell1997年在外网站申请一免费空间并在国内多处作了镜像站点，当初起名为绿色兵团，原地址”i.am/hack1“。做为最先的中国黑客组织，绿色兵团成员在短时间里成员迅速状大！上海、北京、石家庄等地均由其主要成员分布。同时，其影响力也在网民之中大增，特别是与与网易的几回冲突，使绿色兵团名声大振。
黄鑫仍是西安电子科技大学的学生时，为了给本身的电脑杀毒，黄鑫一头栽进网络安全的世界里再也没有出来。1999年上半年，黄鑫写出了冰河木马软件。木马冰河是中国黑客史中必须提到的一个软件，黄鑫在最初开发这个软件最第一版本的时候并无考虑到它可以做为一个特洛伊木马来使用，但随后冰河疯狂流行于黑客手中，不少用户在不知不觉中被冰河控制。早期的冰河还不能算是一个好的木马软件，随后黄鑫用了大量的时间对冰河进行代码重构，冰河2.2版本诞生了。新版本的冰河迅速被流传出去，并让大批初级黑客快速的步入了黑客这扇大门。中国黑客软件的开发今后走向了新的纪元，再次以后，黑洞、网络神偷、灰鸽子、XSan、YAI等众多优秀的国产黑客软件纷纷涌现，黑客也开始出现商业化迹象，由前“绿色兵团”成员组建的“中联绿盟”网络安全公司成立，正式开始了黑客向商业化迈进的脚步，中国黑客逐渐成长了起来。随着冰河木马在网上的迅速传播，黄鑫的名字被愈来愈多的人熟悉。

国外黑客信息

凯文·米特尼克
20世纪70年代末，13岁的米特尼克(当时他还在上小学)喜欢上了业余无线电活动，在与世界各地无线电爱好者联络时，他领略到了跨越空间的乐趣。他很快对社区”小学生俱乐部“里惟一的一台电脑着了迷，并所以掌握了丰富的计算机知识和高超的操做技能。这个被老师们一致认为聪明，有培养前途的孩子，却干了一件令大人们震惊的事：他用学校的计算机闯入了其余学校的网络。入侵的成功，令米特尼克兴奋不已。他用打工赚的钱购买了一台当时性能不错的计算机，并以远远超出其年龄的耐心和毅力，闯入了神秘的黑客世界。15岁时，米特尼克成功入侵了“北美空中防务指挥系统”的主机。此次入侵，成为黑客历史上的一次经典之做。
而后继续入侵“北美空中防务指挥系统”，不久，米特尼克又成功破译美国“太平洋电话公司“在南加利福尼亚洲通信网络的“改户密码”。米特尼克当即施展浑身解数，破译了联邦调查局的“中央电脑系统”密码，天天认真查阅“案情进展状况的报告”。因为当时网络犯罪仍是很新鲜的事，法律上鲜有先例，法院只将米特尼克送进了少年犯管教所。他成了世界上第一个“电脑网络少年犯”。
他是第一个在美国联邦调查局“悬赏捉拿”海报上露面的黑客。他因为只有十几岁，但却网络犯罪行为不断，因此他被人称为是“迷失在网络世界的小男孩”。
2002年，对于曾经臭名昭著的计算机黑客凯文·米特尼克来讲，圣诞节提早来到了。这一年，的确是Kevin Mitnick快乐的一年。不可是得到了完全的自由（今后能够自由上网，不能上网对于黑客来讲，就是另外一种监狱生活）。并且，他还推出了一本刚刚完成的畅销书《欺骗的艺术》(The Art of Deception: Controlling the Human Element of Security)。此书大获成功，成为Kevin Mitnick从新引发人们关注的第一炮。
他被称为是世界上“头号电脑黑客”。有评论称他为“世界头号黑客”。

二 安全工具信息及使用教程

安全工具信息

Wireshark

Wireshark 在2006年夏天的商标纠纷中以“空灵”而闻名,wireshark是很是流行的网络封包分析软件，功能十分强大。能够截取各类网络封包，显示网络封包的详细信息。wireshark是开源软件。 能够运行在Windows和Mac OS以及Linux上。Wireshark是世界上最流行的网络分析工具。这个强大的工具能够捕捉网络中的数据，并为用户提供关于网络和上层协议的各类信息。与不少其余网络工具同样，Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、帐号等的密码。

网络封包的使用者

1. 网络管理员会使用wireshark来检查网络问题

2. 软件测试工程师使用wireshark抓包，来分析本身测试的软件

3. 从事socket编程的工程师会用wireshark来调试

4. 据说，华为，中兴的大部分工程师都会用到wireshark。

抓包就是将网络传输、发送与接受的数据包进行截获、重发、编辑、转存等操做，也用来检查网络安全。抓包也常常用来数据截取等。

Metasploit

Metasploit是一款开源的安全漏洞检测工具，同时Metasploit是免费的工具，所以安全工做人员经常使用Metasploit工具来检测系统的安全性。Metasploit Framework (MSF) 在2003年以开放源码方式发布，是能够自由获取的开发框架。它是一个强大的开源平台，供开发，测试和使用恶意代码，这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠平台。
这种能够扩展的模型将负载控制(payload)、编码器(encode)、无操做生成器(nops)和漏洞整合在一块儿，使 Metasploit Framework 成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的 shellcode ，而且不断更新。

Nessus

1998年, Nessus 的创办人 Renaud Deraison 展开了一项名为 "Nessus"的计划，其计划目的是但愿能为因特网社群提供一个免费、威力强大、更新频繁并简易使用的远端系统安全扫描程序。通过了数年的发展, 包括 CERT 与 SANS 等著名的网络安全相关机构皆认同此工具软件的功能与可用性。2002年时, Renaud 与 Ron Gula, Jack Huffard 创办了一个名为 Tenable Network Security 的机构。在第三版的Nessus 发布之时, 该机构收回了 Nessus 的版权与程序源代码 (本来为开放源代码), 并注册成为该机构的网站。 目前此机构位于美国马里兰州的哥伦比亚。
Nessus的优势

1. 提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库。
2. 不一样于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。
3. 其运做效能能随着系统的资源而自行调整。若是将主机加入更多的资源(例如加快CPU速度或增长内存大小),其效率表现可由于丰富资源而提升。
4. 可自行定义插件(Plug-in)

5. 完整支持SSL (Secure Socket Layer)。
   自从1998年开发至今已谕十年, 故为一架构成熟的软件。
   采用客户/服务器体系结构，客户端提供了运行在X window 下的图形界面，接受用户的命令与服务器通讯，传送用户的扫描请求给服务器端，由服务器启动扫描并将扫描结果呈现给用户；扫描代码与漏洞数据相互独立，Nessus 针对每个漏洞有一个对应的插件，漏洞插件是用NASL(NESSUS Attack Scripting Language)编写的一小段模拟攻击漏洞的代码，这种利用漏洞插件的扫描技术极大的方便了漏洞数据的维护、更新；Nessus 具备扫描任意端口任意服务的能力；以用户指定的格式（ASCII 文本、html 等）产生详细的输出报告，包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。

   Snort

   在1998年，Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防护系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GNU General Pubic License),
   Snort有三种工做模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并做为接二连三的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的，并且是可配置的。咱们可让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采起必定的动做。
   Snort的不足
   Snort入侵检测系统适应多种平台，源代码开放，使用免费，受众多用户喜好，但也有很多缺点。Snort之因此说他是轻量型就是说他的功能还不够完善，好比与其它产品产生联动等方面还有待改进；Snort由各功能插件协同工做，安装复杂，各软件插件有时会因版本等问题影响程序运行；Snort对全部流量的数据根据规则进行匹配，有时会产生不少合法程序的误报。

   安全工具的使用

   Wireshark

   安装老师给的SEED，里面有安装好的 Wireshark，下面介绍Linux Wireshark 的使用，打开 Wireshark看到以下界面
   

wireshark与对应的OSI七层模型

选择须要捕捉的设备

选择设备后点start

获得运行结果

过滤器有两种：
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所须要的记录
一种是捕获过滤器，用来过滤捕获的封包，以避免捕获太多的记录。 在Capture -> Capture Filters 中设置
保存过滤
在Filter栏上，填好Filter的表达式后，点击Save按钮，例如填http

表达式规则
 1. 协议过滤
好比TCP，只显示TCP协议。

1. IP 过滤
   好比 ip.src ==192.168.1.102 显示源地址为192.168.1.102，
   ip.dst==192.168.1.102, 目标地址为192.168.1.102
2. 端口过滤
   tcp.port ==80,  端口为80的
   tcp.srcport == 80,  只显示TCP协议的原端口为80的。
3. Http模式过滤
   http.request.method=="GET",   只显示HTTP GET方法的。
4. 逻辑运算符为 AND/ OR

做业

1. 经过社会工程学手段获取异性同窗的信息

选取一个异性同窗,根据其QQ号,能够大体了解其信息,能够根据其空间状态看出其是否工做从而能够核实他的年龄是否真实,以及其性格状况,根据他的性格选择合适的方法与其聊天,得到其信任,从而获得他的各项信息.