1.知识点梳理与总结
课上内容回顾
本周的课上内容,以前学过,在老师的课上又复习了一遍,网络安全目标,网络安全威胁、网络安全体系等内容,知道有哪些威胁,有哪些手段,才能更好的防御。
《网络攻防技术与实践》第一章 网络攻防技术概述
- 黛蛇蠕虫
- 通过攻击TCP1025端口获得远程执行命令的权限,还针对微软MS04-045、MS04-039漏洞或利用SQL溢出工具进行攻击。
- 攻击目标主机成功后,病毒会操纵目标主机自动连接到某控制服务器的53号端口请求黑客指令,然后根据该黑客指令从某个ftp服务器下载并运行一个键盘记录软件和Dasher蠕虫文件包,从而完成传染过程。
- 网络攻防技术
- 网络攻防包括系统安全攻防,网络安全攻防和物理攻击与社会工程学。其分别针对的时软件安全漏洞、网络协议安全缺陷和人的心理弱点和物理设计缺陷。
- 网络安全攻防中,网络协议攻击涉及不同网络层的攻击,网络接口层的嗅探窃听,互联层的ARP欺骗、针对ICMP协议的Smurf攻击,传输层上的SYN洪水攻击,应用层的许多协议采用明文传输,有信息窃听、篡改的风险。
- 软件安全漏洞的生命周期涉及7个部分:安全漏洞研究和挖掘、渗透攻击代码开发和测试、安全漏洞和渗透攻击代码在封闭团队总流传、安全漏洞和渗透攻击代码开始扩散、恶意程序出现并开始传播、渗透攻击代码/恶意程序大规模传播危害互联网、渗透攻击代码/攻击工具/恶意程序逐渐消亡。
- 网络攻击的三部分九个步骤分别是:【窥探设施】踩点、扫描、查点,【攻击目标】获取访问、特权提升、拒绝服务,【成功之后】偷盗窃取、掩踪灭迹、创建后门。
- 查点是指当攻击者确定攻击目标后,进一步的入侵探询。
- 黑客
- 骇客与黑客是背道而驰的,他们只是在重复一些广为人知的技巧和窍门。
- 黑客有黑客道德,不作恶、保护隐私等,黑客应当是搞建设而不死来破坏的。
作业一:黑客电影鉴赏,撰写一篇影评在个人博客上发表,或者从影视作品中截取社会工程学或者物理攻击片段,说明其利用了何种攻击手段,加以具体评述。
我看的这部电影是《我是谁:没有绝对安全的系统》,在这部电影中,主人公本杰明一开始是为了向X先生证明自己,而和其他的三个伙伴,先是在一堆垃圾中找到了写满员工签名的贺卡,然后冒充其中一人向另一个人发送钓鱼邮件,建立进入系统的通道,并利用此人的权限为自己制造了假证件以此进入情报局,并在服务器上植入病毒。而在后来,本杰明为了获取汉娜的信任,仔细研究了汉娜的经历,发现其曾流产过一个孩子并且永远无法生育,根据她的弱点,设计了种种细节,他的表现激起汉娜的母爱,使得最后汉娜愿意帮助他进入警局机房,删掉自己和同伴的所有资料。可见,所谓的黑客攻击,也不仅仅局限于电脑技术,有时还会利用人性的弱点,人们的习惯,这些给了黑客可以攻击的漏洞。正如片名所说,没有绝对的安全系统,使用系统,管理系统的人的弱点好像更为致命。
作业二:通过社会工程学手段尝试获取其他同学的个人信息,并详述你的社工过程,包括成功的和失败的。
在上学期的课程中,我确实有尝试使用社交帐号等来搜集一位女生的信息。首先,我有这位女生的微信,微博,并且他开了一个微店,在他的店里下单后,我知道了她的手机号,利用她的手机号和发货地址可以大致知道她的所在的市所在区。并且在她的社交帐号上找到了她的照片,知道她曾去日本游玩。到此,我知道了她的名字、联系方式、大致住址、长相。并且在闲聊中我知道她有一个刚生完孩子不久的姐姐,她在家中排行老二。以上的搜集信息的过程,是建立在我知道一些基本信息,在此基础上总结出来的。生活中有许多的行为都会泄露自己的隐私。在一次抓包中,看到了明文传输的自己的帐号和密码,那一刻觉得十分害怕。所以在日常生活中我们要尽量保护好自己的隐私,在公开的场合、社交媒体中尽量少暴露个人信息。为了保护隐私,这里放一张她的微博截图。
2.学习中遇到的问题及解决
暂时没有问题
3.学习感悟、思考
我们要在日常生活中就保护好自己的隐私,在点外卖、接受快递、处理购物小票时,要谨慎处理好上面的个人信息。并且在公开的社交媒体上,尽量不要发个人照片,在晒火车票、登机牌等时,要把姓名、身份证号、二维码等马赛克上。同时也尽量避免连接不安全的WiFi,谨慎授权位置信息等给APP。保护好隐私安全,不要在网络中裸奔。