20169217 2016-2017-2 《网络攻防实践》第二周学习总结

    学习任务
     每个人至少查找1个国内著名黑客的信息、1个国外黑客的信息，不能重复
     参考sectools，每个人至少查找5种安全工具、库等信息，并深入研究至少两种并写出使用教程，信息、教程发博客
     学习教材第一、二章并完成P45,p61的实践作业
     5个Kali视频学习(1-5) 

    中国黑客

    于旸

    绿盟科技研究院 安全研究部高级研究员

    国内著名黑客组织安全焦点 核心成员

    腾讯玄武安全实验室 总监

     于旸，网名“tombkeeper”，在国内黑客界被尊称为“TK教主”，现任腾讯玄武实验室总监。于旸从事信息安全研究工作十余年，主要研究方向聚焦在针对各类型漏洞的挖掘、利用、检测、防御，以及涉及硬件、无线等方面的复合安全风险。他曾发现并报告了Cisco、Microsoft等公司产品的多个安全漏洞。在2008年北京奥运期间，他曾担任公安部奥运会信息网络安全指挥部技术专家，及CNCERT奥运信息安全保障小组技术专家，并获得CNCERT颁发的奥运信息安全保障支持个人一等奖。于旸曾在BlackHat US、CanSecWest等国际安全会议上发表演讲，是CISP认证“恶意代码”这门课程的最初设计者，也是微软漏洞缓解技术绕过悬赏十万美元大奖全球两个获得者之一。

     新浪微博： http://weibo.com/101174

     TK 发现了 Windows 史上最大漏洞

有没有发觉，昨晚电脑突然被后台占用大量的带宽，导致网速变慢。这是Windows又在进行一次大规模的漏洞补丁更新。其中有两个高危漏洞，对windows95到windows10都会产生影响，几乎可以被认为是史上影响最广泛的windows漏洞。

可成功利用率非常高

这两个漏洞的发现者是“黑客教主”TK（TombKeeper），即腾讯玄武实验室创建者于旸。他将漏洞命名为“Bad Tunnel”。Windows计划授予其5万美元的奖金。

在微软的致谢名单中这两个漏洞被命名为MS16-063与MS16-077 

TK说，利用这个漏洞的攻击成功率极高，并在朋友圈替Windows程序员澄清，并不是由于他们写错代码而导致的后果。

                                                        TK朋友圈截图

这个漏洞是由原始设计问题产生的。当用户打开一个URL，或者打开任意一种Office文件、PDF文件或其他格式的文件，又或者是仅插入一个U盘，都会帮助攻击者完成对目标用户的网络劫持，获取权限提升。

 

攻击者可以通过Edge、Internet、Microsoft Office或在Windows中的许多第三方软件利用该漏洞，也可以通过网络服务器或拇指驱动器来完成攻击。

 

即使是用户安装了带有主动防御机制的安全软件，也无法检测到攻击。攻击者还可以利用该对目标系统执行任何恶意代码。

    于旸并非科班出身，但他是全球夺得微软安全挑战赛最高奖的两人之一，目前任职腾讯“玄武”安全实验室总监。于旸的诸多研究在业内都极具影响力，包括独立破解 iPhone　指纹识别，破解无线RFID通讯等。于旸毕业于安徽医科大学临床医学系，全凭自己的爱好由一名医生变身成一位顶尖的黑客。在Black Hat的首秀中，于旸在自我介绍时先放出了一张很具“高富帅”意味的医生照片，随后又给出一张猩猩玩电脑的照片，并自嘲“这就是现在的我”。于旸的演讲主题，是他针对微软最新的Windows版本所做的一项漏洞研究成果。

      黑客到底是一个怎样的群体？于旸的看法很是简单。“对于网络入侵和防御的相关技术，以及漏洞的相关技术极具钻研精神的一群人。”于旸说，黑客所涉及的知识领域绝非是入侵系统那么简单，整个安全行业是围绕着漏洞和其它攻击手段，以及相应的防御手段展开的一个领域。“这一行要做好，还要了解其它的领域。你做攻击，你就需要懂防御，你做防御，你也要了解攻击。”

　　黑客的世界里也有黑白之分，原本并不带褒贬含义的“黑客”一词，近年来却被增添了不少贬义的色彩，于是才有了“白帽子黑客”这样特有的称谓。以DEF 　CON为例，参与的上万名黑客中，就有不少在从事见不得光的工作。对于这一点，于旸也有自己的评价。“网络世界其实和现实世界一样，有一个白社会，也有一个黑社会。现实里的黑社会有多大，网络世界里的黑社会也就有多大。”

   外国黑客

   匿名者黑客组织

    匿名者黑客组织是全球最大的黑客组织，也是全球最大的政治性黑客组织。其主要分布于美国，其次为欧洲各国，非洲、南美、亚洲等地都有其分部。

    “匿名者”组织起源于国外，这里聚集喜欢恶作剧的黑客和游戏玩家。他们支持网络透明，但常有人冒充他们的身份来发表一些虚假视频。“匿名者”是一个体系松散但规模庞大的国际黑客组织，黑客们大多出于对计算机的热爱加入其中。

    2015年11月，针对于2015年11·13巴黎恐怖袭击事件，国际黑客组织“匿名者”在视频网站youtube上传视频，向IS宣战。

    2015年12月10日，日本首相安倍晋三的个人网站被黑，黑客组织“匿名者”称对此负责。

    2015年圣诞节，推特上宣布他们成功阻止了IS意图袭击意大利的计划。奥地利警方也于26日表示，接获情报指出，圣诞节到新年期间，欧洲多国首都可能发生枪击案或炸弹攻击事件，各地皆加强安全措施严阵以待。

    2016年1月14日,黑客组织“匿名者”日前宣称,他们为抗议日本在南极洲的捕鲸活动攻击了日产汽车公司的网站。

    2016年2月2日起，匿名者针对日本南极捕鲸的活动对日本多个政府网站发起攻击。

 

    起源发展

     匿名者黑客组织发迹于2003年，起源自美国贴图讨论版4chan，标记为“匿名者”。渐渐地，这些“匿名者”自我组织起来形成线下力量，用“匿名者”作为称号，自发形成松散的黑客组织。随後在政治上形成一些共识，核心观点是呼吁「网际网路自由」。

     现今各大区域的“匿名者”组织均在Facebook等社群网站建立专页以公布其每次行动目的与活动诉求。

   网络事件

“匿名者”黑客组织是世界最大的黑客组织，曾在2010年12月攻击威士网站、万事达网站和支付网站PayPal，以示对维基解密网站的支持。部分积极参与行动的“匿名者”有数千名成员，包括一些大公司和政府机构的高级计算机专家以及记者和高级工程师，这些人分成数百人的小组，对各种事件作出反应。  “匿名者”组织中充斥的“黑客活动分子”，由于组织成员有一些计算机高级工程师与计算机爱好者，匿名者组织令电脑专家对公司和政府系统的安全越来越担忧。匿名者还公开提供Anonymous-os黑客操作系统(并非Anonymous官方制作，已确认包含有木马)的下载，已在一开源平台上被下载了超过1万次。

 

美国行动   这个组织发表声明，美国将成为他们下一个攻击的目标。据悉，这次的攻击活动还有一个专门的代号--“美国行动(OpUSA)”。OpUSA是“匿名者”专门针对美国当局在伊拉克、阿富汗、巴基斯坦等国家发动的战争行为。“匿名者”对奥巴马领导集团使用无人机攻击造成上百名无辜儿童和家庭成员死亡的作法提出强烈抗议。  据介绍，OpUSA将通过doxes、DNS攻击、丑化、重定向、DDOS攻击、数据库资料泄露等多种手段对美国网络实行攻击。“匿名者”表示，他们将把美国从互联网版图中“剔除”。组织已经开始了OpUSA。作为行动的第一阶段，“组织将把攻击目标锁定在国内比较重要的几家银行。   据悉，“匿名者”早前曾对FBI、NSA、NATO等多个美国政府机构以及包括美国银行、大通银行、花旗银行在内的多家银行发出警告。

 

反对山达基教会   2008年，该组织发起了反对宗教组织山达基教会的活动，指责该教会试图在网上控制关于自身的信息，并表示抗议。该活动包括用大量信息攻击网站、试图使其掉线的“阻断服务”攻击。2008年，该组织黑掉宗教组织山达基教会的网站，从此开始不断出击。“匿名者”组织有数千名成员，这些人分成数十人的小组，对各种事件作出反应。Anonymous也曾经宣布他们攻陷并关闭一个拥有大量数据的地下恋童癖网站。此网站名为“洛丽塔之城”，它拥有100G以上的色情数据。无名氏侵入该网站后， 获取了超过1500名使用者的资料，并公之于众。无名氏发表声明称该网站让恋童癖者的问题严重化，甚至会有诱使他们进行诱拐、猥亵、强奸儿童。  

 

支援维基解密   2010年12月，西班牙示威者带着黑客组织“匿名者”和维基解密创始人阿桑奇的面具进行抗议。2010年12月，该组织想到了一个让它成为人们关注焦点的事由：维基解密。“匿名者”开始攻击那些与维基解密及其创始人阿桑奇发生争论的组织和个人。阿桑奇在瑞典受到不当性行为指控，后来在伦敦被捕，他对这些指控矢口否认。在“匿名者”的攻击之下，那些与维基解密断绝往来的公司网站要么关闭，要么运行速度放缓，万事达、维萨和eBay Inc.子公司贝宝等均是如此。所有受攻击的公司都说，它们的系统没有受到影响。贝宝说，对公司网站的攻击在短时间内令支付速度变慢，有时可能无法进行交易，但并不严重。  

 

攻击索尼网站   2011年4月，“匿名者”针对索尼公司发起了“拒绝服务”攻击，随后索尼的计算机系统出现中断，通过索尼在线游戏服务玩在线视频游戏的约1亿用户的姓名、出生日期及其它个人资料被盗。　索尼将PlayStation在线网络关闭了近一个月。据索尼估计，包括安全强化费用在内，这次攻击造成了1.71亿美元的损失。  继2011年4月索尼已经遭遇了一次大面积的PSN瘫痪事件后，匿名黑客组织再次扬言要摧毁索尼的网络。除了一封匿名信外黑客还公布了一段语音。除了索尼之外JustinBieber.LadyGaga.KimKardashian. Taylor Swift也被这个黑客组织所威胁。  

 

五种sectools工具

1.Wireshark

     Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

     使用教程：

    去官网上下载最新的而且稳定的版本：Wireshark 1.12.0

  

安装完成之后， 将进入如图所示的wireshark 运行界面

  

如果您的电脑上有多块网卡， 您可以首先点击“capture” -- “interface”，查看有哪些网卡网卡

可以获取流量

  确定好用来抓取流量的网卡后， 您可以点击“capture”--“options”，注意网卡一定要选中混杂模

式“use promiscuous mode on all interfaces"，否则你是无法获取内网的其他信息。

如果您要获取内网的所有信息，在”capture filter“ 可以为空。

如果您要获取到网关：192.168.0.1的信息，可以在”capture fileter“这里设置：host 192.168.0.1  

点击”start“ ， 就可以看到内网的实时数据了， 如图所示：  

如果您需要查看的是arp 协议的数据包， 一段时间后，点击”stop“，然后在”filter“选项那里，

输入arp ， 点击”apply“ ， 就可以查到本次所有抓获的arp 数据包了。

 

2.Metasploit

   Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程。团队合作，在Metasploit和综合报告提出了他们的发现。

3.Nessus

    Nessus是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。 提供完整的电脑漏洞扫描服务, 并随时更新其漏洞数据库。  

    * 不同于传统的漏洞扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的漏洞分析扫描。  

    * 其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高。

    * 可自行定义插件(Plug-in)

    * NASL(Nessus Attack Scripting Language) 是由 Tenable 所开发出的语言，用来写入Nessus的安全测试选项。   * 完整支持SSL (Secure Socket Layer)。

4.Aircrack

   Aircrack是一套用于破解WEP和WPA的工具套装，一般用于无线网络的密钥破解，从而非法进入未经许可的无线网络。
只要一旦收集到足够的加密数据包，利用它就可以破解40到512位的WEP密匙，也可以通过高级加密方法或暴力破解来破解WPA1或2网络。Aircrack-ng是由6个不同部分组成的套件:
 
5.Snort

在1998年，Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GNU General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。snort基于libpcap。