网络攻击

中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 丁磐朔 年级 2017级 区队 六区队 指导教师 高见老师 信息技术与网络安全学院 2019 年 11 月 10 日 实验任务总纲 2019—2020 学年 第 一 学期 一、实验目的 1 ．加深并消化本课程授课内容，复习所学过的互联网搜索技巧、方法和技术； 2 ．了解并熟悉常用的网络嗅探方式，掌握常用抓包软件的使用方法和过滤技巧，能够对给定的数据包分析网络基本行为；掌握 ARP 欺骗的基本原理，以及基于 ARP 欺骗的 DNS 攻击方式； 3 ．达到巩固课程知识和实际应用的目的。 二、实验要求 1 ．认真阅读每个实验内容，需要截图的题目，需清晰截图并对截图进行标注和说明。 2 ．文档要求结构清晰，图文表达准确，标注规范。推理内容客观、合理、逻辑性强。 3 ．软件工具可使用 office2003 或 2007 、 CAIN 、 Wireshark 等。 4 ．实验结束后，保留电子文档。 三、实验步骤 1 ．准备 提前做好实验准备，实验前应把详细了解实验目的、实验要求和实验内容，熟悉并准备好实验用的软件工具，按照实验内容和要求提前做好实验内容的准备。 2 ．实验环境 描述实验所使用的硬件和软件环境（包括各种软件工具）；

抓包是拦截查看网络数据包内容的软件，通过对抓获的数据包进行分析，可以得到有用的信息。抓包通过对网络上传输的数据进行抓取，可以对其进行分析，对于软件的Debug很大的帮助。也可以通过抓取用户发送的涉及用户名和密码的数据包来获取用户的密码。 抓包工具更多的用于网络安全，比如查找感染病毒的计算机。有时也用于获取网页的源代码，以及了解攻击者所用方法、追查攻击者的ip地址等。 来源： https://www.cnblogs.com/wdn135468/p/11926779.html

------------恢复内容开始------------ copy 一 简介 The WiFi Pineapple 是由国外无线安全审计公司Hak5开发并售卖的一款无线安全测试神器（俗称大菠萝），从2008年起目前已经发布到第六代产品。当前的主打产品是The WiFi Pineapple NANO 和WiFI Pineapple TETRA（支持5GHz频段） 手上这款是WiFi Pineapple NANO 产品规格： ·CPU：400 MHz MIPS Atheros AR9331 SoC ·内存：64 MB DDR2 RAM ·磁盘：16 MB ROM + Micro SD（6G） ·无线：Atheros AR9331（wlan0）+ Atheros AR9271（wlan1），均为IEEE 802.11 b / g / n ·端口：（2）RP-SMA天线，USB网卡（ASIX AX88772A） ·USB 2.0主机，Micro SD读卡器 ·电源：USB 5V 1.5A. 包括 Y型USB电源线 ·可配置状态指示灯LED ·可配置的重置按钮 二 使用背景 对于这种 黑客 “外设” 来讲，和其他外设没什么两样，都是烧钱的东西，那这个东西在什么情况下入手比较合适呢？ 1安全研究 对于正在进行安全研究并计划将研究方向定为wifi安全的小伙伴们，可以使用这款 “外设”

概要 ettercap [ OPTIONS ] [ Target1 ] [ TARGET2 ] TARGET的格式为MAC / IP / IPv6 / PORT，其中IP和PORT可以是范围 当IP有多个的时候，可以用“，”分隔不同的C段ip，可以用“-”表示连续的ip，可以用“;”分隔不同表达形式的ip。（例如/192.168.0.1-30,40,50/20,22,25） 描述 Ettercap最初是交换局域网（甚至显然是“拥挤的”局域网）的嗅探器，但在开发过程中，它获得了越来越多的功能，从而使其转变为强大而灵活的中间人攻击工具。 它支持许多协议（甚至是加密协议）的主动和被动解剖，并包括许多用于网络和主机分析的功能（例如OS指纹）。 两个主要的嗅探选项： UNIFIED ，此方法嗅探通过电缆传递的所有数据包。 您可以选择是否将接口置于混杂模式（-p选项）。 未定向到运行ettercap的主机的数据包将使用第3层路由自动转发。 因此，您可以使用从其他工具发起的mitm攻击，并让ettercap修改数据包并为您转发。 BRIDGED ，它使用两个网络接口，并在执行嗅探和内容过滤时将流量从一个转发到另一个。这种嗅探方法完全是秘密的，因为无法找到有人在电缆中间。您可以将此方法视为第1层的mitm攻击。您将位于两个实体之间的电缆中间。不要在网关上使用它，否则它将把您的网关变成网桥。提示

需求：请根据web日志或者或者网络连接数，监控当某个IP并发连接数或者短时内PV达到100，即调用防火墙命令封掉对应的IP。 防火墙命令为：iptables-I INPUT -s IP地址 -j DROP。 来源： https://www.cnblogs.com/liuhaidon/p/11880967.html

不是所有的防火墙都是万能的，无论是WAF( web应用防火墙 )还是 CDN ，每一种方案都有自己的优点和缺陷。这些防火墙并没有针对ddos做针对性的设计，所以难以承受大规模的ddos攻击。首先重要的一点是要注意防火墙的功能。防火墙在很多时候扮演网络安全员的角色，它允许好的数据包不受阻碍地访问服务器，并阻止坏的数据包访问网络，有助于检测进入的ddos攻击，但不能做出防御。 防火墙不能防御攻击的原因；防火墙容易被攻破。防火墙和防火墙和其他本地硬件具有有限的带宽，其中包括企业租用的带宽规模。许多企业从他们的互联网服务提供商(ISP)那里获得的带宽，在面对 ddos 攻击的大规模流量时，会变得不堪重负，甚至出现防御崩溃。 防火墙规则管理是抵御DDoS攻击的一种危险方法，因为如果罢工起初看起来像是合法的网络流量，防火墙可能会被愚弄，就像SYN Flood一样。而像影速科技香港高防服务器那样，提供深度报文检测，可针对性地调整流量清洗规则，为对抗各种类型的DDoS攻击提供了具体对策，与防火墙使用流量规则的静态操作有很大不同。因此，防火墙应该被认为是防御策略的一个部分，而不是一个完整的解决方案。 防火墙并非DDoS攻击的最佳防御策略。行业内越来越多专家建议企业使用全面的DDoS保护方案。随着攻击者不断转移和完善他们的策略，单单依靠防火墙防御DDoS已经不够了

云服务和网络正在推动数字业务的概念，但是传统的网络和网络安全架构远远不能满足数字业务的需求，黑客开始跨界攻击了，未来新技术领域物联网、车联网、区块链、人工智能设备等将受威胁。知名网络黑客安全专家，东方联盟创始人郭盛华透露：“网络安全的未来在云端 ”，在新的网络和安全模型的基础上进行云网络和安全转型的潜力。 该模型称为安全访问服务边缘（SASE），东方联盟网络安全研究人员声称，SASE有可能将已建立的网络和安全服务堆栈从数据中心中的一个堆栈转换为将身份的焦点转移到用户和端点设备的设计。SASE解决了使用云中使用的传统网络安全方法发现的众多问题。这些问题中的许多问题源于必须将网络安全体系结构置于数据中心连接中心的思想。 那些网络安全性的旧应用程序无法有效地支持更新的网络思想和用例，例如向动态服务，软件即服务（SaaS）应用程序的转变以及企业需要使用分布式数据的增长趋势。传统的网络和网络安全体系结构是为企业数据中心成为用户和设备访问需求的物理中心的时代而设计的。在推动数字化转型提出新要求之前，一种相对运作良好的模型。 随着企业采用数字业务流程以及边缘计算，云服务和混合网络，很明显，传统的网络和安全体系结构已开始在多个方面失败。传统架构的整体复杂性带来了问题，例如延迟，网络盲点，过多的管理开销以及随着服务变化而不断进行重新配置的需求

本文是《计算机网络》的自学课程，视频地址为： https://www.bilibili.com/video/av47486689。仅做个人学习使用，如有侵权，请联系删除 第七章：网络安全 安全分类 安全有： 数据安全（对文件的访问、储存） 应用程序安全（要确保应用程序是安全的） 操作系统安全（操作系统漏洞，要定时升级、设置用户权限） 网络安全：网络传输信息时的安全 物理安全 用户安全教育 本课程主要关注网络安全 网络安全问题概述 CAIN软件截获信息、篡改信息 CAIN只能对本网段起作用。 使用的原理依然是ARP欺骗 DNS劫持（修改DNS解析的结果） 如果交换机支持监视端口的功能的话，将该设备设置为内网的监视端口设备也能做的这样的效果 CAIN必须结合抓包工具来实现 CAIN只保留账号密码信息 DNS欺骗： DNS常常被用来做钓鱼网站 伪造 伪造身份，从而得以访问有访问控制的资源 例如设置网站只有特定ip才能访问： 直接访问就是这样的： 一般冒充设备要等到原设备关机等时候，防止出现冲突、露出马脚 这个不需要其他软件，直接改ip等就可以 中断 来源： https://baike.baidu.com/item/DoS%E6%94%BB%E5%87%BB DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击

1. 入侵检测系统(IDS) IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。 这些位置通常是：  服务器区域的交换机上；  Internet接入路由器之后的第一台交换机上；  重点保护网段的局域网交换机上。 2. 入侵防御系统(IPS) IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术

可以说比特币最大的创新是用非中心的方式解决了“双花问题”。之前已存在的交易系统，都是中心化的，由一个中心化的机构（例如银行）来管理记录一个账本，可以说非常简单粗暴的解决了“双花问题”，其安全保证是这个中心机构自身非常强大，很难攻破。而比特币解决“双花问题”，不是依靠单个节点的强大，而是依靠整个网络，通过整个网络维护一个公共的账本。 可以这样理解，中心化机构解决“双花”，不是因为它是中心化机构，不是因为它自身强大安全系数高，而是因为它知道所有人的交易。同一笔钱，A发B，A又发给C，系统因为掌握了所有的交易，所以能够检测出第二笔交易是非法交易。但是这个中心化机构的安全成本是非常高的。比特币为了解决“双花”，它的思路是，既然我单个节点不足以保证安全性，我就依靠整个网络来保证，我将每笔交易都告诉网络上所有的人（交易创建后会广播到全网），把整个网络看为一个中心化系统。这样这个网络知道所有的交易，“双花问题”就解决了。但是一个新的问题是，这么多节点（网络中可能存在恶意节点），到底谁说了算，于是POW共识算法诞生，由POW算法，随机的从分布式网络中选取一个节点，由这个节点处理交易（出新块，广播到全网，经过验证后加到最长链中，如果分叉，较短的链会被抛弃）。由于诚实节点拥有系统大部分的算力，恶意攻击者的拥有的算力少，其攻击链长度是很难超过正常链攻击成功的。其系统安全性，由整个网络的算力保证