《網絡攻防第九周做業》

1、教材學習

第九章：惡意代碼安全攻防

惡意代碼指的是使計算機按照攻擊者的意圖執行以達到惡意目標的指令集。惡意代碼的執行目標是由編寫者決定，知足他們心理上或利益上的一些需求，典型的攻擊目標包括：

（1）單純的技術炫耀或惡做劇；

（2）遠程控制被攻擊主機，使之能成爲攻擊者的傀儡主機，知足其實施跳板攻擊或進一步傳播惡意代碼的須要；

（3）竊取私人信息（如用戶帳號/密碼，信用卡信息等）或機密信息（如商業機密、政治軍事機密等）；

（4）竊取計算、存儲、帶寬資源；

（5）拒絕服務、進行破環活動（如破環文件/硬盤/BIOS等）。

惡意代碼類型：計算機病毒、蠕蟲、惡意代碼、後門、特洛伊木馬、殭屍程序、內核嵌套融合型惡意代碼。

最後介紹了惡意代碼的分析，包括靜態分析和動態分析。

第十章：軟件安全攻防——緩衝區溢出和Shellcode

首先介紹了軟件安全漏洞威脅和類型，而後介紹了緩衝區溢出基本概念，緩衝區溢出是計算機程序中存在的一類內存安全違規類漏洞，在計算機程序特定緩衝區內填充數據時，超出了緩衝區自己容量，致使外溢數據覆蓋了相鄰內存空間的合法數據，從而改變程序執行流程破環系統運行完整性。其次介紹了Linux平臺上的棧溢出與shellcode，Linux平臺上的棧溢出攻擊按照攻擊數據的構造方式不一樣，主要有NSR、RNS、和RS三種模式。最後介紹了緩衝區溢出攻擊的防護技術。

2、kali視頻學習

第36節 壓力測試工具
一、VoIP壓力測試工具


web壓力測試：

二、thc-ssl-dos

的驗證。
三、dhcpig 嘗試耗盡全部IP地址
四、ipv6工具包
五、inundator IDS/IPS/WAF壓力測試工具
耗盡對方說的日誌資源。

六、macof
可作泛紅攻擊


八、t50壓力測試

九、無線壓力測試
mdk3和reaver

第37節 數字取證工具

數字取證技術是將計算機調查和分析技術應用於對潛在的、有法律效力的電子證據的肯定與獲取，一樣他們都是針對黑客和入侵目的的。目的都是保證網絡的安全。

一、PDF取證工具

二、反數字取證chkrootkit

三、內存取證工具

四、取證分割工具集binwalk

可解壓文件。作文件格式分析的工具。
五、取證哈希驗證工具集

六、取證鏡像工具集
主要是對鏡像文件的取證分析。主要分析鏡像中的目錄等信息。
七、數字取證套件
autopsyhttp://localhost:9999/autopsy訪問本地的9999端口


dff 圖形界面

第38節 kali報告工具與系統服務


在線筆記。
二、keepnote
/
三、媒體捕捉cutycapt
四、
/
六、magictree


七、文件加密工具 truecrypt

八、系統服務

九、kali下的其餘工具

實踐做業 p379

取證分析實踐
問題1-IRC通常使用哪些TCP端口
IRC服務器一般在6667端口監聽，也會使用6660—6669端口
攻擊者濫用IRC構建僵屍網絡時，可能使用任意的端口構建IRC僵屍網絡控制信道
基於端口識別服務再也不可靠
基於應用協議特徵進行識別
IRC: USER/NICK等註冊命令

問題2-僵屍網絡是什麼
僵屍網絡（botnet）僵屍網絡(BotNet): 攻擊者出於惡意目的，傳播殭屍程序控制大量主機，並經過一對多的命令與控制信道所組成的網絡。
定義特性：一對多的命令與控制通道的使用
惡意性
網絡傳播特性
殭屍程序(Bot)
Robot演化過來的詞彙，攻擊者用以控制傀儡主機的程序
殭屍主機(Zombie，或稱爲傀儡主機、肉雞)
僵屍網絡演化：傳統IRCHTTP & P2P
目前最流行的是Storm worm

問題2-僵屍網絡一般用於什麼僵屍網絡危害－提供通用攻擊平臺分佈式拒絕服務攻擊發送垃圾郵件竊取敏感信息點擊欺詐