我應該從哪裏說起?
一個簡短的網絡安全雜談
by Hash_Value
本土化 by Shirley
每個你可以找到的電腦論壇都充斥著有關駭客的問題,這在當下是幾乎無法避免的。現在,當 lainchan 項目變得龐大,我們發現在/cyb/板塊上出現駭客攻擊的頻率正在變大。所以,有人提起關於它們的問題時,請給他們推薦這個指南!
一般情況下,駭客有很多定義,他們的傾向各不相同,與其瞭解這些,我們還是直接談談攻擊性安全吧(我知道這正是你們想要的)。
首先,你將需要在編程、網絡和操作系統方面擁有基本但堅實的基礎,做到這些最好的方法就是實踐!我不是指某視頻平臺的營銷號和某些大學的計算機入門課程,因爲它們在大多數時間起不到太大的作用。個人認爲,要變成一個計算機高手,你需要使用你熟悉的程序碼構建一個有用的東西,它可以是一個游戲外挂,也可以是某種弱口令攻擊工具。它不必過於複雜,只需要有用即可。也許你會遇到奇怪的報錯以及奇怪的臭蟲(bug),現在你就需要求助20世紀最偉大的發明——搜索引擎,一般來説,簡單的搜索就可以解決問題。你可以從一些簡答的語法開始,然後用它來解決問題,不斷進步,最後嘗試挑戰更大的項目。另外,維護一個開源項目可能會有幫助,大家可以嘗試一下。
很多時候,你只需要了解一些簡單的腳本語言,比如Python和Ruby。如果你計劃構建一些複雜的項目,可以使用C或C++(其實,任何一個圖靈完備的語言都可以完成複雜的項目,但效率或穩定性會有所不同,請選擇最合適的),對於我個人,我傾向采用基於項目的方法進行訓練。你可以體會到各個部分是怎麽樣被最終結合在一起的,并且,作爲你學習的獎勵,你將會得到一個真正的程序,一個屬於你的程序。
接下來是網絡相關的知識,你需要了解數據包的移動方式,以及路由器和交換機是如何運作的!有許多教程可以學習,就像編程一樣。我的建議是訪問思科的網站,下載一個叫做Packet Tracer的小程序。這個工具模擬了創建一個網絡,雖然它沒有所有的安全措施,也無法提供實際的實戰經驗,不過,我認爲它是目前我使用的不錯的仿真器,我非常建議你測試它,因爲這樣很有趣。更進一步,你也可以購買一個二手的路由器和交換機,作爲更高級的伺服器暫時不是必要的,正常的家用pc對於練習已經足夠,除非你和Shirley一樣爲此發燒。
相信我,企業設備更新換代不會太快,你在這些設備上學習的技術可能需要10年甚至更長時間才可能會失效,所以不用擔心。除此之外,你還需要對端口和TCP握手有一個牢固的理解,建立這些理解對於14嵗的我都不需要太長時間,更何況你,你肯定可以的!
現在把話題轉到操作系統,主要有Windows、Mac os 和Linux這三個。在互聯網早期,如果你想進行任何駭客活動你就必須在Linux上進行。現在情況有所好轉,這裏就必須感謝努力的開發者了,大部分的攻擊工具都被移植到Windows和Mac上。然而,Linux仍然是你最好的選擇。無論你選擇使用哪個操作系統,你都必須學會Windows和Linux。為什麼呢?因為它們各自在伺服器市場擁有約一半份額,如果你計劃入侵其中一個,你必須學會兩者,包括Linux和Windows的伺服器版本。
另外就是網頁應用,自從Web 2.0的出現以來,HTML5網頁應用程式變得越來越受歡迎。你需要了解HTML(超文本標記語言)和JavaScript(一種客戶端腳本語言)。你還必須知道網站的運作方式,以及數據庫如何與網站互動。你可以從在虛擬機器中安裝LAMP(Linux-Apache-MySQL-PHP5)開始(我們稍後會討論),這裏我必須提到:藉助寶塔工具或類似軟件可能會提高效率,但會增加安全風險,請盡量不要在生產環境使用這類。
好的,現在你已經大致知道應該學什麼了,是時候進入有趣的部分了!
首先是一個老生常談的問題:“我需要使用一個專爲攻擊者準備的發行版嗎?” 事實上,你大可不必,特別是更換系統可能會導致嚴重損失時,其他時候就請吧,,,對於你想要下載一個測試發行版的唯一真正原因是,所有工具都在那裡,你不必浪費時間查找metasploit的所有依賴項,其實你就是懶!所以我給你的建議是:在移動硬盤上安裝專爲攻擊者準備的發行版,在需要時啓動即可,非常方便,用過的都説好!
好的,你現在擁有了所謂的網絡武器和使用它們的技能,現在你需要一個靶場!有的小夥伴會問:”爲什麽不去嘗試攻擊futarino或[插入其他主流網站名稱]?“ 那麽,我特別高興你在行動之前問我,因爲這是非法的,你可能會被關起來!我的建議是在本地搭建模擬現實的網絡服務,因爲這樣子幾乎沒有違法的風險,畢竟技術是無罪的,另外在出現問題時你可以隨時回滾,這非常棒!現在,許多人推薦VMware,但它是付費的,我認爲VMware真的很好用,然而,VirtualBox以開源和免費的優勢完成了同樣的事情。
嗯,這只是一個簡單的指南,非常簡陋粗糙。我對此非常抱歉,因爲全職上學和工作,所以在網上放一些廢話的機會很少。我本來還想做一個有關BeEF的入門指南,但發現要花的時間比我最初預計的要長。下次我會試試看,但不保證會公開。如果你想和我交流,隨時給我發Email;我喜歡學習新的東西。有可能我會在freenode的#lainchan頻道中潛伏。
