随着黑客技术的不断发展,人们越来越难以区分真实世界和恐怖电影之间的区别, 2016年的DDoS攻击事件更是加深了人们的这种感觉。
你相信么?事实上,我们的真实生活可能比好莱坞的恐怖电影更加可怕!当你家的物联网设备被黑客用来发动DDoS攻击时,你会不会觉得脊背一阵发凉,而显然目前的DDoS攻击现状不仅于此。
今年的BASHLITE或是Mirai僵尸网络已经让人们体验了利用物联网设备发起DDoS攻击的可怕性,但事情显然还没有完。Akamai高级安全倡导者Martin McKeay表示,2016年仅仅是一个过渡,更严峻的形势即将到来。接下来我们对2016年最严重的7起DDoS攻击事件进行盘点:
鼓励奖
获得奖励奖一般是一些未启动/未成功(Non-Starter)的DDoS攻击,对于它们而言,一旦生效就会造成毁灭性的后果。正如Dobbins在8月份的博客中写道,我们观察到攻击者正在强化他们在DDoS攻击方面的能力,一旦攻击启动就可以生成500GB/秒的持续性攻击,但是却没有人注意到这些。以下就列举出一些入围鼓励奖的攻击案例,希望引起大家的重视:
1)猖獗的勒索软件
2016年勒索软件确实带来了很多麻烦,最广为人知的就是好莱坞长老会医学中心的事件。今年2月,攻击者通过勒索工具入侵了医院网络系统,锁定医务人员的电脑并勒索9000比特币(约360万美元)作为解锁条件。
据报道,由于当时该医院的网络无法使用,还被迫将病人转送到其他医院,并希望在联邦调查局的帮助下恢复被锁定系统。但是一周之后问题依然没有解决,最终医院支付了攻击者17000美元才得以重新访问系统。这次事件虽然不能算是一次真正的DDoS攻击,但是却无疑是一场巨大的针对“可用性”的攻击活动。
PS:在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial ofService),即拒绝服务攻击,针对的目标正是“可用性”。
2)“放空弹”的DDoS勒索威胁
入围鼓励奖的此类DDoS威胁其实从未发生过。自今年3月初开始,有数百家公司收到了自称“无敌舰队”(Armada Collective)的团伙发出的威胁信,宣称要么支付10~50比特币(约4600~2.3万美元)的保护费,要么就等着面对1Tbps以上的DDoS攻击。
大部分公司不予理会,但有些公司认怂了。该团伙的比特币钱包地址显示,入账高达10万美元之巨。但那些拒绝支付保护费的公司至今尚未遭到攻击。
但是,有必要指出:不是所有的DDoS敲诈威胁都是狐假虎威的,当下还是有几个发出敲诈信的犯罪团伙会切实兑现自己的威胁的。
公司企业需要对DDoS攻击有所准备,但向敲诈低头绝对不是建议选项,因为这会鼓励更多网络罪犯参与到此类犯罪活动中来。而且一旦你向某个团伙支付了保护费,难保另一个团伙不会找上门来。
3)不存在的选举日DDoS攻击
入选鼓励奖的毁灭性攻击活动也从未发生过。“Mirai”攻击之后,Tripwire公司安全研究专家Travis Smith曾说,黑客们已经做好准备在选举日发动另一场DDoS攻击。这可能牵涉到那些针对性的服务,例如地图网站或者政府网站,它们会告诉投票者投票的地点。但McKeay表示:“我们并没有在选举日看到任何大规模的DDoS攻击行为,不过这也让我很担忧,是我们遗漏了什么吗?”其实此类针对系统的攻击行为目的之一就是干扰人们对系统的信任,这样攻击的威胁目的就达成了。(近日,美国怀疑三个摇摆省投票系统被黑客操纵,影响了票选结果,这是攻击威胁起作用了?)
4)BlackNurse攻击
上个月,安全研究人员发现了“BlackNurse Attack”——一种新型的攻击技术,可以发起大规模DDoS攻击,可以让资源有限的攻击者利用普通笔记本电脑让大型服务器瘫痪。
由于这种攻击并不基于互联网连接的纯泛洪攻击,专家将其命名为“BlackNurse”。BlackNurse与过往的ICMP泛洪攻击不一样,后者是快速将ICMP请求发送至目标;而BlackNurse是基于含有Type 3 Code 3数据包的ICMP。
丹麦TDC安全运营中心报告指出:
“我们注意到BlackNurse攻击,是因为在反DDoS解决方案中,我们发现,即使每秒发送很低的流量速度和数据包,这种攻击仍能使我们的客户服务器操作陷入瘫痪。这种攻击甚至适用于带有大量互联网上行链路的客户,以及部署防火墙保护的大企业。我们期望专业防火墙设备能应对此类攻击”。
7大DDoS攻击事件盘点
1. 暴雪DDoS攻击
今年4月,Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击,包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机,玩家无法登陆。名为“Poodle Corp”黑客组织也曾针对暴雪发起多次DDoS攻击,8月三起,另一起在9月。
攻击不仅导致战网服务器离线,平台多款游戏均受到影响,包括《守望先锋》,《魔兽世界》、《暗黑3》以及《炉石传说》等,甚至连主机平台的玩家也遇到了登陆困难的问题。
2. 珠宝店遭遇25000个摄像头组成的僵尸网络攻击
今年6月,一家普通的珠宝在线销售网站遭到了黑客的攻击,美国安全公司Sucuri在对这一事件进行调查时发现,该珠宝店的销售网站当时遭到了泛洪攻击,在每秒钟35000次的HTTP请求(垃圾请求)之下,该网站便无法再提供正常的服务。
当时,Sucuri公司的安全研究人员曾尝试阻止这次网络攻击,但是这一僵尸网络却进一步提升了垃圾请求的发送频率,随后该网络每秒会向该商店的销售网站发送超过50000次垃圾HTTP请求。
安全研究人员对此次攻击中的数据包来源进行分析后发现,这些垃圾请求全部来源于联网的监控摄像头,25000个摄像头组成僵尸网络发起DDoS攻击,成为已知最大的CCTV(闭路电视摄像头)僵尸网络。
3. Anonymous组织发起的“Operation OpIcarus”攻击
今年5月,Anonymous(匿名者)麾下的BannedOffline、Ghost Squad Hackers(幽灵黑客小队)等黑客小组,针对全球范围内的多家银行网站,发动了短期性网络攻击,Anonymous将此次攻击行动称为:“Operation OpIcarus”。
此次选定的攻击目标包括约旦国家央行、韩国国家央行、摩纳哥央行以及一些设立在摩纳哥的企业银行网站等,随后黑客们对其实施了一系列的DDoS攻击。这次攻击导致约旦、韩国以及摩纳哥等央行网络系统陷入了半小时的瘫痪状态,使其无法进行正常工作,而黑山国家银行网络系统则被迫关闭,停止服务。
4. 精准的NS1攻击
今年5月,DNS和流量管理供应商NS1(ns1.com)遭遇了历时10天的针对性大规模DDoS攻击,它通过执行上游流量过滤和使用基于行为的规则屏蔽了大部分攻击流量。
攻击者没有使用流行的DNS放大攻击,而是向NS1的域名服务器发送编程生成的DNS查询请求,攻击流量达到了每秒5000万到6000万 包,数据包表面上看起来是真正的查询请求,但它想要解析的是不存在于NS1客户的主机名。攻击源头也在东欧、俄罗斯、中国和美国的不同僵尸网络中轮换。
5. 五家俄罗斯银行遭遇DDoS攻击
11月10日,俄罗斯五家主流大型银行遭遇长达两天的DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不间断发动强大的DDOS攻击。
卡巴斯基实验室提供的分析表明,超过50%的僵尸网络位于以色列、台湾、印度和美国。每波攻击持续至少一个小时,最长的不间断持续超过12个小时。攻击的强度达到每秒发送66万次请求。卡巴斯基实验室还指出,有些银行反复遭受被攻击。
6. Mirai僵尸网络攻击KrebsonSecurity
Mirai是一个十万数量级别的僵尸网络,由互联网上的物联网设备(网络摄像头等)构成,8月开始构建,9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。
今年9月20日,安全研究机构KrebsonSecurity遭遇Mirai攻击,当时被认为是有史以来最大的一次网络攻击之一。然而没过多久,法国主机服务供应商OVH也遭到了两次攻击,罪魁祸首依然是Mirai。据悉,KrebsonSecurity被攻击时流量达到了665GB,而OVH被攻击时总流量则超过了1TB。
7. 美国大半个互联网下线事件
说起今年的DDOS攻击就不得不提Dyn事件。10月21日,提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击,攻击主要影响其位于美国东区的服务。
此次攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻击导致这些网站一度瘫痪,Twitter甚至出现了近24小时0访问的局面。
10月27日,Dyn产品部门执行副总裁ScottHilton签发了一份声明表示,Dyn识别出了大约10万个向该公司发动恶意流量攻击的来源,而它们全都指向被Mirai恶意软件感染和控制的设备。
Scott Hilton还深入剖析了本轮攻击的技术细节,称攻击者利用DNS TCP和UDP数据包发起了攻击。尽管手段并不成熟,但一开始就成功打破了Dyn的防护,并对其内部系统造成了严重破坏。该公司并未披露本次攻击的确切规模,外界估计它可能大大超过了针对OVH的那次DDoS攻击。(峰值达到了1.1Tbps,这也是迄今所知最大的一次DDoS攻击)
在这所有的攻击事件中,Herzberg最关注的问题是越来越多的僵尸网络开始利用物联网设备组建攻击,包括智能手机、摄像头等。他表示:
“如果我是攻击者,我也会对拥有一个移动僵尸网络非常感兴趣。”
事实上,互联网史上每一次大规模DDoS攻击,都能引发大动荡。
2013年3月的一次DDoS攻击,流量从一开始的10GB、90GB,逐渐扩大至300GB,Spamhaus、CloudFlare遭到攻击,差点致使欧洲网络瘫痪;
2014年2月的一次DDoS攻击,攻击对象为CloudFlare客户,当时包括维基解密在内的78.5万个网站安全服务受到影响,规模甚至大于Spamhaus,流量为400GB;
……
几年时间内,攻击流量从300G到400GB,如今已经以“T”级别来计算,DDoS攻击几乎在以飞跃式的速度增长,而随着技术发展,利用物联网设备组建僵尸网络发起攻击的现象也日益严峻,网络安全之路可谓任重道远,如何解决日益增多的难题成为未来网络安全发展的考验。
IT Goverance
Friday, December 9, 2016
Tuesday, May 10, 2016
内部渗透测试究竟应该怎么搞?
想查明你的网络在黑客攻击面前多么不堪一击,最好的办法就是请外部专家对它进行一次渗透测试。当然,你得请具备相应资质的第三方来帮助进行渗透测试。
可是请第三方进行渗透测试有两大缺点:
·费用高昂
·一旦你对自己的基础设施进行了变动,或者发现了影响基础设施的新安全漏洞,第三方渗透测试实际上“过时”了。
想避开这两个问题,一个办法就是自己执行渗透测试。
在继续探讨之前,有必要指出:自己执行渗透测试的效果比不上从外面请来专家,因为专家渗透测试需要经验、技能和创造力。可能只有专业的渗透测试人员(和专家黑客)才具备这些素质。即便你的安全团队有渗透测试方面的经验,但是许多专家还是认为,第三方以全新的视角打量你的网络,更有可能发现潜在问题。熟悉自己的网络实际上会让你看不到可能存在的安全漏洞。
不过,能够自行执行渗透测试仍是个好主意,因为只要你购买新设备、安装新软件,或者对网络进行其他的重大变动,你都可以运行测试,让你注意之前忽视的明显的安全漏洞。
内部渗透测试就好比出门之前,房子外面兜一圈,检查一下有没有窗户开着:这是一种明智的防范措施,几乎不需要什么花费。
渗透测试基础:7个步骤
最简单的渗透测试也包括许多步骤:
网络枚举和映射。这一步常常需要扫描端口,搞清楚网络的拓扑结构,并且查明哪些计算机连接到网络,查明它们提供哪些操作系统和服务。可能用来执行这项任务的最流行的工具非开源Nmap工具莫属,有时可通过Zenmap Gui来使用它。
侦察。这一步需要联系网络上的机器,获取来自这些机器的信息,比如它们运行的应用程序。侦察还需要上网搜索关于测试的那家企业组织的信息,比如查清楚IT员工和高管的姓名。这种信息对于实行社会工程学和网络钓鱼演练很有用(参阅下文)。这些人的社交媒体帐户也能透露经常用于密码中的一些信息,比如宠物名称。
网络嗅探。这一步用来检查网络上传输的流量,并且搜寻未加密数据,包括密码或VoIP流量。用于嗅探网络的事实上的标准是Wireshark(http://www.esecurityplanet.com/open-source-security/5-big-improvements-in-wireshark.html),这是另一款开源工具。
安全漏洞扫描。扫描可以发现任何机器有没有不安全的软件版本或者是可以钻空子的其他已知安全漏洞,或者发现任何无线接入点敞开还是存在弱密码。一种流行的开源安全漏洞扫描工具是OpenVAS(http://www.openvas.org)。还可以针对Web服务器使用其他比较专业的扫描工具,寻找安全漏洞,比如跨站脚本(XSS)错误。
专有的安全漏洞扫描工具可以改善开源扫描的效果,让你注意到哪些高危应用程序可能被人钻空子。
这包括:
·Nessus专业版
·Rapid7 Nexpose
·Qualys FreeScan
利用漏洞。渗透测试的这个阶段试图利用任何已知的安全漏洞,以获得系统的控制权。记住这一点很重要:虽然安全漏洞扫描可能会显示安全漏洞,但不是所有的安全漏洞都会被人成功利用,或者未必会导致重大泄密。像Metasploit(https://www.rapid7.com/products/metasploit/download.jsp)这样的漏洞利用框架含有现成漏洞数据库(它可以与安全漏洞进行比对),还有便于你自行制作并利用漏洞的工具。
许多安全系统可识别Metasploit漏洞,并将它们检测出来;值得一提的是,真正的黑客可能会改动自己的漏洞,所以别傻傻地以为:就因为你的安全系统可以防止Metasploit漏洞得逞,你的基础设施就高枕无忧了。
进一步攻击。一旦某个高危系统中招,你可以利用该机器进一步渗透到网络。比如说,如果可以访问某台服务器的密码文件,密码破解工具随后可以获得宝贵的密码。利用从侦察阶段获取的信息,这些密码随后可以用来闯入更多的系统,访问更多的数据。
密码破解工具包括离线的John the Ripper(http://www.openwall.com/john/),可用于处理从你测试的网络获取的密码文件,或者是在线的开源工具Hydra(https://github.com/vanhauser-thc/thc-hydra),这个具有并行运算功能的登录蛮力攻击工具会在很短的时间内尝试多个登录/密码组合,企图登录到ftp等服务。
网络钓鱼/社会工程学。要是不通过欺骗员工来获得访问权,看看有什么可以攻击的,任何渗透测试都是不完整的。这意味着发送网络钓鱼电子邮件,或者仅仅打电话,引诱对方泄露登录信息或其他敏感信息。
手动渗透测试和Linux发行版
想手动执行渗透测试,你就需要许多工具,包括上面所述的那些工具。想在一个地方拥有需要的所有工具,最好的办法就是下载一款开源Linux安全发行版。建议使用的发行版包括如下:
·Kali Linux(https://www.kali.org/downloads/)
·Pentoo(http://www.pentoo.ch/download/)
·Parrot Security OS(http://www.pentoo.ch/download/)
·BackBox(https://backbox.org/download)
·Samurai Web测试框架(https://sourceforge.net/projects/samurai/files/)
这些发行版含有数百个其他开源工具,这些工具可用于网络侦探和枚举、安全漏洞扫描、密码破解、无线安全审查及更多操作。
这些发行版存在的问题是,如果你不熟悉它们含有的工具,就很难知道该从哪里入手。一个解决办法就是接受全面的培训,熟悉安全发行版中含有的一些工具。
培训选项包括:
·Kali Linux渗透测试培训():这种学生自定进度的在线渗透测试课程专为想在渗透测试方面有所深造的网络管理员和安全专业人员设计。提供培训的是Offensive Security,它是Kali Linux的开发者,也是知名渗透测试培训和认证组织之一。
相关链接:https://www.offensive-security.com/information-security-training/penetration-testing-training-kali-linux/
·Metasploit Unleashed:Metasploit Unleashed道德黑客培训课程免费提供,可能是最全面、最深入的指南,面向大名鼎鼎的Metasploit Project渗透测试工具。
相关链接:https://www.offensive-security.com/metasploit-unleashed/
·InfoSec Institute的渗透测试在线培训。InfoSec Institute的渗透测试在线培训是一门全面的在线渗透测试课程,包含100多个模块,在线培训时长超过100个小时。由于需要学习大量材料,大多数学生需要整整60天才能学完课程。
相关链接:http://www.infosecinstitute.com/courses/penetration_testing_online.html
自动化渗透测试
想自行执行渗透测试,比较容易的办法就是使用自动化渗透测试工具,它会为你执行一些或所有这些步骤,你基本上不需要干预,或者使用向导来引导你。
这种方法的好处在于,它能显示你网络上比较直观的问题。另一个好处是,不大在行的黑客可能也会使用这样一些工具,所以在黑客之前运行这些工具,你就能缓解抢在黑客之前找到的任何问题。
不过,这些工具的功能有限。经验老道的黑客或渗透人员可能结合使用多种手法,包括网络钓鱼和社会工程学伎俩,突破你的防线大搞破坏,或者他们可能发现的某个安全漏洞需要非凡的创造力才能加以利用。自动化工具无法同样做到这点。
大多数自动化渗透软件是作为商用产品来提供的。这些软件包括:
·Rapid7 Metasploit(https://www.rapid7.com/products/metasploit/editions.jsp)
·Immunity Canvas(https://www.rapid7.com/products/metasploit/editions.jsp)
·Core Impact Pro(http://www.coresecurity.com/content/core-impact-overview)
渗透测试风险
在你考虑自行执行渗透测试之前,要小心哪里可能会出岔子。无论是手动还是自动,渗透测试都需要对网络进行测试和探测。这可能会降低网络速度,让计算机运行起来慢腾腾,或者导致一个或多个系统崩溃,从而可能干扰正常业务。
恶意软件逃避反病毒引擎的几个新方法
火眼研究人员发现的几种恶意软件样本使用了一些耐人寻味的技术,能够更长久地维持对反病毒引擎的隐身状态。
火眼公司刚刚发布了一个新的威胁分析专题,名为“端点上的幽灵”(https://www.fireeye.com/blog/threat-research/2016/04/ghosts_in_the_endpoi.html)。专题第一期中详细介绍了恶意软件使用的几种隐身技术。
研究人员分析了2015年上传到VirusTotal病毒扫描系统、并在2016年1月前成功保持未检测状态的恶意Win32二进制文件和Office、RTF、韩软Office (Hangul Word ProceSSOr)类型的文档。这项研究也罗列出了一小部分被反病毒引擎检测到、却使用了值得关注的绕过技术的恶意软件样本。
一、伪装Excel 利用Flash
火眼公司发现的其中一个威胁被认为是由攻击台湾的某APT小组使用的。在六个月时间内,它在VirusTotal上成功保持0/53的检测率。该恶意软件属于后门程序,被安全专家称为GoodTimes。它将自己伪装成Excel文件并利用 Hacking Team 数据泄露事件中流出的 Flash Player 漏洞进行入侵。
研究人员认为这一威胁并未被反病毒引擎检测到的原因在于:Flash漏洞嵌入在Excel文件中直接包含的ActiveX对象上,而不是在网页上托管。
二、垃圾代码做掩护
火眼发现的另一个威胁被认为是由黑客小组APT3使用的,它是UPS后门的一个变种。这种恶意软件也成功隐身了6个月,原因可能是该样本中包含巨量的垃圾代码,掩盖了其恶意软件的本质,并使得分析工作更难进行。
三、比特串串联
火眼在今年1月发现了一种包含VBA宏和Metasploit shellcode加载器后门的恶意软件,它仅被火眼使用的一个反病毒引擎检测到。这一威胁是在2015年9月上传到VirusTotal的,它有可能是中东的APT小组使用的。证据指向了与伊朗有关连的网络间谍小组Rocket Kitten。
由于VBA宏中使用了比特串串联(byte concatenation) 技术,该威胁可能绕过了基于签名的检测手段。
四、堆喷射技术隐身
最后一个与APT相关的恶意软件在六个月时间段内极少被检测到,它是通过韩软Office文档进行传播的,其目标可能是攻击韩国。研究人员认为该恶意软件有可能通过改造后的堆喷射技术做到了隐身,它可以使用一种不同的格式来触发想要利用的漏洞。
五、其他
火眼还发现了无法找到其来源的恶意软件,比如OccultAgent后门、一种用于攻击巴西的远程控制软件,以及一种在一年时间内保持隐身状态的恶意软件下载器。
这些威胁源使用的回避技术包括:使用多种脚本语言、多层封包、多阶段感染,外加多种通过Office文档加载恶意内容的技术。
火眼在发布的博文中说:“要想正确地做到检测,必须从攻击的整个生命周期上进行监控,而不是仅在可疑文档或文件进入网络时才提起注意。这种方式对于检测并拦截多阶段感染策略十分必要。尽管发送启用宏的表格文档等行为看上去是无害的,最终,后续攻击的某一步终将触发检测。”
“在攻击,甚至是多阶段攻击刚刚出现时,制止起来是最容易的。与此同时,也最容易确定是否存在零日漏洞、威胁源是否需要采取文档宏等用户交互手段完成攻击。”
Thursday, December 10, 2015
Saturday, July 18, 2015
I2P 的使用
★I2P是啥玩意儿?
I2P是洋文 Invisible Internet Project 的缩写。官方网站是 http://www.i2p2.de/,维基百科的介绍在“这里”。
I2P 在很多方面跟 TOR 相似——也是开源软件、也采用分布式、也强调隐匿性。
★I2P有啥特点?
◇安全性很强
为啥说 I2P 的安全性强捏?
在网络路由方式上,大名鼎鼎的 TOR 是洋葱路由,而 I2P 是大蒜路由。这个大蒜路由,据说是洋葱路由的改进版——安全性更好、隐匿性更强。
具体好在哪捏?简单说一下。
TOR 和 I2P 的相同点在于:
都是经过若干个网络节点来加密和中转数据,并防止你的真实 IP 暴露。
两者的差别在于:
TOR 使用同一条网络链路实现数据的发送和接收;
I2P 使用多条链路发送数据和接受数据——并且发送和接收数据的链路,数量可以是不同的。
两者在路由方式上的差异对比,请看如下示意图。更多的技术细节,俺就不展开了。大伙儿有兴趣的话,今后单独写篇博文。
◇很难被封杀
在抗封杀方面,I2P 比 TOR 要坚挺。
先说说 TOR 为啥被天朝封杀:
TOR 每次启动时,需要先连接到某个 TOR 的目录服务器,获取网络上可用节点的信息。由于目录服务器数量有限,GFW 就把互联网上所有的 TOR 目录服务器的 IP 地址都列入黑名单。后来,TOR 官网提供网桥中继,帮助网友接入 TOR 网络。但是捏,TOR 的网桥中继,数量依然不太多。据说 GFW 专门有人在盯着 TOR 官网更新的网桥中继地址——每次有新的中继地址贴出来,就列入黑名单。经过 GFW 的不懈努力,大部分 TOR 的网桥都被封杀。所以最近2年,TOR 在天朝内不太好使。
再看看 I2P 为啥封杀不了:
I2P使用 Kad 算法(用过电驴或电骡的网友,应该听说过)来获取网络节点的信息。这么做有几个好处:
1. 不需要目录服务器
2. Kad算法拿到的节点信息只是整个 I2P 网络的一小部分
3. 每一台运行 I2P 的主机都可以成为中继,帮别人转发数据(类似于 P2P 下载)
由于上述好处,GFW 很难把所有 I2P 节点都列入黑名单。
◇速度很慢
前面说的这些优点,导致了一个明显的副作用,就是速度慢。
速度慢是 I2P 为了安全性而不得不付出的代价。据俺亲自测试,0.9版本下载速度最多只有十几 KB/s 而已。如果是以前的版本,似乎还要慢 :(
★简明使用教程
◇准备工作
I2P 的官网老早以前就被 GFW 封了。所以你需要翻墙上“这里”,下载 I2P 的最新版本(目前是 0.9)。
由于 I2P 是用 Java 编写的,所以你本机需要安装 Java 的运行环境(JDK 或 JRE)。Java 的版本需要 1.5 或者更高(Java 官网的下载页面在“这里”)。
◇安装
安装的第一步会让你选语言,不懂洋文的同学,当然要选中文啦。安装步骤很简单,俺就不浪费口水了。
◇运行
安装完成后,会在开始菜单添加 I2P 的链接。点击相关菜单,就可以启动 I2P。
I2P 本身不提供 GUI 界面,但是提供 Web 界面。I2P 启动后,你只需在浏览器地址栏输入 http://127.0.0.1:7657/ 即可看到 I2P 的控制界面。
◇补种
注意!这步是关键,看仔细喽!
前面说了,I2P 是依靠 Kad 网络算法,通过不断扩散,来获取越来越多的节点信息。但是这个 Kad 网络算法不是万能的——它需要一些初始的种子,才能开始工作。在 I2P 的安装包中,已经内置了若干种子(节点信息)。但是天朝的 GFW 早就把这些内置的节点彻底封杀了。所以在天朝,第一次启动 I2P 会找不到网络。这时候就需要补种(补充种子),洋文叫 reseed。
通常来说,补种只需要做一次,之后你的 I2P 就可以一直联网了。如果你的 I2P 停了很长时间(几个月)没有运行,那么下一次运行的时候,可能会无法联网,这时候就需要再补种。
补种的方式有如下两个,请根据个人喜好任选一个。
1. 手动下载种子
请翻墙打开官网的种子列表(在“这里”),把页面上列出的大约20个种子下载下来。然后把下载的种子放到本机的 %APPDATA%\I2P\netDb 目录下(这个目录是 I2P 用来存放种子的)。再把 I2P 重新启动一下。
2. 通过代理补种
I2P 可以连接到它的官网去补种。但是 I2P 的官网被封。所以你需要在 I2P 的补种界面(http://127.0.0.1:7657/configreseed)添加代理,让 I2P 先暂时利用其它翻墙软件补充种子。
界面截图如下(具体的代理地址和端口,取决于你用的翻墙软件):
填好代理地址和端口之后,要记得点击 "保存修改+立刻开始网络引导" 按钮哦。
俺使用的是第二种方法,大约一柱香的功夫,找到200多个种子。请看下图:
(图中的 4 / 48 表示:最近一分钟内,跟4个节点有通讯;最近一小时内,跟48个节点有通讯)
如果 I2P 找到的活动节点太少(小于20个),你就让它一直开着。开的时间越长,它能找到越多的节点。
◇设置浏览器
一旦你的 I2P 接入网络,就可以利用 I2P 的代理来翻墙了。
I2P 默认提供 HTTP 代理(127.0.0.1:4444)和 HTTPS 代理(127.0.0.1:4445),配置如下图(以Firefox为例,其它浏览器大同小异):
◇翻墙测试
为了测试 I2P 的翻墙效果,俺去下载了几个翻墙软件。测试下来,最大下载速度只有 10 KB/s 左右。连接不稳定,有时候下载到一半就断掉。
假如哪位同学也尝试了 I2P,欢迎到俺博客留言,反馈你的使用情况(尤其是网速的情况)。
★总结——I2P能用来干啥?
在本文的末尾,俺稍微总结一下 I2P 的几种用途。
◇应急情况下,获取其它翻墙工具
对于普通的网友,平时是不需要用 I2P 的(因为速度太慢)。但是你最好在手头留一个可用的 I2P 软件,以防万一。说不定哪天,朝廷加大网络封锁力度,导致你正在用的翻墙软件失效,这时候你就可以用 I2P 去下载其它翻墙软件的最新版本。
◇匿名上网
俺个人觉得,用 TOR 搞多重代理,已经足以在天朝匿名上网了(虽然在天朝无法直接用 TOR,但 TOR 可以在其它翻墙工具的配合下建立连接)。不过捏,少数比较挑剔的网友,会嫌 TOR 还不够安全。对这些网友来说,I2P 是 TOR 的更安全替代品。
◇使用 I2P 应用
其实拿 I2P 来做代理,是杀鸡用牛刀。 当初开发I2P 的 主要目的,并不是为了提供翻墙代理,而是为了提供 “暗网”(洋文叫 darknet)。所谓的“暗网”,就是一个完全隐匿的,不受政府监管的,也不会被政府破坏的地下互联网。既然是“地下互联网”,常见的互联网应用(比如:邮件、论坛、聊天、博客、文件共享),I2P 网络上都有。在 I2P 网络使用这些应用,你的真实 IP 地址不会暴露,减低了跨省追捕的风险。
举个例子:假如你想成立一个地下组织,密谋颠覆朝廷。那就可以考虑让组织内的成员都采用 I2P 的网络应用——对隐藏真实 IP 很有效。
至于如何在 I2P 上使用各种应用,不是本文的主题。有兴趣的同学,请看官网的“中文 FAQ”。
最后,祝愿更多的天朝网友掌握翻墙姿势,早日呼吸到互联网上自由的空气。
-----------------------------------------------------------------------------
I2P是洋文 Invisible Internet Project 的缩写。官方网站是 http://www.i2p2.de/,维基百科的介绍在“这里”。
I2P 在很多方面跟 TOR 相似——也是开源软件、也采用分布式、也强调隐匿性。
★I2P有啥特点?
◇安全性很强
为啥说 I2P 的安全性强捏?
在网络路由方式上,大名鼎鼎的 TOR 是洋葱路由,而 I2P 是大蒜路由。这个大蒜路由,据说是洋葱路由的改进版——安全性更好、隐匿性更强。
具体好在哪捏?简单说一下。
TOR 和 I2P 的相同点在于:
都是经过若干个网络节点来加密和中转数据,并防止你的真实 IP 暴露。
两者的差别在于:
TOR 使用同一条网络链路实现数据的发送和接收;
I2P 使用多条链路发送数据和接受数据——并且发送和接收数据的链路,数量可以是不同的。
两者在路由方式上的差异对比,请看如下示意图。更多的技术细节,俺就不展开了。大伙儿有兴趣的话,今后单独写篇博文。
◇很难被封杀
在抗封杀方面,I2P 比 TOR 要坚挺。
先说说 TOR 为啥被天朝封杀:
TOR 每次启动时,需要先连接到某个 TOR 的目录服务器,获取网络上可用节点的信息。由于目录服务器数量有限,GFW 就把互联网上所有的 TOR 目录服务器的 IP 地址都列入黑名单。后来,TOR 官网提供网桥中继,帮助网友接入 TOR 网络。但是捏,TOR 的网桥中继,数量依然不太多。据说 GFW 专门有人在盯着 TOR 官网更新的网桥中继地址——每次有新的中继地址贴出来,就列入黑名单。经过 GFW 的不懈努力,大部分 TOR 的网桥都被封杀。所以最近2年,TOR 在天朝内不太好使。
再看看 I2P 为啥封杀不了:
I2P使用 Kad 算法(用过电驴或电骡的网友,应该听说过)来获取网络节点的信息。这么做有几个好处:
1. 不需要目录服务器
2. Kad算法拿到的节点信息只是整个 I2P 网络的一小部分
3. 每一台运行 I2P 的主机都可以成为中继,帮别人转发数据(类似于 P2P 下载)
由于上述好处,GFW 很难把所有 I2P 节点都列入黑名单。
◇速度很慢
前面说的这些优点,导致了一个明显的副作用,就是速度慢。
速度慢是 I2P 为了安全性而不得不付出的代价。据俺亲自测试,0.9版本下载速度最多只有十几 KB/s 而已。如果是以前的版本,似乎还要慢 :(
★简明使用教程
◇准备工作
I2P 的官网老早以前就被 GFW 封了。所以你需要翻墙上“这里”,下载 I2P 的最新版本(目前是 0.9)。
由于 I2P 是用 Java 编写的,所以你本机需要安装 Java 的运行环境(JDK 或 JRE)。Java 的版本需要 1.5 或者更高(Java 官网的下载页面在“这里”)。
◇安装
安装的第一步会让你选语言,不懂洋文的同学,当然要选中文啦。安装步骤很简单,俺就不浪费口水了。
◇运行
安装完成后,会在开始菜单添加 I2P 的链接。点击相关菜单,就可以启动 I2P。
I2P 本身不提供 GUI 界面,但是提供 Web 界面。I2P 启动后,你只需在浏览器地址栏输入 http://127.0.0.1:7657/ 即可看到 I2P 的控制界面。
◇补种
注意!这步是关键,看仔细喽!
前面说了,I2P 是依靠 Kad 网络算法,通过不断扩散,来获取越来越多的节点信息。但是这个 Kad 网络算法不是万能的——它需要一些初始的种子,才能开始工作。在 I2P 的安装包中,已经内置了若干种子(节点信息)。但是天朝的 GFW 早就把这些内置的节点彻底封杀了。所以在天朝,第一次启动 I2P 会找不到网络。这时候就需要补种(补充种子),洋文叫 reseed。
通常来说,补种只需要做一次,之后你的 I2P 就可以一直联网了。如果你的 I2P 停了很长时间(几个月)没有运行,那么下一次运行的时候,可能会无法联网,这时候就需要再补种。
补种的方式有如下两个,请根据个人喜好任选一个。
1. 手动下载种子
请翻墙打开官网的种子列表(在“这里”),把页面上列出的大约20个种子下载下来。然后把下载的种子放到本机的 %APPDATA%\I2P\netDb 目录下(这个目录是 I2P 用来存放种子的)。再把 I2P 重新启动一下。
2. 通过代理补种
I2P 可以连接到它的官网去补种。但是 I2P 的官网被封。所以你需要在 I2P 的补种界面(http://127.0.0.1:7657/configreseed)添加代理,让 I2P 先暂时利用其它翻墙软件补充种子。
界面截图如下(具体的代理地址和端口,取决于你用的翻墙软件):
填好代理地址和端口之后,要记得点击 "保存修改+立刻开始网络引导" 按钮哦。
俺使用的是第二种方法,大约一柱香的功夫,找到200多个种子。请看下图:
(图中的 4 / 48 表示:最近一分钟内,跟4个节点有通讯;最近一小时内,跟48个节点有通讯)
如果 I2P 找到的活动节点太少(小于20个),你就让它一直开着。开的时间越长,它能找到越多的节点。
◇设置浏览器
一旦你的 I2P 接入网络,就可以利用 I2P 的代理来翻墙了。
I2P 默认提供 HTTP 代理(127.0.0.1:4444)和 HTTPS 代理(127.0.0.1:4445),配置如下图(以Firefox为例,其它浏览器大同小异):
◇翻墙测试
为了测试 I2P 的翻墙效果,俺去下载了几个翻墙软件。测试下来,最大下载速度只有 10 KB/s 左右。连接不稳定,有时候下载到一半就断掉。
假如哪位同学也尝试了 I2P,欢迎到俺博客留言,反馈你的使用情况(尤其是网速的情况)。
★总结——I2P能用来干啥?
在本文的末尾,俺稍微总结一下 I2P 的几种用途。
◇应急情况下,获取其它翻墙工具
对于普通的网友,平时是不需要用 I2P 的(因为速度太慢)。但是你最好在手头留一个可用的 I2P 软件,以防万一。说不定哪天,朝廷加大网络封锁力度,导致你正在用的翻墙软件失效,这时候你就可以用 I2P 去下载其它翻墙软件的最新版本。
◇匿名上网
俺个人觉得,用 TOR 搞多重代理,已经足以在天朝匿名上网了(虽然在天朝无法直接用 TOR,但 TOR 可以在其它翻墙工具的配合下建立连接)。不过捏,少数比较挑剔的网友,会嫌 TOR 还不够安全。对这些网友来说,I2P 是 TOR 的更安全替代品。
◇使用 I2P 应用
其实拿 I2P 来做代理,是杀鸡用牛刀。 当初开发I2P 的 主要目的,并不是为了提供翻墙代理,而是为了提供 “暗网”(洋文叫 darknet)。所谓的“暗网”,就是一个完全隐匿的,不受政府监管的,也不会被政府破坏的地下互联网。既然是“地下互联网”,常见的互联网应用(比如:邮件、论坛、聊天、博客、文件共享),I2P 网络上都有。在 I2P 网络使用这些应用,你的真实 IP 地址不会暴露,减低了跨省追捕的风险。
举个例子:假如你想成立一个地下组织,密谋颠覆朝廷。那就可以考虑让组织内的成员都采用 I2P 的网络应用——对隐藏真实 IP 很有效。
至于如何在 I2P 上使用各种应用,不是本文的主题。有兴趣的同学,请看官网的“中文 FAQ”。
最后,祝愿更多的天朝网友掌握翻墙姿势,早日呼吸到互联网上自由的空气。
-----------------------------------------------------------------------------
Quote:
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
http://program-think.blogspot.com/2012/06/gfw-i2p.html
Friday, April 24, 2015
关于近期社保数据泄露..
首先说明:我是一名IT男屌、打杂工、专业搬砖,业余爱好:装逼、瞎折腾、业余白帽子。非常乐意和论坛的朋友一起学习交流...
本来网络安全是一件很严肃的事情,但是偏偏国内网络安全风险确是遍地开花。在两个比较知名的漏洞提交平台乌云、360补天每天都会有大量漏洞提交,其中不缺乏上市企业、政府机构、教育机构等影响范围比较大的漏洞。
为何每天都有数百成千的漏洞爆出,这着实让人感到震惊。很多人都说计算机行业已经处于饱和状态,那说明IT人员很多哇...但是真正作为一名合格的IT管理员又有多少呢?
当你在每天忙碌着写各种文案、标书、网络设计的同时是否有过关注网络安全?还只是单纯的停留在防火墙、上网认证等那些硬件配置上?
网络安全本身就是一个很广的范围,软件程序漏洞、网络设计漏洞、WEB站点漏洞、硬件设计缺陷......其实这些都是和网络相关,那么作为一名IT管理员是否应该经常关注这些安全风险同时并结合自身网络环境进行安全巡查修补。答案是很多都忽略这点...
网络的不断发展,新技术不断更新,需要不断学习来掌握其中知识。本来就已经很疲惫的IT人员还得面临着各种网络安全威胁,说到底,这其实还是一种意识和习惯问题。就拿这次大规模政府机构敏感数据泄露问题来说,其实很多都不是比较高深的网络安全风险、甚至是已经在网络上流传开的漏洞,却依然造成了如此之大的数据泄露风险。很简单,就是因为企业、机构的IT管理员平常都不关注网络安全,有些甚至根本不知道入侵、渗透、注入等名词。
举个真实例子来讲:
某天在访问某企业的官网时,通过了解这家企业还是做的还是蛮大的,有很多大型项目、自主开发的程序。既然是大公司就来个安全检测套餐吧,一番云雨后并没有什么收获其中检测了OA、邮件系统、官方网站、及其他一些杂项...好吧突发奇想,看到有ssl vpn果断尝试下。
duang的一下就进去了,吓得我赶紧穿好了裤子开上台式拖拉机。居然VPN有弱口令 test admin 两个账号。抽根软白沙压压惊...因为vpn中发布了8个内网web程序,接着再是一番云雨拿到一台财务报表服务器,很显然这程序已经是烂大街的洞了,居然管理员没做任何修复,也许觉得是内网吧。duangduangduang...顺利提权进入服务器,因为有了VPN,同样处于内网环境。给3389端口来了一记组合拳,顺利拿下了服务器并获取了管理员密码...发现这台服务器上面数据不是很多。于是乎想着来个内网渗透吧...各种扫描端口尝试攻击,最后是又拿到了两台服务器。这尼玛有点诡异啊...居然管理员账号都是一样的,好吧瞬间懂了这管理员应该是领导级的,还是域账号...又是duangduangduang接下来的事情让你更吃惊,总共内网35台服务器...每台都可以用这个账号进行登录。数据量已经扰乱了我的眼...各种项目文件、标书、商业机密资料、还有核项目文件....顺势整个内网设备FW、ROUTER、Switch、存储、虚拟化都被拿下了。好吧已经是凌晨3点了,再来一根软白沙压压惊。看着这么多数据,动不得,只能围观一下...毕竟是安全检测点到为止...因为我还想去外面的世界走走
通过上面这个案例其实就已经暴漏出了企业网络中存在着各种安全风险,也许你外围安全做的很好,但依旧还是存在着家贼的风险。这样的案例并不少,至少我也见了很多了...
导致这些数据泄露的原因,头奖依旧要属于弱口令、其次是web程序设计缺陷存(SQL注入、XSS)、然后是服务器配置不当(随意开放端口、目录浏览)、接着是不作为(满足现状,使用老旧程序、不会及时更新修补)。和网络技术一样,入侵手段也是多种多样,每一样都会给你致命一击。
希望管理员们能够引起重视,加强自身技术的同时也不要忘记网络安全,要养成良好的安全意识,加强自家企业的网络安全,定期巡检写报告。网络安全不是一朝一夕,是一个持久性的过程。
好久都没写这么多文字...感觉有点自己都看不下去的样子,如有不对的地方还请见谅。因为我也只是一个业余的白帽子,也是一个底层IT屌丝。
我就是Marlboro,那么我也头一次上新闻混个脸熟....O(∩_∩)O哈哈哈~
这一段,小编把我写到高潮了...
让Marlboro印象尤为深刻的是,前段时间对某省卫计委的一次安全检测只用了30分钟。“全省人口的医保信息、医保卡金额、医疗药品等等敏感数据就泄露了,当然其中也有我的”,他说,湖南省卫计委后来低调修复,没有在平台上更新告知白帽子们。
新闻-搜狐:http://news.sohu.com/20150424/n4 ... qq-pf-to=pcqq.group
新闻-凤凰:http://tech.ifeng.com/a/20150424/41066412_0.shtml
本来网络安全是一件很严肃的事情,但是偏偏国内网络安全风险确是遍地开花。在两个比较知名的漏洞提交平台乌云、360补天每天都会有大量漏洞提交,其中不缺乏上市企业、政府机构、教育机构等影响范围比较大的漏洞。
为何每天都有数百成千的漏洞爆出,这着实让人感到震惊。很多人都说计算机行业已经处于饱和状态,那说明IT人员很多哇...但是真正作为一名合格的IT管理员又有多少呢?
当你在每天忙碌着写各种文案、标书、网络设计的同时是否有过关注网络安全?还只是单纯的停留在防火墙、上网认证等那些硬件配置上?
网络安全本身就是一个很广的范围,软件程序漏洞、网络设计漏洞、WEB站点漏洞、硬件设计缺陷......其实这些都是和网络相关,那么作为一名IT管理员是否应该经常关注这些安全风险同时并结合自身网络环境进行安全巡查修补。答案是很多都忽略这点...
网络的不断发展,新技术不断更新,需要不断学习来掌握其中知识。本来就已经很疲惫的IT人员还得面临着各种网络安全威胁,说到底,这其实还是一种意识和习惯问题。就拿这次大规模政府机构敏感数据泄露问题来说,其实很多都不是比较高深的网络安全风险、甚至是已经在网络上流传开的漏洞,却依然造成了如此之大的数据泄露风险。很简单,就是因为企业、机构的IT管理员平常都不关注网络安全,有些甚至根本不知道入侵、渗透、注入等名词。
举个真实例子来讲:
某天在访问某企业的官网时,通过了解这家企业还是做的还是蛮大的,有很多大型项目、自主开发的程序。既然是大公司就来个安全检测套餐吧,一番云雨后并没有什么收获其中检测了OA、邮件系统、官方网站、及其他一些杂项...好吧突发奇想,看到有ssl vpn果断尝试下。
duang的一下就进去了,吓得我赶紧穿好了裤子开上台式拖拉机。居然VPN有弱口令 test admin 两个账号。抽根软白沙压压惊...因为vpn中发布了8个内网web程序,接着再是一番云雨拿到一台财务报表服务器,很显然这程序已经是烂大街的洞了,居然管理员没做任何修复,也许觉得是内网吧。duangduangduang...顺利提权进入服务器,因为有了VPN,同样处于内网环境。给3389端口来了一记组合拳,顺利拿下了服务器并获取了管理员密码...发现这台服务器上面数据不是很多。于是乎想着来个内网渗透吧...各种扫描端口尝试攻击,最后是又拿到了两台服务器。这尼玛有点诡异啊...居然管理员账号都是一样的,好吧瞬间懂了这管理员应该是领导级的,还是域账号...又是duangduangduang接下来的事情让你更吃惊,总共内网35台服务器...每台都可以用这个账号进行登录。数据量已经扰乱了我的眼...各种项目文件、标书、商业机密资料、还有核项目文件....顺势整个内网设备FW、ROUTER、Switch、存储、虚拟化都被拿下了。好吧已经是凌晨3点了,再来一根软白沙压压惊。看着这么多数据,动不得,只能围观一下...毕竟是安全检测点到为止...因为我还想去外面的世界走走
通过上面这个案例其实就已经暴漏出了企业网络中存在着各种安全风险,也许你外围安全做的很好,但依旧还是存在着家贼的风险。这样的案例并不少,至少我也见了很多了...
导致这些数据泄露的原因,头奖依旧要属于弱口令、其次是web程序设计缺陷存(SQL注入、XSS)、然后是服务器配置不当(随意开放端口、目录浏览)、接着是不作为(满足现状,使用老旧程序、不会及时更新修补)。和网络技术一样,入侵手段也是多种多样,每一样都会给你致命一击。
希望管理员们能够引起重视,加强自身技术的同时也不要忘记网络安全,要养成良好的安全意识,加强自家企业的网络安全,定期巡检写报告。网络安全不是一朝一夕,是一个持久性的过程。
好久都没写这么多文字...感觉有点自己都看不下去的样子,如有不对的地方还请见谅。因为我也只是一个业余的白帽子,也是一个底层IT屌丝。
我就是Marlboro,那么我也头一次上新闻混个脸熟....O(∩_∩)O哈哈哈~
这一段,小编把我写到高潮了...
让Marlboro印象尤为深刻的是,前段时间对某省卫计委的一次安全检测只用了30分钟。“全省人口的医保信息、医保卡金额、医疗药品等等敏感数据就泄露了,当然其中也有我的”,他说,湖南省卫计委后来低调修复,没有在平台上更新告知白帽子们。
新闻-搜狐:http://news.sohu.com/20150424/n4 ... qq-pf-to=pcqq.group
新闻-凤凰:http://tech.ifeng.com/a/20150424/41066412_0.shtml
Thursday, December 4, 2014
300 Unknown Malware. Nailed with Check Point Threat Prevention Industry's best catch rate from Check Point Website
From Check Point page, found some interesting words based on recent 300 Unknown malware test:
Reference:
300 Unknown Malware. Nailed with Check Point Threat Prevention Industry's best catch rate
In recent benchmark testing, 300 malicious files were scanned through Check Point Threat Emulation and other competitive products. The results found that Check Point outperformed all of the others.
HOW WE STACK UP
TO THE COMPETITION
TO THE COMPETITION
SECURITY FINDINGS
ONLY Check Point caught ALL
300 Unknown Malware files.
Malware comes in all sizes.
Palo Alto Networks limits you to 1MB for PDF files.
Prevention
is more important than detection.
Palo Alto Networks and Fortinet only detect but cannot prevent unknown malware.
It is critical to scan inside SSL traffic.
FireEye does not scan inside SSL traffic.
Archived files need to be inspected.
Palo Alto Networks could not inspect .rar files.
Malware can propagate very quickly.
Real-time protection is required
Palo Alto Networks takes 30 minutes to update signatures.
Fortinet takes even longer.
Multi-protocol scanning
in one appliance
saves on total cost of ownership.
FireEye needs a separate appliance for email protection
and for web protection.
Reference:
300 Unknown Malware. Nailed with Check Point Threat Prevention Industry's best catch rate
Subscribe to:
Posts (Atom)