8种机械键盘轴体对比

本人程序员，要买一个写代码的键盘，请问红轴和茶轴怎么选？

实验目的通过学习wireshark分析网络钓鱼

实验工具wireshark：Beyond Compare是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换，是目前全世界最广泛的网络封包分析软件

实验文件：Lab38-1.pcap

实验内容

实验步骤

步骤1：下载实验文件

请访问http://file.ichunqiu.com/228acbf4下载实验文件。小i提示：在本次实验中,请注意实验工具、实验文件存放路径,不同的文件路径可能会出现不一样的实验结果。

在实验环境中无法连接互联网，请使用您本地的网络环境。

步骤2：数据包分析

我们的捕获文件是从用户单击钓鱼邮件中的连接的那一刻开始，也就是实验文件Lab38-1.pcap。在这个捕获文件中，最开始是以受害者(192.168.100.206)和攻击者(192.168.100.202)之间的TCP三次握手开始的。初始化连接所使用的是80号端口，也就说明了这是HTTP的流量。关于这一点，可以从第四个数据包中证实，它是一个对/info的HTTP GET请求(注意这是由受害者向攻击者发出的)：

攻击者在收到了GET请求之后，就会在6号数据包中返回一个302 Moved信息，这会使得浏览器被重定向到另一个页面。而与302一起来的还有一个Location域，它指明了重定向的位置：

接下来，客户端在收到HTTP 302数据包后，在7号数据包中初始化了另一个针对重定向网站URL的GET请求，之后的8号数据包，攻击者向受害者发送了一个ACK数据包，接下来的数据包则是由攻击者发往受害者的数据。那么为了更好地分析这些数据，我们可以用鼠标右键单击TCP流中的任何一个数据包，选择Follow TCP Stream：

在这个对话框中，我们看到了初始GET请求，302重定向以及第二个GET请求。接下来我们可以发现一大段非常奇怪的内容。它们是位于[removed]标签内的一系列随机的数字和字母。HTML中的[removed]标签表示这是一种脚本语言。在这个标签里面，正常来说是应当看到一些脚本语句的。但是这些乱码表明真正的内容可能已经被加密了。不过由于我们已经知道了攻击者其实是在利用IE浏览器的漏洞，从而实施攻击。那么我们可以假设这段乱码很可能包含有 shellcode。在这段乱码的后面，我们就可以看到一些可读的文本：

即便我们不懂这种脚本语言，但是通过英文单词(String.fromCharCode)也可以猜测这段代码其实是在执行字符串的操作，而这段脚本也在[removed]的标志位置结束了。

接下来的位置内容，同样是攻击者发给受害者的内容，这些内容有可能是恶意行为的标志，这里面包含有难以分辨的随机字符串或者是经过加密的文本。

在标签中包含了一个iframe，这是攻击者常用的手法，用于在HTML的页面中嵌入额外的内容。标签创建了一个内联帧，不会被用户所察觉。这里的标签引用了一个名字古怪的GIF文件。当受害者的浏览器发现对这个文件的引用时，就会利用21号数据包发送一个GET请求，接下来的23号数据包就说明这个文件被传送过来了。而这个GIF文件很可能被用来以某种方式，来触发受害者计算机中的漏洞。

接下来的25号数据包，受害者尝试连接攻击者的4321号端口。关于这个TCP流的具体信息，我们依旧可以查看Follow TCP Stream：

值得我们注意的是，这里出现了Windows的命令提示符。这个shell是由受害者发给攻击者的，说明攻击者成功利用了漏洞。一旦漏洞利用程序启动，受害者就会给攻击者发送命令提示符。可以看到，红色部分是由受害者发出的，蓝色部分是由攻击者发出的。攻击者在这里发来了一个dir指令，于是就看到了受害者计算机中的内容。

此时的攻击者就会对受害者的计算机获取控制权限，他几乎可以做任何事情。受害者起初不过是点了几下鼠标，几秒钟之内就把计算机的控制权交给了攻击者。

实验结果分析与总结

类似于我们这次所讨论的漏洞利用程序，在网络上传输时通常都会经过编码加密成不可识别的形式，以避免被入侵检测系统(IDS)发现。就这次的情况而言，在没有对这个漏洞利用程序的进一步了解，也没有该程序的样本的情况下，很难说清楚受害者的系统上到底发生了什么。但是依旧可以在Wireshark所捕获到的数据包中发现恶意程序的一些蛛丝马迹。这包括[removed]标签里面的一些混淆文本、奇怪的iframe以及命令提示符。

我们这里可以总结一下这次的漏洞利用程序的工作原理： 1、受害者收到一封来自攻击者的邮件，虽然邮件看起来合理，但是事实上却是网络钓鱼，单击里面的一个连接，就会向攻击者的恶意网站发送一个GET请求(4号数据包)。 2、攻击者的Web服务器向受害者发出302消息以进行重定向(6号数据包)，受害者的浏览器就会执行重定向，发起一个GET请求(7号数据包)。 3、攻击者的Web服务器向客户端发送一个含有混淆的JavaScript(包含一个漏洞利用程序)的Web页面，以及一个含有恶意GIF图像连接的iframe(9号数据包)。 4、受害者向恶意gif文件发起一个GET请求，将它从服务器上下载下来(21号数据包)。 5、利用IE浏览器的漏洞，让恶意文件在受害者机器上运行，触发漏洞。 6、一旦漏洞被成功利用，攻击者就能够通过命令提示符输入命令，获得受害者计算机的控制权。

为了防御这种攻击，我们可以通过这个捕获文件为IDS创建一个特征，可以有助于检测这种攻击。比如，我们可以找到捕获文件中没有被混淆的部分，比如[removed]标签里面末尾出的明文代码。或者为所有包含302重定向到特定URL的HTTP流量设置一个特征。这是预防网络未知威胁的有效手段。有兴趣的朋友可以参考关于Snort特征的相关资料，也可以学习《恶意代码分析实战》的相应内容。而下节课也会对Snort特征的知识有所涉及。

第1题：我们本次的案例属于一种()攻击?

漏洞利用

病毒

木马

ARP欺骗

A

第2题：为了使得受害者下载GIF文件，需要利用()方式?

重定向

SQL注入

ARP欺骗

中间人攻击

A

第3题：攻击者常用()在HTML的页面中嵌入额外的内容

body

span

iframe

script

C

第4题：为了防御这种攻击，我们可以通过这个捕获文件为IDS创建一个()，可以有助于检测这种攻击。

特征