信息安全工程第二课.pdfVIP

《信息安全工程》实验指导书 目录 实验一 敏感信息搜集 2 【实验目的】 2 【实验学时】 2 【实验类型】 2 【背景知识】 2 【实验步骤】 3 【思考问题】 8 实验二 钓鱼式攻击手法 9 【实验目的】 9 【实验学时】 9 【实验类型】 9 【背景知识】 9 【实验步骤】 10 实验三 Windows 口令破解 15 【实验目的】 15 【实验学时】 15 【实验类型】 15 【相关知识】 15 【实验步骤】 16 实验四 密码心理学攻击 18 【实验目的】 18 【实验学时】 18 【实验类型】 18 【背景知识】 18 【实验步骤】 22 【思考问题】 24 实验一 敏感信息搜集 【实验目的】 ● 理解社会工程学的概念 ● 掌握获取敏感信息的方法 ● 提高自我信息保护的意识和方法 【实验学时】 1 学时 【实验类型】 验证型 【背景知识】 一. 什么是社会工程学 著名黑客 KevinMitnick 在上世纪 90 年代让“黑客社会工程学”这个术语流行了起来， 不过这个简单的概念本身（引诱某人去做某事，或者泄露敏感信息）却早有年头了。专家 们认为，如今的黑客仍在继续采用黑客社会工程学的新老伎俩盗窃密码、安装恶意软件或 者攫取利益。 社会工程学(SocialEngineering)，一种通过对受害者心理弱点、本能反应、好奇心、 信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。它并不能 等同于一般的欺骗手法，社会工程学尤其复杂，即使自认为最警惕最小心的人，一样可能 会被高明的社会工程学手段损害利益。 二. 社会工程学攻击的特点 社会工程学通常是利用大众对陌生人疏于防范和容易轻信他人的特点，施展诡计让受 害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏 感的信息，例如：用户名单、用户密码及网络结构，即使很警惕很小心的人，一样也有可 能被高明的社会工程学手段损害利益，可以说是防不胜防。网络安全是一个整体，对于某 个目标在久攻不下的情况下，黑客会把矛头指向目标的系统管理员，因为人在这个整体中 往往是最不安全的因素，黑客通过搜索引擎对系统管理员的一些个人信息进行搜索，比如 电子邮件地址、MSN、QQ 等关键词，分析出这些系统管理员的个人爱好，常去的网站、论 坛，甚至个人的真实信息。然后利用掌握的信息与系统管理员拉关系套近乎，骗取对方的 信任，使其一步步落入黑客设计好的圈套，最终造成系统被入侵。这也就是我们常说的“没 有绝对的安全，只有相对的安全，只有时刻保持警惕，才能换来网络的安宁”。 熟练的社会工程学使用者都擅长进行信息收集，很多表面上看起来一点用都没有的信 息都会被这些人利用起来进行渗透。比如说一个电话号码，一个人的名字，或者工作 ID 的号码，都可能被利用起来。举个例子，比如说一个社会工程学使用者想从一家信用卡公 司获取一些情报，但是又没有相关的证明证明他可以合法的从这家公司拿到这些情报。这 时候，他就可以利用社会工程学，从和这家信用卡公司相关的银行收集相关的信息从而达 到他的目的。比如说冒充这家银行从信用卡公司取得信息，例如文件或者 ID 号码证明之类， 又或者是经常与信用卡公司进行业务联系的职员的姓名等等。现在的很多公司为了方便和 快捷，在一些服务上会采用电话服务，这样就更容易让这些攻击者有机可乘，只需提供从 银行获得的相关资料，信用卡公司就会把一些敏感的信息给予攻击者。 三. 如何保护个人敏感信息 (1) 在上网的时候要有自我保护意识，如果出现一些不熟悉、不知名的网站，最好不 要进入，因为这些网站中往往就隐藏着陷阱。事实上，当您上网浏览的时候，尤其是需要 发送某些包含个人隐私信息的时候，很容易在所经过的网络上留下自己的踪迹，如果这些 蛛丝马迹不幸被黑客截获并加以利用，后果可想而知。尤其是现在，电子商务蓬勃发展， 在一些商务网站购物时，有时需要注册成为某些网站的会员，这时就存在隐私保护的问题， 有些不必要填写的隐私最好不要写。不少网迷在电子银行开设