社會工程學的四蜜體系有什麼用? GFW真的那麼神奇嗎?
今天不講政治,講點別的,講講社會工程學中的四密體系的分別作用(近身蜜點、前置蜜庭、外溢蜜洞、中樞蜜陣。)講白了就是中國工程院方濱興提出的盾立方,主動防禦架構裡的一套誘捕系統,用來抓駭客、分析攻擊行為。愚弄中國人認知、將整個大陸地區變成一座數位監獄的防火長城真的有宣傳上那麼厲害嗎?
先說方濱興提出的盾立方主動防禦架構,如果拋開那些炫砲的行銷口號,從資安工程的實作來看,它玩的就是欺敵技術,也就是把傳統的蜜罐,擴展成一套跟自動化運維結合的連動陷阱。這四密在技術實作上是這樣玩的。
蜜點的技術實作在它工程上通常是用eBPF或是極輕量的監聽Socket,掛載在內網那些根本沒人在用的空閒IP或不該開啟的通訊埠(Port,像是 22, 445, 3389)上。它的技術本質是不提供任何真實的作業系統服務,就是個「低互動監聽器」。在正常的系統架構下,一般員工或正常服務絕對不會去連線這些死角。只要這個 Socket 被觸發,警報直接拉進最高安全層級。這招專治內網的橫向移動,精準度高達100%,完全沒有傳統 WAF 那種煩人的誤報。
蜜庭的技術實作是部署在網路邊界(例如反向代理伺服器Nginx或Envoy)後方的山寨Web應用。當前端偵測到某個連線在瘋狂測試SQL 注入或API漏洞時,系統會默默做動態路由,把這個惡意連線切換到蜜庭。它採用了焦油坑技術。駭客送一個攻擊封包進來,蜜庭會故意卡個 3到5秒,再回傳一個編得很像真的錯誤訊息(例如假的 500 內部錯誤)。作用就是用來拖延時間。駭客的自動化攻擊腳本一掉進這個黏稠的焦油坑,效率直接歸零,而我們真正的核心伺服器完全被隔離在後方,連一丁點頻寬跟運算資源都不會被消耗。
蜜洞:這元件完全部署在公網或雲端環境。防禦團隊會故意把一組假的 AWS存取金鑰、或是寫死在程式碼裡的假資訊庫帳密,故意外洩到 GitHub或暗網。這些金鑰本身就是一個個誘標,後面連接著驗證伺服器的Webhook。主動反制。只要有外部的毛賊或駭客用工具挖到這組金鑰並嘗試登入,蜜洞伺服器就會啟動,利用瀏覽器指紋或WebRTC漏洞,在對方還沒真正摸到公司大門前,就先把他的真實IP、作業系統語系跟設備特徵扒得一清二楚。
蜜陣:這是技術複雜度最高的王牌。它是利用軟體定義網路跟虛擬化(KVM 或 Docker)動態編排出來的仿真內網沙箱。裡面是真的作業系統、真的Linux/Windows核心,甚至故意塞了假的公文、偽造的財務報表,並用腳本模擬出一般員工上下班點網頁的背景雜訊流量。專門對付國家級的進階持續性威脅。當發現有頂尖駭客摸進來,系統不切斷連線,而是無感地把他導流進蜜陣。駭客在裡面潛伏好幾個禮拜,以為自己拿到了權限、偷了幾百GB的核心機密,其實他的一舉一動(輸入的每個指令、丟上來的0-Day惡意程式)全部都被後台以核心層級的審計工具錄影存證。
如果以上內容都沒看懂也沒關係,你可以把它理解為從小陷阱到中型誘捕再到深度分析最後到大規模佈陣,一層一層把攻擊者引進來,最後完整掌握他的行為。
從中共的超算中心遭駭客入侵來看,其實共匪的網路防禦根本沒宣傳的那麼神,GFW有沒有網上傳那麼厲害?
說完盾立方,我們再來看看共匪最引以為傲、用來禁錮老百姓思想的網路防火牆(GFW)。共匪在宣傳上總把它吹得像是堅不可摧的數位長城,但從純技術人員的工程視角來看,這堵牆根本不是什麼高科技神話,它本質上就是一個靠著無限預算、暴力砸硬體、而且完全不計經濟代價堆砌出來的數位集中營。那麼GFW到底是怎麼運作的?從底層網路架構來看,GFW主要是部署在大陸地區幾個核心國際出口路由器的旁路系統。它對付翻牆的手法主要有以下幾點:
DNS 污染:當你想連線到外面正常的網站時,GFW會比真的DNS伺服器更快搶先回傳一個假的IP給你,讓你直接迷路。這是最粗暴也最沒技術含量的一招。
SNI阻斷與深層封包檢測(DPI):當你使用HTTPS連線時,封包裡會有一段明文叫SNI(伺服器名稱指示),告訴路由你要去哪個網站。GFW的DPI晶片會在極短時間內把封包拆開,只要看到黑名單上的關鍵字(例如特定的外媒或維權網站),就直接丟出 TCP RST 封包,硬生生把你的連線掐斷。
主動探測:這是近年來共匪投入最多資源的技術。當它發現牆內某個IP正在向外發送大量無法識別的加密流量時,GFW的伺服器會主動偽裝成客戶端,連線到那個國外的節點進行試探。如果對方回覆了類似 Shadowsocks或VMess的握手協議,GFW就會立刻把那個國外節點的 IP封鎖。
GFW它真的那麼無敵嗎?它技術漏洞在哪?我可以很肯定地說,它漏洞百出,而且在工程上極其臃腫。無法承受全流量加解密,這牆最大的致命傷在於效能。現在全球網路超過95%都是HTTPS加密流量,GFW就算有再多的超級電腦,也絕對不可能在不癱瘓整個牆國經濟活動的前提下,去即時解密、分析每一個經過國際出口的封包。
它其實是一套貓抓老鼠的協議演進,因為GFW無法全面解密,資安與翻牆技術圈就開始利用這點,開發出像是VLESS、Xray、Trojan或者是利用 HTTP/3協議的TUIC、Hysteria等新技術。這些技術的本質就是善於偽裝,把翻牆的流量偽裝成極其普通的HTTPS網頁瀏覽,看起來就像是在看國外的網購網站或學術論文。
但共匪有一個投鼠忌器的經濟死穴,GFW常常面臨一個工程兩難,如果它把所有看起來可疑的加密TLS流量全部殺掉,那牆內所有外商企業、金融機構、跨境電商的正常商務連線也會跟著全部癱瘓。共匪畢竟還要靠外貿來維持苟延殘喘的經濟,所以它只能抓特徵。只要翻牆協議的隱蔽性做得比一般商務流量還真,GFW就只能乾瞪眼。
說到底,中共建牆當然不是為了所謂的國家安全,它本質上是一堵21世紀的數字柏林牆。
這裡引用《世界人權宣言》第十九條:「人人有權享有主張和發表意見的自由,此項權利包括持有主張而不受干涉的自由,以及通過任何媒介和不分國界尋求、接受和傳播消息和思想的自由。」但在21世紀的今天,在這個互聯網高度發達的年代,獲取訊息自由本應是基本權利,但這種將基本權利變為特權,連基本權利都被剝奪的地方,存取網際網路都要依靠vpn或proxy工具,還有什麼自由可言?共匪動用龐大的民脂民膏去蓋這堵牆,正是因為這個邪惡的極權體制骨子裡極度自卑與恐懼。他們害怕真實的歷史、害怕普世價值、更害怕牆內基本盤們看到外面世界的真相後覺醒。
先說方濱興提出的盾立方主動防禦架構,如果拋開那些炫砲的行銷口號,從資安工程的實作來看,它玩的就是欺敵技術,也就是把傳統的蜜罐,擴展成一套跟自動化運維結合的連動陷阱。這四密在技術實作上是這樣玩的。
蜜點的技術實作在它工程上通常是用eBPF或是極輕量的監聽Socket,掛載在內網那些根本沒人在用的空閒IP或不該開啟的通訊埠(Port,像是 22, 445, 3389)上。它的技術本質是不提供任何真實的作業系統服務,就是個「低互動監聽器」。在正常的系統架構下,一般員工或正常服務絕對不會去連線這些死角。只要這個 Socket 被觸發,警報直接拉進最高安全層級。這招專治內網的橫向移動,精準度高達100%,完全沒有傳統 WAF 那種煩人的誤報。
蜜庭的技術實作是部署在網路邊界(例如反向代理伺服器Nginx或Envoy)後方的山寨Web應用。當前端偵測到某個連線在瘋狂測試SQL 注入或API漏洞時,系統會默默做動態路由,把這個惡意連線切換到蜜庭。它採用了焦油坑技術。駭客送一個攻擊封包進來,蜜庭會故意卡個 3到5秒,再回傳一個編得很像真的錯誤訊息(例如假的 500 內部錯誤)。作用就是用來拖延時間。駭客的自動化攻擊腳本一掉進這個黏稠的焦油坑,效率直接歸零,而我們真正的核心伺服器完全被隔離在後方,連一丁點頻寬跟運算資源都不會被消耗。
蜜洞:這元件完全部署在公網或雲端環境。防禦團隊會故意把一組假的 AWS存取金鑰、或是寫死在程式碼裡的假資訊庫帳密,故意外洩到 GitHub或暗網。這些金鑰本身就是一個個誘標,後面連接著驗證伺服器的Webhook。主動反制。只要有外部的毛賊或駭客用工具挖到這組金鑰並嘗試登入,蜜洞伺服器就會啟動,利用瀏覽器指紋或WebRTC漏洞,在對方還沒真正摸到公司大門前,就先把他的真實IP、作業系統語系跟設備特徵扒得一清二楚。
蜜陣:這是技術複雜度最高的王牌。它是利用軟體定義網路跟虛擬化(KVM 或 Docker)動態編排出來的仿真內網沙箱。裡面是真的作業系統、真的Linux/Windows核心,甚至故意塞了假的公文、偽造的財務報表,並用腳本模擬出一般員工上下班點網頁的背景雜訊流量。專門對付國家級的進階持續性威脅。當發現有頂尖駭客摸進來,系統不切斷連線,而是無感地把他導流進蜜陣。駭客在裡面潛伏好幾個禮拜,以為自己拿到了權限、偷了幾百GB的核心機密,其實他的一舉一動(輸入的每個指令、丟上來的0-Day惡意程式)全部都被後台以核心層級的審計工具錄影存證。
如果以上內容都沒看懂也沒關係,你可以把它理解為從小陷阱到中型誘捕再到深度分析最後到大規模佈陣,一層一層把攻擊者引進來,最後完整掌握他的行為。
從中共的超算中心遭駭客入侵來看,其實共匪的網路防禦根本沒宣傳的那麼神,GFW有沒有網上傳那麼厲害?
說完盾立方,我們再來看看共匪最引以為傲、用來禁錮老百姓思想的網路防火牆(GFW)。共匪在宣傳上總把它吹得像是堅不可摧的數位長城,但從純技術人員的工程視角來看,這堵牆根本不是什麼高科技神話,它本質上就是一個靠著無限預算、暴力砸硬體、而且完全不計經濟代價堆砌出來的數位集中營。那麼GFW到底是怎麼運作的?從底層網路架構來看,GFW主要是部署在大陸地區幾個核心國際出口路由器的旁路系統。它對付翻牆的手法主要有以下幾點:
DNS 污染:當你想連線到外面正常的網站時,GFW會比真的DNS伺服器更快搶先回傳一個假的IP給你,讓你直接迷路。這是最粗暴也最沒技術含量的一招。
SNI阻斷與深層封包檢測(DPI):當你使用HTTPS連線時,封包裡會有一段明文叫SNI(伺服器名稱指示),告訴路由你要去哪個網站。GFW的DPI晶片會在極短時間內把封包拆開,只要看到黑名單上的關鍵字(例如特定的外媒或維權網站),就直接丟出 TCP RST 封包,硬生生把你的連線掐斷。
主動探測:這是近年來共匪投入最多資源的技術。當它發現牆內某個IP正在向外發送大量無法識別的加密流量時,GFW的伺服器會主動偽裝成客戶端,連線到那個國外的節點進行試探。如果對方回覆了類似 Shadowsocks或VMess的握手協議,GFW就會立刻把那個國外節點的 IP封鎖。
GFW它真的那麼無敵嗎?它技術漏洞在哪?我可以很肯定地說,它漏洞百出,而且在工程上極其臃腫。無法承受全流量加解密,這牆最大的致命傷在於效能。現在全球網路超過95%都是HTTPS加密流量,GFW就算有再多的超級電腦,也絕對不可能在不癱瘓整個牆國經濟活動的前提下,去即時解密、分析每一個經過國際出口的封包。
它其實是一套貓抓老鼠的協議演進,因為GFW無法全面解密,資安與翻牆技術圈就開始利用這點,開發出像是VLESS、Xray、Trojan或者是利用 HTTP/3協議的TUIC、Hysteria等新技術。這些技術的本質就是善於偽裝,把翻牆的流量偽裝成極其普通的HTTPS網頁瀏覽,看起來就像是在看國外的網購網站或學術論文。
但共匪有一個投鼠忌器的經濟死穴,GFW常常面臨一個工程兩難,如果它把所有看起來可疑的加密TLS流量全部殺掉,那牆內所有外商企業、金融機構、跨境電商的正常商務連線也會跟著全部癱瘓。共匪畢竟還要靠外貿來維持苟延殘喘的經濟,所以它只能抓特徵。只要翻牆協議的隱蔽性做得比一般商務流量還真,GFW就只能乾瞪眼。
說到底,中共建牆當然不是為了所謂的國家安全,它本質上是一堵21世紀的數字柏林牆。
這裡引用《世界人權宣言》第十九條:「人人有權享有主張和發表意見的自由,此項權利包括持有主張而不受干涉的自由,以及通過任何媒介和不分國界尋求、接受和傳播消息和思想的自由。」但在21世紀的今天,在這個互聯網高度發達的年代,獲取訊息自由本應是基本權利,但這種將基本權利變為特權,連基本權利都被剝奪的地方,存取網際網路都要依靠vpn或proxy工具,還有什麼自由可言?共匪動用龐大的民脂民膏去蓋這堵牆,正是因為這個邪惡的極權體制骨子裡極度自卑與恐懼。他們害怕真實的歷史、害怕普世價值、更害怕牆內基本盤們看到外面世界的真相後覺醒。
wiki/人权#基本内容
看看 "人身自由、言论自由、結社自由、宗教信仰自由" 都有页面,
唯独 "通信自由" 没页面.
个体来说, 通信自由是一种 "天知、地知、你知、我知, 公权力不准知" 的权益,
东陆人示范了人们轻忽通信自由会被共匪 "查水表" 的苦难.
没人权意识不赖东陆民众, 共匪不开也不准公民课.
而人权与自由是数千年文明史得出智慧于制度上的成果,
不认真或略缺乏天分, 以个体自我塑造之力跨越千年时光不是普遍能做到的.
私立或公立教育不可在公民教育上敷衍啊.
能对每个人有用的建议是: 别用权益交换便利.
这是我能对任何拥有或在意人权者的最大建言了.
共匪输出 GFW, 导致伊朗人、俄国反战公民等,
于世界各地抗争暴政的人遭数字极权打击罪恶滔天.
作为身在东陆不太糊涂的人之一, 我有什么感想?
就是现在我想说句人话都只能翻墙说的感想.
其他不太糊涂的人, 不擅长网络技术难以翻墙那些,
先是会被逼迫与憋得发狂, 慢慢就 "习惯了" 这更可怕.
说 "真话、实话、有用的话" 这些人话代价过高又拒绝说鬼话,
日常中的沉默就成了最大武器,
当然连我这最沉默的人都发话时别人也会略微认真对待.
由此我也最能同理解严后的台湾国民众,
希望他(她)们永享自由民主慢慢用时间愈合回避日常谈政治的倾向.
未来若各东亚大陆民众国建立后多半也要走台湾曾走过的路,
世界各地制度亦如经济那样发展 "不均衡" 政治是存在 "时光机" 的.
本想说说网络权探索如何弥合数字鸿沟.
唉, 可我仍遭受奴役就很疲惫,
先一边开发感兴趣的项目, 一边想如何能真正开启拆除赤帝国的事吧.
看看 "人身自由、言论自由、結社自由、宗教信仰自由" 都有页面,
唯独 "通信自由" 没页面.
个体来说, 通信自由是一种 "天知、地知、你知、我知, 公权力不准知" 的权益,
东陆人示范了人们轻忽通信自由会被共匪 "查水表" 的苦难.
没人权意识不赖东陆民众, 共匪不开也不准公民课.
而人权与自由是数千年文明史得出智慧于制度上的成果,
不认真或略缺乏天分, 以个体自我塑造之力跨越千年时光不是普遍能做到的.
私立或公立教育不可在公民教育上敷衍啊.
能对每个人有用的建议是: 别用权益交换便利.
这是我能对任何拥有或在意人权者的最大建言了.
共匪输出 GFW, 导致伊朗人、俄国反战公民等,
于世界各地抗争暴政的人遭数字极权打击罪恶滔天.
作为身在东陆不太糊涂的人之一, 我有什么感想?
就是现在我想说句人话都只能翻墙说的感想.
其他不太糊涂的人, 不擅长网络技术难以翻墙那些,
先是会被逼迫与憋得发狂, 慢慢就 "习惯了" 这更可怕.
说 "真话、实话、有用的话" 这些人话代价过高又拒绝说鬼话,
日常中的沉默就成了最大武器,
当然连我这最沉默的人都发话时别人也会略微认真对待.
由此我也最能同理解严后的台湾国民众,
希望他(她)们永享自由民主慢慢用时间愈合回避日常谈政治的倾向.
未来若各东亚大陆民众国建立后多半也要走台湾曾走过的路,
世界各地制度亦如经济那样发展 "不均衡" 政治是存在 "时光机" 的.
本想说说网络权探索如何弥合数字鸿沟.
唉, 可我仍遭受奴役就很疲惫,
先一边开发感兴趣的项目, 一边想如何能真正开启拆除赤帝国的事吧.
刚刚出于好奇检索了一下
支那各大网站有记载盾立方/四密之类字样的 最早也是2020以后
而gfw/金盾这些 据wiki记载大约是98-03附近
大约能看出习时代对比江湖时代的一些特色
比如热爱修饰语 口号喊破天 所有点数都点在逢迎拍马和自我宣传自我高潮上
猪皇真不愧是上帝赠与狗共的掘墓人 没有它 狗共可能还要晚死50年
支那各大网站有记载盾立方/四密之类字样的 最早也是2020以后
而gfw/金盾这些 据wiki记载大约是98-03附近
大约能看出习时代对比江湖时代的一些特色
比如热爱修饰语 口号喊破天 所有点数都点在逢迎拍马和自我宣传自我高潮上
猪皇真不愧是上帝赠与狗共的掘墓人 没有它 狗共可能还要晚死50年
看看這邊的簡體字平均精神狀態你就知道了
都什麼東西啊這些
都什麼東西啊這些
如果共产党真的要抓你,那这招很厉害,因为你不能确定你的信息到底是那部分做的不到位而泄露的,典型的就是编程随想,我敢说他的保密能力和意识绝对超过我们大部分人,但还是被人肉出来了。
但对于大部分人而言,这事其实无所谓,因为抓捕的难度主要不在技术上,而在社会工程学上,只要你不是用校园网类似的内网翻墙,因为现在大部分IP都是动态IP的缘故,其实通过IP定位不到你个人,而只能定位到大概的位置,要定位个人需要长期监控,摸清IP的活动规律。
说白了如果你只是翻墙,不是因为社会工程学的原因暴露,匪没有那么多警力抓你。
但对于大部分人而言,这事其实无所谓,因为抓捕的难度主要不在技术上,而在社会工程学上,只要你不是用校园网类似的内网翻墙,因为现在大部分IP都是动态IP的缘故,其实通过IP定位不到你个人,而只能定位到大概的位置,要定位个人需要长期监控,摸清IP的活动规律。
说白了如果你只是翻墙,不是因为社会工程学的原因暴露,匪没有那么多警力抓你。
如果共产党真的要抓你,那这招很厉害,因为你不能确定你的信息到底是那部分做的不到位而泄露的,典型的就是编程随想,我敢说他的保密能力和意识绝对超过我们大部分人,但还是被人肉出来了。
但对于大部分人而言,这事其实无所谓,因为抓捕的难度主要不在技术上,而在社会工程学上,只要你不是用校园网类似的内网翻墙,因为现在大部分IP都是动态IP的缘故,其实通过IP定位不到你个人,而只能定位到大概的位置,要定位个人需要长期监控,摸清IP的活动规律。
说白了如果你只是翻墙,不是因为社会工程学的原因暴露,匪没有那么多警力抓你。
如果说就是有网友想成为阮晓寰
哪怕不是民逗成为比较跳的屠支大佐也行
因为你种五毛类型的声音已经没有什么研究下去的欲望了
看了下支圈的论坛基本都是清一色的这种不去深究为什么
主张两个字放弃
