从热播电视剧中的CTF说起丨专栏

2019 年 7 月 27 日 中科院之声

一、从看热播电视剧说起


大东:你这是在看什么呢?


小白:《亲爱的,热爱的》,最近播出的电视剧,很火的。


大东:这样呀。


小白:该剧一开始就是一场紧张的比赛,在这场1V1的战斗中,一个名为SP的战队率先发起攻击,可惜被K&K战队以三行代码轻松拦截,而后该战队依旧紧追猛打,在几秒之内就找到了对方漏洞所在,极速完胜对手。飞速切换的镜头配合“天哪,SP战队再次找到K&K服务器防御漏洞”的激情解说,把现场紧张的夺旗气氛延伸到了屏幕以外。

 

电视剧《亲爱的,热爱的》中网络安全巡回赛


大东:有意思,你知道他们这是在干嘛吗?


小白:乍一看他们的装备感觉像是在电子竞赛,但仔细听一听解说,又是植入病毒又是找漏洞又是攻击对方服务器的,都把我整懵了。


大东:哈哈,这是网络安全CTF夺旗赛。


小白:CTF夺旗赛?


大东:别看剧了,先听我给你讲讲CTF吧。


小白:好咧。


二、CTF夺旗赛


大东:CTF起源于1996年在拉斯维加斯举办的DEFCON全球黑客大会,用虚拟夺旗竞赛的形式以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。


小白:所以到底什么是CTF呢?


大东:网络安全大赛简称CTF大赛,全称是Capture The Flag,即夺旗赛。在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式,随着国家对网络安全日益重视,CTF比赛在国内越来越得到重视,近几年全国范围内较为流行。

 

CTF夺旗赛


小白:为什么也叫夺旗赛呢?


大东:这个概念是从欧美传过来的,字面上是“夺取旗帜”,原本是西方的一种传统户外游戏。原始的CTF每个队伍真的有一面旗帜,比赛目标就是夺取位于对方“基地”的旗帜,并带着旗子安全返回自己的基地,当然,实际规则还要更复杂一些。后来,“夺旗”的概念也被引入信息安全攻防比赛。因为在比赛中,选手需要通过解开题目,或攻破目标夺得“Flag”。


小白:CTF竞赛有哪些模式呢?


大东:CTF竞赛模式主要有解题模式、攻防模式、混合模式三种模式。


小白:解题模式是不是就跟一般的比赛一样,比如编程比赛,奥数竞赛等等啦。


大东:没错。在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。


小白:题目听起来就很难。


大东:在攻防模式中,参赛队伍互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防赛通过得分反映比赛情况,时间到以分数进行排名,如若分数一样则按解题时间进行二次排名。是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。


小白:好想亲眼看看他们是怎么攻防的。


大东:在这种赛制中,不仅仅是比参赛队员的智力和技术,更是体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。


小白:没想到这个CTF对体力的考验也这么大。


大东:但是相比于攻防模式,解题模式更便于组织和管理,因此解题模式CTF远比攻防模式更为盛行。


小白:那混合模式就是结合了解题模式和攻防模式咯。


大东:聪明呀小白。混合模式结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。


三、打CTF训练思维能力 


大东:近几年,国际、国内的CTF种类越来越多。举办CTF的组织方各有目的,有些有政府背景,比如,韩国的 Codegate CTF;有些是战队办的,比如,PPP 的 PlaidCTF,这种比较常见;有些是企业办的,比如腾讯的 TCTF ;有些是安全会议牵头办的,比如著名的 DEF CON CTF,实际具体操办的也是战队。

 

腾讯CTF夺旗赛


小白:DEFCON CTF应该是目前还在办的历史最悠久的CTF吧。


大东:嗯,最早一届DEFCON CTF 是在1996年办的。刚才提到的这些都是公开的CTF。还有一类是不公开的CTF,不会公开征集报名,开展预赛之类。比如,有些国内、国外企业会举办面向内部员工的CTF。


小白:企业内部还举办CTF。


大东:那是,别小看CTF,打CTF好处可不少呢?


小白:怎么说?


大东:如果,你不但对安全感兴趣,而且想未来从事安全工作,那么就要明白,CTF中的技术对安全工作来说是一部分,不是全部。工作中遇到的有些问题可以用 CTF中涉及的知识解决。还有很多问题则需要用到 CTF 之外的技能。


小白:有道理。


大东:打 CTF 是非常好的安全技术能力训练方式,优秀 CTF 选手在从事安全技术工作时也会有很大优势。不过大多数现实中的安全技术工作其实没有 CTF 中的问题那么困难,但会复杂得多。另外,打 CTF 的目标是得分,处理现实安全问题的时候要考虑更多因素,比如,解决问题的同时还要保持业务运行。


小白:如果未来没有从事网络安全的工作,CTF除了对专业技术能力有好处,对于其他能力呢?


大东:除了和 CTF 相关的技术能力,从职业的角度看,通用能力也很重要。比如,很基本的三点:能想清楚、能写清楚、能讲清楚,这体现了你逻辑是否严密、语句是否通顺、表达是否清晰。有些通用能力对专业能力提升也有帮助,比如分析能力、判断能力、规划能力、搜集能力、学习能力、提炼能力。无论以后你想从事什么工作,在学生时代加强这些能力的培养,对你整个人生都会有很大的帮助。


小白:打CTF居然可以训练这么多能力,不说了,我也要去打CTF,提升自己的能力了。


来源:中国科学院计算技术研究所


温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」






登录查看更多
0

相关内容

网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
算法与数据结构Python,369页pdf
专知会员服务
161+阅读 · 2020年3月4日
【2020新书】数据科学:十大Python项目,247页pdf
专知会员服务
212+阅读 · 2020年2月21日
知乎八年,大而不美
新榜
7+阅读 · 2019年1月26日
当你的头出现在A片演员的身体上
PingWest品玩
6+阅读 · 2019年1月6日
吃鸡手游竟然是Python写的?
机器学习算法与Python学习
7+阅读 · 2018年9月11日
周末深夜,学妹说她想做Python数据分析师
机器学习算法与Python学习
4+阅读 · 2018年6月7日
我是一个爬虫
码农翻身
12+阅读 · 2018年6月4日
不要小看日本的AI公司
量子位
3+阅读 · 2018年5月17日
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
嘿,这是本应属于你的“红包”!
腾讯
3+阅读 · 2017年7月13日
Local Relation Networks for Image Recognition
Arxiv
4+阅读 · 2019年4月25日
S4Net: Single Stage Salient-Instance Segmentation
Arxiv
10+阅读 · 2019年4月10日
Arxiv
6+阅读 · 2018年3月27日
Arxiv
3+阅读 · 2015年5月16日
VIP会员
相关VIP内容
【2020新书】实战R语言4,323页pdf
专知会员服务
100+阅读 · 2020年7月1日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【干货书】流畅Python,766页pdf,中英文版
专知会员服务
224+阅读 · 2020年3月22日
算法与数据结构Python,369页pdf
专知会员服务
161+阅读 · 2020年3月4日
【2020新书】数据科学:十大Python项目,247页pdf
专知会员服务
212+阅读 · 2020年2月21日
相关资讯
知乎八年,大而不美
新榜
7+阅读 · 2019年1月26日
当你的头出现在A片演员的身体上
PingWest品玩
6+阅读 · 2019年1月6日
吃鸡手游竟然是Python写的?
机器学习算法与Python学习
7+阅读 · 2018年9月11日
周末深夜,学妹说她想做Python数据分析师
机器学习算法与Python学习
4+阅读 · 2018年6月7日
我是一个爬虫
码农翻身
12+阅读 · 2018年6月4日
不要小看日本的AI公司
量子位
3+阅读 · 2018年5月17日
码农日常工具推荐
架构文摘
4+阅读 · 2017年9月26日
嘿,这是本应属于你的“红包”!
腾讯
3+阅读 · 2017年7月13日
Top
微信扫码咨询专知VIP会员