伶俐蟲跟精細鬼說道:“哥啊,能裝天的寶貝,咱跟他換了吧。”
精細鬼說道:“別傻了,人家寶貝能裝天,人家能跟咱換嗎……”伶俐蟲說道:“要是不肯換,就再加上這個玉淨瓶唄。”
猴哥聽了心中竊喜道:“葫蘆換葫蘆,還加個玉淨瓶,一件換兩件,賺翻了。”想罷上前扯著伶俐蟲,說道:“能裝天的,換不換啊?”
...
小妖聽了兩腳發軟,說道:“師父啊,我們信了我們信了,趕緊把天放回去吧,太黑了。摔下去就再也回不了家了。”
猴哥默默唸動咒語,哪吒得了信兒,收了皂雕旗,天空一切復原。
伶俐蟲笑道:“好東西啊好東西!這樣的寶貝要是不換,我倆不成敗家子兒了嗎!”
兩個小妖怪把紅葫蘆和玉淨瓶給了猴哥,猴哥就把假葫蘆給了他倆,又拔了根毫毛變了個銅錢,遞給小妖說道:“你們去買張紙來,咱們寫個合同,別回頭你倆反悔了,又來找我要東西。”
很想蹭一下黑神話的熱度,正好想起來小時候很喜歡的一個橋段“葫蘆換葫蘆,餘外貼淨瓶”,這個孫悟空的慣用技倆和網安裡很常見的由於缺少認證或偽造認證導致的身份偽造攻擊有異曲同工之妙,正好寫一篇水一水。
我們來從頭分析一下這個過程,身份偽造攻擊是指攻擊者通過偽造他人的身份信息或憑證,以獲取非法權限或進行欺詐活動的攻擊方式。在網絡安全領域,攻擊者可能會利用各種技術手段來偽造用戶的身份,並獲取被攻擊者信任,進行攻擊。
這裡孫悟空扮成了仙氣飄飄的老道,找到精細鬼、伶俐蟲兩個小妖,偽造了牛鼻子老道的身份,這是第一個步驟,即偽造身份。
接下來,是偽造驗證,這裡,孫悟空騙他們說自己有可以裝天的“超大葫蘆”,而且,還求玉帝老兒“手動關燈”來嚇沒見過市面的兩個小妖,偽造了驗證,獲取了被攻擊者的信任。
第三步是進行攻擊,孫悟空提出換取紫金紅葫蘆和羊脂玉淨瓶,也就是““葫蘆換葫蘆,餘外貼淨瓶””,甚至還和兩個小妖簽了一個合同(猴哥太嚴謹了)
綜合整個過程,猴哥做的滴水不漏,進行了一次很完美的偽造身份攻擊,在現在網絡安全中,偽造身份也常用於中間人攻擊,指攻擊者插入到原本直接通信的雙方之間,冒充其中一方與另一方進行交互,從而達到竊取信息或破壞通信的目的,很巧的是,在平頂山蓮花洞金角銀角大王這裡,孫悟空還展示了一次中間人攻擊,即偽裝成狐妖(金角大王銀角大王的乾孃),這就是很標準的中間人攻擊,這樣看來,孫悟空可以稱得上是網絡安全祖師爺了。
在現在網絡中,我們展示一箇中間人攻擊或者可以定義為身份偽造攻擊的例子:攻擊者設置一個仿造銀行的假服務器和網站。當你連接到假銀行服務器時,它會獲取銀行的網頁,稍加修改,然後呈現給你。您正常地輸入您的登錄詳細信息,這些詳細信息被髮送到中間人服務器。
MITM服務器仍然會將您登錄到銀行,並正常顯示頁面。但攻擊者的中間人服務器已捕獲您的登錄憑據,得到了你的賬號和密碼。
那麼如何如何防止中間人攻擊?最重要的還是防止身份驗證口令被竊取(是不是很熟悉,在龍門飛甲中的“甲你祖宗”就是個反面教材),
或者採取加密通信,加強認證機制等其他方法,不然就算就要像精細鬼、伶俐蟲一樣被猴哥騙得團團轉了