這可能是今年中國最大規(guī)模的黑客練兵了

本文作者：李勤

2018-03-29 17:27

導(dǎo)語：X國網(wǎng)絡(luò)安全部門2018年3月監(jiān)測到，突然中國有上萬人進行網(wǎng)絡(luò)安全練兵，有組織有紀律，在兩天熱熱鬧鬧的比拼后，一切歸于平靜……

有這么一個段子：某國軍用衛(wèi)星發(fā)現(xiàn)，在中國每年 8、9 月份都會有神秘部隊在各個城市角落集結(jié)，數(shù)量或大或小，數(shù)個星期后神秘消失，某國政府因此投入上億美金調(diào)查此事！最后，他們終于明白了......

這個神秘的現(xiàn)象叫做：軍訓(xùn)！

雷鋒網(wǎng)覺得，如果這個段子還有后續(xù)，可能是這樣的——

X國網(wǎng)絡(luò)安全部門發(fā)現(xiàn)，2018年3月，中國有上萬人進行網(wǎng)絡(luò)安全練兵，有組織有紀律，在兩天熱熱鬧鬧的比拼后，一切歸于平靜……為什么中國突然有這么強大的網(wǎng)絡(luò)軍事力量一齊操練？最后，他們終于明白了……

這可能是今年中國最大規(guī)模的黑客練兵了

這是剛剛結(jié)束的“強網(wǎng)杯”線上 CTF 賽事！

段子講完了，講真，對于這次CTF賽事，久經(jīng)沙場的老司機都可能震撼：因為這可能是中國今年最大規(guī)模的一場 CTF了！

來看下參賽的情況。。。。

報名戰(zhàn)隊：2622支報名人數(shù)：13250人

高校戰(zhàn)隊：1780支高校人數(shù)：9604人

企業(yè)戰(zhàn)隊：842支企業(yè)人數(shù)：3646人

這場比賽有兩個硬性條件：1.中國國籍(不包含港澳臺地區(qū)）；2.以高?；蚱髽I(yè)為單位，組團參戰(zhàn)，

再從另外一個維度看一下：

1.211高校報名情況：報名比例82%。

2.985高校報名情況：報名比例81% 。

3.網(wǎng)絡(luò)空間安全一級學(xué)科報名情況:報名35所，報名比例100% 。

4.國家首批七家一流網(wǎng)絡(luò)安全學(xué)院報名情況：報名6所，報名比例100% （不要奇怪為什么漏了一所。。。因為沒參加的那一所是給這次大賽出題的信息工程大學(xué)）。

5.國內(nèi)五家網(wǎng)絡(luò)安全人才培養(yǎng)基地報名情況：報名5所，報名比例100% 。

6.報名企業(yè)分布與著名 CTF 戰(zhàn)隊情況：包括國家電網(wǎng)、中國民航、國航、建設(shè)銀行、中國銀行、交通銀行、電信、聯(lián)通、移動等國家關(guān)鍵信息基礎(chǔ)設(shè)施單位，阿里巴巴、唯品會、華為等通訊及互聯(lián)網(wǎng)公司，以及sixstars、0ops、AAA、phark、eee、Nu1L、P4ssw0rd等強隊（數(shù)據(jù)來源：i春秋）。

毫不夸張地說，除了西藏沒有派參賽隊伍參加，基本上這是一次真正能稱得上“全國”的賽事。

戰(zhàn)果一覽：

24日上午9點鐘，第二屆“強網(wǎng)杯”全國安全挑戰(zhàn)賽準(zhǔn)時開賽，開賽階段共放出了12道題目(包含2道簽到題)，比賽僅僅開始 8 秒，“不要慫就是干”戰(zhàn)隊的“AsTech”就解出了第一題(簽到題)；9點20分,“樓上兩隊快點合并吧”戰(zhàn)隊的“蒟蒻”解出了第一道非簽到題，14點42分，經(jīng)過烽火臺反作弊平臺與流量分析系統(tǒng)發(fā)現(xiàn)并確認 “R＊＊S”戰(zhàn)隊存在作弊行為,給予禁賽處罰，最終“eee”、“AAA”、“sixstars”分列前三名。

為什么這次賽事得到了全國大大小小CTF戰(zhàn)隊的支持？背后有什么故事？雷鋒網(wǎng)宅客頻道采訪了本次競賽平臺支持單位永信至誠i 春秋事業(yè)部總經(jīng)理鄭斐斐、i春秋研發(fā)總監(jiān)李永峰、線上賽冠軍團隊騰訊eee（鵝鵝鵝）戰(zhàn)隊以及騰訊科恩實驗室。

1.先說說為什么這次這么多人來參賽吧？

鄭斐斐：當(dāng)然首先是因為規(guī)格高??！這是中央網(wǎng)信辦指導(dǎo)的唯一的國家級網(wǎng)絡(luò)安全競賽（劃重點，網(wǎng)信辦），有國家背景，非常有號召力。再加上國內(nèi)強隊都來了。你看線上賽的前五名單（eee、AAA、sixstars、什么四十大盜、0ops），一方面是規(guī)模性的吸引，另一方面，畢竟其中的幾只隊伍以前只打國際賽，幾乎不參加國內(nèi)賽。前五中有幾支戰(zhàn)隊組成的聯(lián)合戰(zhàn)隊也在世界級的黑客大賽上拿過獎，強手都來了，你作為一個強隊，也會想來比拼一下實力。

國內(nèi)我們以前的做過的比賽最多 500 支隊伍，就已經(jīng)覺得比賽規(guī)模算很大了，但是這次一下達到這么多支隊伍，我們推測有幾個原因：第一，賽事規(guī)格足夠高，獎金池足夠大，這個是歷史上沒有過的；第二，CTF 做了很多年，真正規(guī)范性、流程性的東西沒有標(biāo)準(zhǔn)，期待這次賽事為國家CTF發(fā)展探索一條標(biāo)準(zhǔn)化的道路；第三，因為社會各界的推動，通過網(wǎng)絡(luò)安全競賽來評價、選拔人才、推動網(wǎng)絡(luò)安全等級保護水平的提升已經(jīng)成為業(yè)內(nèi)共識，大家看到了網(wǎng)絡(luò)安全競賽的重要性。

2.現(xiàn)在CTF 比賽的效果有些爭議，有人認為這種形式不能培養(yǎng)出很好的網(wǎng)絡(luò)安全人才，你怎么看？

鄭斐斐：CTF 實際上是培養(yǎng)選手對網(wǎng)絡(luò)安全興趣的一種比賽形式，它類似于一個游戲的階段，就是有了基礎(chǔ)知識，通過 CTF 的學(xué)習(xí)以后，能夠寓教于樂。

任何賽事運動的發(fā)起都會推動一個行業(yè)的人才、配套設(shè)施、上下游產(chǎn)業(yè)鏈的建設(shè)和發(fā)展。例如F1、NBA、奧運會，還有現(xiàn)在的電子競技，其成效和影響不言而喻。

CTF比賽通過這幾年的運作，已經(jīng)逐漸開始專業(yè)化、職業(yè)化，乃至產(chǎn)業(yè)化方向發(fā)展。我們可以看到排名前幾的隊伍不乏在國際競賽上屢屢奪冠的強隊，他們很多人都是通過CTF比賽在國際賽場上展露風(fēng)采，甚至高薪入職名企，可以說CTF比賽有助于人才的選拔和成長有意義。

現(xiàn)在，賽事的形式和平臺也越來越復(fù)雜化，接近實戰(zhàn)和生產(chǎn)實踐。不同形式的比賽對于不同水平的選手各有不同的意義。

3.這次比賽賽題難度怎么樣？

鄭斐斐：為了盡量保證比賽的公平公正，這次比賽賽題的獨立出題方是信息工程大學(xué)，即使作為賽事的平臺方，我們也是在比賽前一天下午才拿到賽題的部分信息部署環(huán)境。賽后，我們對得分的隊伍進行了分析，發(fā)現(xiàn)這次題比較難，有一些隊伍可能除了簽到題答出一兩道外，沒有做出其它題目。不過，排名前 100 的隊伍以前打過 CTF 并且有過數(shù)次經(jīng)驗，進一步佐證了賽題難度。

騰訊eee戰(zhàn)隊隊長謝天憶：這次比賽打完以后，我們和主辦方信工大的出題人及他的團隊做了技術(shù)交流，覺得這次比賽主辦方的賽題設(shè)計比較開放，一個題目可能有多種解題思路和方法，考察團隊技術(shù)能力的全面性和CTF實戰(zhàn)經(jīng)驗。

騰訊eee戰(zhàn)隊按照以往比賽的經(jīng)驗，會安排多個隊員同時研究同一道賽題。當(dāng)隊員們各自做出同一道賽題后，互相一交流發(fā)現(xiàn)對方的解法跟自己完全不一樣時，都表示非常不可思議并且對對方的解法產(chǎn)生了濃厚的興趣，進而展開了熱烈的討論。

這可能是我們參加過的國內(nèi)外比賽中，比賽期間討論、相互拍磚、相互diss最激烈的一次。有幾道題目，大家討論得過于投入，以至于都忘了去看新的題目。作為隊長，我不得不不斷地提醒大家，確保團隊能夠盡快開始新題目的研究。

4.一萬多人在線一起打比賽，看上去挺難的？好像還受到了惡意流量攻擊？

鄭斐斐：這次比賽有效的登陸戰(zhàn)隊是2248支隊伍，有效參賽的人數(shù)就是1萬出頭，我們以前最多做過200支隊伍的支撐。

比賽第一天早上，有選手反映平臺卡了，確實是正常的，雖然我們提前在服務(wù)器上做了儲備，但實際變化量太大，導(dǎo)致從比賽第一天上午 9：20開始到11：20，刷新和訪問特別慢，這時我們的并發(fā)、后期壓力都比較大，這些也是后續(xù)還要改善的。但是，那兩個小時“慢”，還有一個特殊原因，我們受到了一大波惡意流量的攻擊，扛過那波惡意流量，并且把這些流量踢出后，后續(xù)的 34 個小時沒有出現(xiàn)問題。

李永峰：在安全賽事中，遭遇不斷的攻擊是很正常的，即使是正常的網(wǎng)站也會遭遇攻擊，24號上午9點左右，平臺遭遇了大規(guī)模的攻擊行為，有600萬次CC。我們先攔截了3000多臺路徑行為，業(yè)務(wù)前端會再做一次流量清洗有效識別，比如，某些用戶沒有登陸，頻繁刷新頁面，這種請求就會被過濾，再到后端業(yè)務(wù)層時，就只剩下比較小的流量了。

5.聽說這次比賽嚴格打擊作弊行為？發(fā)現(xiàn)了怎樣的作弊形式？

鄭斐斐：這次比賽我們引入了烽火臺反作弊系統(tǒng)，一旦發(fā)現(xiàn)某支隊伍有作弊行為，就把作弊日志反饋給主辦方，另外，平臺方和主辦方現(xiàn)場都派出了裁判，確認這支戰(zhàn)隊確實有作弊行為后，當(dāng)場就會在比賽平臺上發(fā)布通告。

在這次比賽中，我們主要發(fā)現(xiàn)了幾類疑似作弊行為：IP 頻繁變化、答題時間異常、Flag（指答案）集中提交、提交相同F(xiàn)lag。

提交相同 Flag 可能是最明顯的特征之一。一般來說，比賽的 Flag 會呈現(xiàn)兩種狀態(tài)，第一種是靜態(tài)Flag ，一種是動態(tài) Flag。靜態(tài) Flag 作弊風(fēng)險比較大，畢竟是在互聯(lián)網(wǎng)上，大家加到一個群里，一支隊伍把這個 Flag 提交后，只會生成唯一值，那么另外一個隊伍如果私下和第一個提交的隊伍串了答案，提交的則為同一值，因此被發(fā)現(xiàn)的風(fēng)險很大。

當(dāng)時，我們給涉嫌作弊的戰(zhàn)隊留了一點面子，只是用＊＊戰(zhàn)隊的形式公布名字，并要求賽后提交相關(guān)論證，我們最后線上的名次排定依據(jù)此進行了復(fù)核，有些戰(zhàn)隊自知理虧，不會提交詳情。因此，盡量保證了比賽的公平公正性。

6.鵝鵝鵝戰(zhàn)隊貌似只有一個選手報名，就拿下了第一名。。。怎么回事？

謝天憶：以1個人身份報名，其實主要是因為依據(jù)以往參加國際 CTF 的慣例，隊長注冊一個戰(zhàn)隊的賬號然后所有隊員共用即可，省去了隊員需要重復(fù)注冊的麻煩，所以就依照慣例繼續(xù)這樣注冊，不是說真的全程只有一個人在參加。

另外這次參加強網(wǎng)杯騰訊eee戰(zhàn)隊不是只有科恩實驗室的小伙伴參加，還有騰訊安全平臺部、微信、金融支付安全團隊也都有小伙伴參與，而且做出了不小的貢獻，展示了騰訊國際一流的安全技術(shù)實力。這次比賽騰訊各個部門的隊員加在一起也就不到十人，更多是騰訊熱愛 CTF 比賽的小伙伴們參與組隊的。

7.這次比賽有什么有趣的事情？

騰訊戰(zhàn)隊隊員jinchi、深夜飲酒：比較有意思的是一起研究彩蛋這個題目，看代碼引用了老版本的shiro，嘗試了許多 RCE 的 POC ，但是一直命令執(zhí)行不成功，結(jié)果發(fā)現(xiàn) dockerfile 里有 PostgreSQL 帳號密碼，連上去利用udf就可以命令執(zhí)行了，很多時候 Flag 就在你意想不到的地方。

騰訊戰(zhàn)隊隊員wrt：比賽第一天晚上在打草稿的時候突然被熄燈，當(dāng)時有點抓瞎。后來一問才想起來那天是地球日，有熄燈一小時的活動。結(jié)果那一個小時就只能靠屏幕的光來照明了，還好筆記本電池撐得住。

8.為什么要把“騰訊A0E戰(zhàn)隊”（騰訊 eee 戰(zhàn)隊、浙江大學(xué)AAA，上海交大0OPS和復(fù)旦大學(xué)六星戰(zhàn)隊組建）拆出來作為四個隊伍參加比賽，占了四個名額。。。。

騰訊科恩實驗室總監(jiān)呂一平：一方面本次主辦方要求企業(yè)和高校獨立組隊參賽，另一方面我們也鼓勵四支戰(zhàn)隊能有更多的選手可以參與，所以四支隊伍決定獨立參加本次比賽。

騰訊 A*0*E 獨立參加強網(wǎng)杯可以包攬前五中的四席，但是聯(lián)合組隊沖擊 DEFCON CTF 只拿了季軍，這說明中國戰(zhàn)隊和世界最高水平的隊伍比較還存在一些差距。所以和全球范圍內(nèi)一流的團隊經(jīng)常交流、切磋技藝是非常有必要的，能讓我們看到差距，努力趕上甚至超越。