网络安全技术CTF竞赛模式与训练平台

CTF竞赛是安全圈喜闻乐见的竞赛模式，对于培养网络安全技术人才起到了很重要的作用。CTF起源于1996年DEFCON全球黑客大会，是Capture The Flag的简称。经过多年的发展，CTF这种比赛形式已经日益成熟。以国内的情况来看，一般的竞技模式分为线上初选赛，和线下决赛两个竞技阶段。

CTF注重动手技能，深厚的理论功底厚积薄发，技术的卓越是建立在无数次训练的基础上，那么我们来看看有哪些不错的平台可以来用于比赛训练。

夺旗赛

一般线上初选采用传统的夺旗赛模式，也就是在题目中设置一些标识，解题的目的就是为了找到标识并提交。通常包含的题目类型包括MISC、CRYPTO、PWN、REVERSE、WEB、STEGA等。

• MISC(Miscellaneous)类型，即安全杂项，题目或涉及流量分析、电子取证、人肉搜索、数据分析等等。

• CRYPTO(Cryptography)类型，即密码学，题目考察各种加解密技术，包括古典加密技术、现代加密技术甚至出题者自创加密技术。

• PWN类型，PWN在黑客俚语中代表着攻破、取得权限，多为溢出类题目。

• REVERSE类型，即逆向工程，题目涉及到软件逆向、破解技术。

• STEGA(Steganography)类型，即隐写术，题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛者获取。

• WEB类型，即题目会涉及到常见的Web漏洞，诸如注入、XSS、文件包含、代码执行等漏洞。

攻防对抗赛

目前线下决赛普遍采用比较新的对抗模式，也叫AWD模式（Attack withDefence），强调攻防对抗。相比传统的夺旗模式，AWD模式难度更大，对选手综合能力要求也更高。比赛中考察到的知识面更广，除了攻击技术以外，防御技术涉及到漏洞修补、流量分析、系统维护等多方面。

一般的比赛模式是这样的：每支队伍分配虚拟网络，在虚拟网络的边界上会放虚拟的防火墙，一台防守机、一台Flag机。其中防守机上放十几个服务。在攻防对战中，防守的一方要保护自己防守机的上的业务能够正常打开。攻击时则要通过各种攻击手段夺取对手Flag机上的权限。

两种竞赛模式相比，传统的CTF比赛类似于“应试教育”，主要强调攻击和破解。为了训练安全从业人员的防护能力，AWD模式还是非常贴近实战的。更多的了解可参考文章http://bobao.360.cn/ctf/detail/169.html。

      下面介绍几种CTF训练平台，供大家学习参考：

CTF训练平台：

• i春秋  http://www.ichunqiu.com/

i春秋是以“培育信息时代的安全感”为使命，致力于通过独创性的技术，凝聚、精炼中国互联网安全十多年的实践经验和理论系统，为公民普及信息安全知识，为爱好者提供丰富的知识点和技能树，为安全从业者提供成长路径，以适应互联网+战略的兴起。

针对信息安全学习的特殊性，i春秋独创了的线上听课-实验-评价-交流的实训性学习环境。把复杂的操作系统、工具和网络环境完整的在网页进行重现，为学习者提供完全贴近实际环境的实验平台，学习助理小i还会为你提示并评价你的实验能力。安全、高效、好玩，极大的提高了学习效率。

平台课程新，会有很多前沿会议，也有很多大牛的亲授，面向职业规划的知识体系梳理比较好。

• 合天智汇   http://www.hetianlab.com/

合天网安实验室是国内最早目前最大的在线网安实验网站，由湖南合天智汇信息技术有限公司运营，为广大用户提供网络安全在线实验的信息安全学习服务。支持学校教学，课程定制，支持注册用户自学。提供安全协议，WEB安全，网络攻防，恶意代码， 防火墙技术，浏览器漏洞，android安全，脚本编程，XP挑战赛技能，逆向工程，网络工具，密码学，隐私保护，漏洞扫描，虚拟网VPN,入侵检测与防御等网络安全课程。

其实验环境采用虚拟化与SDN等纯软件的技术，能快速构建复杂度高、隔离性强的各种实验环境，以解决传统实验室在时间、空间与实验内容等方面的限制。

合天一直踏踏实实做平台，注重基础，同时与学校网安技术爱好者社团关系比较紧密。

• 实验吧 http://www.shiyanbar.com/

实验吧(www.shiyanbar.com)是西普教育集团旗下IT在线教育平台，专注于IT在线实验教学，致力于为计算机及相关专业学生、IT爱好者、IT从业者提供在线实验平台与学习资源。

实验吧以提供IT在线实训为核心，通过完整的虚拟环境搭建，系统的技术课程，让学员在真实的开发环境下，通过实验实训的方式学习IT技术，帮助学员更快速地掌握IT职业技能。

实验吧提供实验课程、学习答疑、实验笔记、实验录制（截图）、实验评价、学习记录、学习计划等多个互动功能，可帮助学员更高效地提高学习效率。

这确实是一个刷题的好地方。

• 胖哈勃  https://pwnhub.cn/index

Pwnhub，中文解释“破解中心”，谐音胖哈勃，是一个以各种安全技术为内容的竞赛平台，我们在这个平台上为对网络安全技术感兴趣的人们提供高质量的CTF题目和虚拟任务，帮助他们以正确的渠道展示自己，提升和验证自己的能力，在Pwnhub，他们可以认识更多志同道合的人，一起比赛、一起交流、一起提高，得到更多人的认可。2016年12月2日中午12点，pwnhub平台正式内测。

这个平台是长亭团队成员搭建，需要邀请码，水平高，挺酷的的感觉。当然我没有邀请码。

• 安全客CTF训练营 http://bobao.360.cn/ctf/index

安全客平台聚合了各大安全资讯平台的漏洞及安全资讯，由360网络攻防实验室整理发布，为安全工作者及时全面的提供有效信息。

其中一个版块是安全客CTF训练营，提供各类竞赛信息预告及CTF通关攻略。

• XCTF实训平台 http://oj.xctf.org.cn/

XCTF实训平台精聚XCTF国际顶级战队多年实战积累的网络安全知识体系，全方位深度覆盖且快速更新，融合顶尖CTF赛事原创真题库，紧随安全脉搏，还原经典漏洞案例。国内首创人机攻防对抗模式，定位网络安全人才攻防实战能力的加速器。三大核心：培训、练习、竞赛  两大内容库：题库、课件库，快速更新

写在后面：竞赛的目的是为实战服务，几个大的技术方向：web\pwn\逆向 能精通一个就很不容易,所以不能贪多，定好方向就要坚持不懈，才能到达技术的巅峰。竞赛无疑是一条快速提高的路。竞赛的名次不重要，重要的是每一次通过努力征服技术难点，与你共勉！