从热播电视剧中的CTF说起

一、从看热播电视剧说起

大东：你这是在看什么呢？

小白：《亲爱的，热爱的》，最近播出的电视剧，很火的。

大东：这样呀。

小白：该剧一开始就是一场紧张的比赛，在这场1V1的战斗中，一个名为SP的战队率先发起攻击，可惜被K&K战队以三行代码轻松拦截，而后该战队依旧紧追猛打，在几秒之内就找到了对方漏洞所在，极速完胜对手。飞速切换的镜头配合“天哪，SP战队再次找到K&K服务器防御漏洞”的激情解说，把现场紧张的夺旗气氛延伸到了屏幕以外。

电视剧《亲爱的，热爱的》中网络安全巡回赛

大东：有意思，你知道他们这是在干嘛吗？

小白：乍一看他们的装备感觉像是在电子竞赛，但仔细听一听解说，又是植入病毒又是找漏洞又是攻击对方服务器的，都把我整懵了。

大东：哈哈，这是网络安全CTF夺旗赛。

小白：CTF夺旗赛？

大东：别看剧了，先听我给你讲讲CTF吧。

小白：好咧。

二、CTF夺旗赛

大东：CTF起源于1996年在拉斯维加斯举办的DEFCON全球黑客大会，用虚拟夺旗竞赛的形式以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。

小白：所以到底什么是CTF呢？

大东：网络安全大赛简称CTF大赛，全称是Capture The Flag，即夺旗赛。在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式，随着国家对网络安全日益重视，CTF比赛在国内越来越得到重视，近几年全国范围内较为流行。

CTF夺旗赛

小白：为什么也叫夺旗赛呢？

大东：这个概念是从欧美传过来的，字面上是“夺取旗帜”，原本是西方的一种传统户外游戏。原始的CTF每个队伍真的有一面旗帜，比赛目标就是夺取位于对方“基地”的旗帜，并带着旗子安全返回自己的基地，当然，实际规则还要更复杂一些。后来，“夺旗”的概念也被引入信息安全攻防比赛。因为在比赛中，选手需要通过解开题目，或攻破目标夺得“Flag”。

小白：CTF竞赛有哪些模式呢？

大东：CTF竞赛模式主要有解题模式、攻防模式、混合模式三种模式。

小白：解题模式是不是就跟一般的比赛一样，比如编程比赛，奥数竞赛等等啦。

大东：没错。在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。

小白：题目听起来就很难。

大东：在攻防模式中，参赛队伍互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。攻防赛通过得分反映比赛情况，时间到以分数进行排名，如若分数一样则按解题时间进行二次排名。是一种竞争激烈，具有很强观赏性和高度透明性的网络安全赛制。

小白：好想亲眼看看他们是怎么攻防的。

大东：在这种赛制中，不仅仅是比参赛队员的智力和技术，更是体力（因为比赛一般都会持续48小时及以上），同时也比团队之间的分工配合与合作。

小白：没想到这个CTF对体力的考验也这么大。

大东：但是相比于攻防模式，解题模式更便于组织和管理，因此解题模式CTF远比攻防模式更为盛行。

小白：那混合模式就是结合了解题模式和攻防模式咯。

大东：聪明呀小白。混合模式结合了解题模式与攻防模式的CTF赛制，比如参赛队伍通过解题可以获取一些初始分数，然后通过攻防对抗进行得分增减的零和游戏，最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

三、打CTF训练思维能力

大东：近几年，国际、国内的CTF种类越来越多。举办CTF的组织方各有目的，有些有政府背景，比如，韩国的 Codegate CTF；有些是战队办的，比如，PPP 的 PlaidCTF，这种比较常见；有些是企业办的，比如腾讯的 TCTF ；有些是安全会议牵头办的，比如著名的 DEF CON CTF，实际具体操办的也是战队。

腾讯CTF夺旗赛

小白：DEFCON CTF应该是目前还在办的历史最悠久的CTF吧。

大东：嗯，最早一届DEFCON CTF 是在1996年办的。刚才提到的这些都是公开的CTF。还有一类是不公开的CTF，不会公开征集报名，开展预赛之类。比如，有些国内、国外企业会举办面向内部员工的CTF。

小白：企业内部还举办CTF。

大东：那是，别小看CTF，打CTF好处可不少呢？

小白：怎么说？

大东：如果，你不但对安全感兴趣，而且想未来从事安全工作，那么就要明白，CTF中的技术对安全工作来说是一部分，不是全部。工作中遇到的有些问题可以用 CTF中涉及的知识解决。还有很多问题则需要用到 CTF 之外的技能。

小白：有道理。

大东：打 CTF 是非常好的安全技术能力训练方式，优秀 CTF 选手在从事安全技术工作时也会有很大优势。不过大多数现实中的安全技术工作其实没有 CTF 中的问题那么困难，但会复杂得多。另外，打 CTF 的目标是得分，处理现实安全问题的时候要考虑更多因素，比如，解决问题的同时还要保持业务运行。

小白：如果未来没有从事网络安全的工作，CTF除了对专业技术能力有好处，对于其他能力呢？

大东：除了和 CTF 相关的技术能力，从职业的角度看，通用能力也很重要。比如，很基本的三点：能想清楚、能写清楚、能讲清楚，这体现了你逻辑是否严密、语句是否通顺、表达是否清晰。有些通用能力对专业能力提升也有帮助，比如分析能力、判断能力、规划能力、搜集能力、学习能力、提炼能力。无论以后你想从事什么工作，在学生时代加强这些能力的培养，对你整个人生都会有很大的帮助。

小白：打CTF居然可以训练这么多能力，不说了，我也要去打CTF，提升自己的能力了。

来源：中国科学院计算技术研究所