20252820 2025-2026-2 《网络攻防实践》课程总结

20252820 2025-2026-2 《网络攻防实践》课程总结

1. 内容总结

20252820 2024-2025-2 《网络攻防实践》实践一报告

这次主要是把后面所有实验需要用到的环境先搭起来，包括 Kali 攻击机、Windows 靶机、Metasploitable、SEED虚拟机和 Honeywall蜜网网关等。通过配置VMware网络、IP地址、网关和连通性测试，我对攻防实验环境中的攻击机、靶机分别起什么作用有了了解。

20252820 2024-2025-2 《网络攻防实践》实践二报告

实践二主要学习了网络踩点和扫描，包括域名查询、IP 信息查询、主机在线探测、端口扫描、操作系统识别和漏洞扫描。通过 Nmap、Nessus等工具，我学会了如何掌握目标主机开放了哪些服务、可能存在什么漏洞。

20252820 2024-2025-2 《网络攻防实践》实践三报告

实践三中我学会了如何使用tcpdump和Wireshark对网络流量进行抓包分析，右击要追踪的TCP流然后选择follow TCP可以查看协议字段和流量等信息，我认识到很多网络行为其实都能在数据包里留下痕迹，也体会到抓包分析在取证中的重要性。

20252820 2024-2025-2 《网络攻防实践》实践四报告

这次实践围绕ARP缓存欺骗、ICMP 重定向、SYN Flood、TCP RST和TCP会话劫持展开。它让我意识到有些攻击不是单纯利用某个软件漏洞，而是利用协议机制本身的弱点，例如 ARP缺少身份验证、TCP建连过程会消耗服务器资源等。

20252820 2024-2025-2 《网络攻防实践》实践五报告

实践五从防守角度出发，学习了iptables防火墙规则、Snort离线入侵检测以及Honeywall中防火墙、IDS、IPS 规则的作用。通过配置 ICMP 过滤和访问控制规则，我对“减少暴露面”和“通过规则识别攻击”有了更具体的理解。

20252820 2024-2025-2 《网络攻防实践》实践六报告

实践六主要是利用Metasploit对Windows靶机进行远程渗透，并结合Wireshark对一次NT系统破解攻击进行取证分析。实验中接触了 MS08-067漏洞、Payload设置、会话建立、HTTP/TCP/FTP流追踪等内容，对Windows漏洞利用和攻击链还原有了基本认识。

20252820 2024-2025-2 《网络攻防实践》实践七报告

这次实践主要针对 Metasploitable 靶机中的 Samba usermap_script 漏洞进行渗透，使用 Metasploit 配置 RHOST、LHOST、PAYLOAD 等参数并尝试获取远程 Shell。同时还用 tcpdump、Wireshark 或 Snort 记录和分析攻击过程，训练了从流量中提取攻击信息的能力。

20252820 2024-2025-2 《网络攻防实践》实践八报告

实践八内容比较综合，包括RaDa恶意代码样本分析、加壳识别、脱壳、字符串提取、IDA Pro分析Crackme 程序，以及僵尸网络流量分析。它让我第一次比较系统地接触到恶意代码分析的流程：先看文件类型和壳，再看字符串和函数调用，最后结合运行行为和网络流量判断样本目的。

20252820 2024-2025-2 《网络攻防实践》实践九报告

这次实践主要围绕Linux可执行文件中的缓冲区溢出漏洞展开，通过修改机器指令、覆盖返回地址和注入Shellcode等方式改变程序执行流程。虽然这部分比较偏底层，但它让我对栈、返回地址、函数调用和程序控制流劫持有了更清楚的理解。

20252820 2024-2025-2 《网络攻防实践》实践十报告

实践十主要学习 SQL 注入和 XSS 跨站脚本攻击。SQL 注入部分让我理解了用户输入被拼接进SQL语句后为什么会改变查询逻辑；XSS部分则通过弹窗、读取Cookie、自动加好友、修改资料和蠕虫传播等任务，让我认识到前端脚本漏洞也可能造成比较严重的后果。

20252820 2024-2025-2 《网络攻防实践》实践十一报告

实践十一主要围绕浏览器客户端攻击和网页木马取证分析展开。前半部分使用Metasploit构造浏览器漏洞利用场景，后半部分分析start.html、new09.htm等可疑文件，逐层还原脚本跳转、混淆、XXTEA+Base64解密和最终下载文件。

2. 最喜欢且做得最好的实践是哪次？为什么？

我最喜欢且做得最好的实践是20252820 2024-2025-2 《网络攻防实践》实践十报告。主要原因是这次实验的内容比较直观，SQL 注入和 XSS 都是在网页中操作，实验结果能马上从页面变化中看出来，不像有些取证分析实验需要在大量数据包里慢慢找线索。

在SQL注入部分，我本来就对SQL语句有一点基础，所以能比较快地理解为什么在输入框里构造特殊内容后，后端查询逻辑会被改变。例如登录验证原本应该只查询一个用户，但是如果程序直接拼接输入，就可能被人为改写查询条件。这个过程让我对“不要相信用户输入”这句话有了更具体的理解。

在XSS部分，我觉得最有意思的是脚本不仅可以弹窗，还可以读取Cookie、自动加好友、修改个人资料，甚至继续传播。以前我对 XSS 的理解基本停留在“弹个框”，做完实验之后才发现它更像是浏览器端的权限滥用。虽然代码有些地方需要反复调试，但实验整体比较有成就感，所以我认为这是我完成得比较好的一次。

3. 本门课学到的知识总结

3.1 安全加固和检测技术

这部分主要体现在第二次和第五次实践中。第二次实践中使用Nmap进行主机扫描、端口扫描和操作系统识别，又使用Nessus、OpenVAS等工具进行漏洞扫描。通过这些实验，我认识到安全检测不是只看主机能不能ping通，还要看端口开放情况、服务版本和漏洞信息。

第五次实践中使用iptables配置防火墙规则，例如过滤ICMP报文、限制特定IP访问特定服务。Snort的离线检测让我知道IDS不是凭空判断攻击，而是通过规则、特征和日志来匹配可疑行为。Honeywall的规则分析也让我理解了蜜网网关既要转发流量，也要记录和限制攻击行为。

3.2 Web 安全技术

Web安全主要来自第十次实践。SQL注入让我理解了参数拼接的危险性，如果开发时直接把用户输入拼到SQL语句里，攻击者就可能通过构造输入改变原有查询、登录或更新逻辑。对应的防御方法是使用预编译语句、参数绑定、限制输入长度和权限控制。

XSS实验让我认识到前端输入过滤同样重要。把JavaScript写入用户资料后，其他用户访问页面时脚本会在浏览器中执行，可能导致Cookie泄露、自动加好友、资料被修改，甚至形成蠕虫传播。防御上需要对输入和输出都进行过滤或转义，并合理设置Cookie安全属性。

3.3 逆向分析技术

逆向分析主要体现在第八次实践中。通过分析RaDa恶意代码样本和Crackme程序，我接触了文件类型识别、加壳检测、脱壳、strings字符串分析和IDA静态分析。

我觉得逆向分析最重要的是不能只看一个结果，而是要把多个线索结合起来。例如字符串里出现的域名、路径、命令、注册表项，可能反映了程序的行为；IDA 中的函数调用和条件跳转，也能帮助判断程序什么时候输出成功信息或执行恶意逻辑。

3.4 主流代码审计技术

这部分在 11 次实践中涉及得不算多，没有像专门代码审计课程那样系统分析PHP、Python或Java项目。不过在SQL注入和XSS防御中，其实已经接触到了一些代码审计思想，例如检查用户输入是否直接进入 SQL语句、是否直接输出到页面、是否存在危险函数调用等。

所以我对代码审计的理解是：不要只看程序能不能正常运行，还要看用户输入在程序里经过了哪些位置，最后有没有进入数据库、命令行、文件系统或页面输出。

3.5 程序设计

程序设计知识主要体现在第九次缓冲区溢出实验和部分协议攻击实验中。第九次实践中需要理解C程序的函数调用、栈空间、返回地址和Shellcode，才能知道为什么输入过长的数据会覆盖程序原本的返回地址。

另外，在TCP会话劫持等实验中，也接触到了用脚本构造报文的思路。虽然课程不是专门教编程，但这些实验让我认识到安全学习离不开程序设计基础，尤其是Python脚本、C语言内存模型和基本调试能力。

3.6 计算机病毒技术

计算机病毒和恶意代码相关内容主要来自第八次和第十一次实践。第八次实践分析RaDa样本和僵尸网络流量，第十一次实践分析网页木马和浏览器漏洞利用过程。

通过查阅资料我了解到病毒通常依附文件，蠕虫强调自我传播，木马则更常见于隐藏后门或远程控制。实际分析时，不能只看文件名，而要看它是否联网、是否下载其他文件、是否修改系统配置、是否隐藏自身行为。

3.7 网络溯源及防范技术

网络溯源主要体现在第三次、第六次、第七次和第八次实践中。通过Wireshark、tcpdump、Snort等工具，可以从流量中找出攻击源IP、目标IP、端口、协议、攻击时间和后续命令。

我觉得这部分最考验耐心。比如在分析一次攻击链时，不能只看到一个可疑包就下结论，而是要把扫描、连接、漏洞利用、反弹 Shell、文件下载、清理痕迹等行为串起来。这样才能说明攻击者做了什么，而不是只说“有攻击流量”。

3.8 加密解密技术

实验中没有系统涉及AES、RSA、数字签名等完整密码学内容，但第十一次实践中涉及到了XXTEA+Base64解密和脚本混淆还原。

通过这个实验我认识到，在网页木马或恶意脚本中，攻击者常常会使用编码、加密或混淆隐藏真实代码。分析时要先判断它是普通编码、加密算法还是脚本混淆，再逐步还原真实逻辑。

3.9 信息系统运行维护

信息系统运行维护主要体现在实验环境搭建和后续每次实验的排错过程中。比如配置VMware网络、修改虚拟机IP、查看网卡、测试连通性、启动apache服务等。

一开始我觉得这些只是准备工作，但后来发现如果网络、网关、IP、服务状态没有配置好，后面的扫描、攻击和抓包都无法正常进行。所以实验一的环境搭建学习是后面实验正常开展的前提。

3.10 网络协议分析

网络协议分析是本课程中非常重要的一部分。第三次实践中分析 TELNET、TCP流和扫描行为，第四次实践中做 ARP 欺骗、ICMP 重定向、SYN Flood、TCP RST和TCP会话劫持，第六次和第七次实践又在漏洞利用场景中分析HTTP、TCP、FTP、SMB等流量。

通过这些实验，我对TCP/IP协议栈有了更具体的认识。以前学习三次握手、ARP、ICMP时主要是背概念，现在通过抓包能看到它们在真实通信中的字段和变化，也能理解为什么协议机制一旦缺少认证或校验，就可能被攻击者利用。

3.11 数据库

数据库知识主要体现在第十次SQL注入实验中。实验中需要理解SELECT、WHERE、UPDATE 等SQL语句的基本结构，才能判断构造的输入为什么会影响数据库查询结果。

我认为这部分最大的收获是：数据库安全不仅是数据库管理员的事情，也和Web开发直接相关。即使数据库本身没有漏洞，只要上层应用错误地拼接SQL语句，也可能造成越权查询、登录绕过或数据泄露。

3.12 法律

这11次实践主要是技术实验，法律法规内容没有作为重点展开。不过通过课程学习，我认识到网络攻防实验必须放在隔离环境中进行，不能把课堂上学到的扫描、攻击、漏洞利用方法拿到真实网络中随意使用。

3.13 基础

在这门课中我感觉主要用到计算机网络的基础知识比较多。比如网络扫描和协议攻击需要理解TCP/IP；Web 安全需要理解HTTP协议等。在网络环境的搭建中还需要理解ip配置，网段划分，DHCP，NAT等计算机网络的基础知识，这些计算机网络的基础知识在日常生活中有时还是能用到的。

4. 课堂的收获与不足

这门课最大的收获是让我把以前比较分散的网络安全知识串了起来。以前我可能只知道Nmap是扫描工具、Wireshark是抓包工具、Metasploit是渗透工具，但不太清楚它们在一次完整攻防流程中分别处于什么位置。通过11次实践，我逐渐理解了从环境搭建、信息收集、漏洞利用到流量分析和防御检测的大致流程。

第二个收获是提高了动手能力。很多实验并不是命令一运行就成功，经常会遇到虚拟机网络不通、IP配错、服务没启动、payload反连失败、抓包过滤条件写错等问题。刚开始遇到报错会比较慌，后面就会先检查网络、IP、端口、服务和日志，排查思路比以前清楚了一些。

第三个收获是对攻击和防御的关系理解更深了。比如SQL注入不是只会构造payload就够了，还要知道预编译语句为什么能防御；SYN Flood不是只会发包，还要理解半连接队列为什么会被占满；Snort也不是自动万能检测，而是依赖规则和特征。

不足的地方也比较明显。首先，我对一些底层原理掌握还不够扎实，特别是缓冲区溢出、Shellcode、反汇编这些内容，做实验时能跟着步骤完成，但如果换一个程序，自己独立分析还会比较吃力。其次，取证分析部分需要耐心和经验，我有时候容易只关注结果，忽略了把完整攻击链条写清楚。最后，部分工具还停留在“会用命令”的层面，对参数含义和工作原理还需要继续学习。

总的来说，这门课让我对网络攻防有了比较完整的认识。我已经知道了网络攻击的基本流程、并学会了使用常用的取证分析工具以及脱壳工具等。

5. 参考文献

1.Wireshark官方文档：https://www.wireshark.org/docs/
用于学习抓包分析、TCP流追踪、协议字段查看等内容，在网络扫描分析、远程渗透取证和网页木马流量分析中都有用到。

2.tcpdump 使用手册：https://man.openbsd.org/tcpdump
用于参考如何命令行抓包和保存pcap文件，方便在Linux环境下对攻击流量进行初步捕获和分析。

3.Nmap官方文档：https://nmap.org/docs.html
参考了其中有关主机发现、端口扫描、服务识别和操作系统识别的知识。

4.Nessus官方网站：https://www.tenable.com/products/nessus
主要参考漏洞扫描相关内容，用来理解如何发现靶机上可能存在的系统漏洞和配置风险。

5.Metasploit 官方文档：https://docs.metasploit.com/
参考漏洞利用模块、payload、session会话等内容。

6.Snort 官方网站：https://www.snort.org/
帮助分析pcap文件中的扫描行为、攻击行为和异常流量。

7.OWASP SQL Injection Prevention Cheat Sheet：https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html
参考学习SQL注入漏洞的形成原因和防御方法。