20242909 2024-2025-2 《网络攻防实践》课程总结

20242909 2024-2025-2 《网络攻防实践》课程总结

第1次实践 网络攻防环境的搭建

本次实验旨在通过 VMware Workstation 搭建一个完整的网络攻防实验环境，为后续实战演练提供基础支撑。实验过程中，我们使用了多个预配置的虚拟机镜像，包括攻击机、靶机、SEED教学环境和蜜网网关，模拟真实的网络攻防场景。具体操作包括：在 VMware 中导入各类虚拟机，合理配置网络连接方式（如 NAT 和 Host-Only 模式），为每台虚拟机分配静态 IP 地址，调整网络适配器设置，并测试虚拟机之间的互联互通。通过构建内外网隔离、受控通信的网络拓扑，确保各节点能够稳定运行并具备后续攻防实验所需的功能基础。

第2次实践 网络信息收集技术

本次实验围绕网络信息查询、安全扫描及隐私保护等关键技能展开，旨在通过实践掌握信息获取、漏洞分析和隐私风险识别的基础操作和工具使用。实验主要包括以下几个方面：

域名与IP信息查询：使用 whois 和 nslookup 等工具，对常见网站（如 baidu.com）的注册信息、IP地址及地理位置进行全链路信息查询，理解 DNS 查询机制及域名注册信息结构。

通信行为下的IP获取：借助 QQ 电话通话，在资源监视器中抓取通信产生的 IP 地址，并结合在线情报平台进行地理位置分析，理解通信过程中的网络可追踪性。

网络扫描与漏洞探测：通过 nmap 对实验靶机进行主机发现、端口扫描、服务识别和操作系统推测等操作；使用 Nessus 工具执行自动化漏洞扫描，识别服务暴露风险，分析高危漏洞产生原因，并初步探讨潜在攻击路径。

个人隐私信息搜索：利用搜索引擎查询自身学号、姓名等公开信息，评估个人在互联网上的隐私暴露情况，提升个人信息安全意识。

实验过程中穿插多种实用工具的使用方法，如 Kali Linux 下的命令行操作、Windows 平台下的资源监视器、图形化漏洞扫描平台 Nessus 等，提升了网络安全工具实战应用能力，为后续更深入的渗透测试与攻防演练打下了坚实基础。

第3次实践 网络嗅探与协议分析

本实验主要围绕网络攻防中常见的嗅探与取证技术展开，涉及网络嗅探工具 tcpdump、抓包工具 Wireshark，以及网络取证分析工具 p0f 的实际操作与分析，具体包括以下三个方面：

• 网络嗅探工具实践 —— tcpdump 的使用通过 tcpdump 工具，对本地主机访问某网站过程中的网络流量进行嗅探，分析浏览器访问过程中涉及的多个 Web 服务器的 IP 地址及其通信模式。重点掌握如何使用命令行过滤条件捕获目标数据包，并结合实际网络访问行为，理解现代网站通常由多个服务器协同提供服务的架构特点。

• 抓包工具实践 —— Wireshark 的使用利用 Wireshark 工具，对通过 TELNET 协议登录 BBS 站点的整个通信过程进行抓包与分析，具体包括：捕获并识别 TELNET 通信过程中的服务器 IP 和端口信息；分析用户名和密码在传输过程中是否加密，从而验证 TELNET 协议存在的明文传输安全隐患；利用 Wireshark 的过滤与数据流追踪功能，从数据包中提取用户的登录凭证，增强对协议安全风险的理解。

• 网络取证分析实践 —— pcap 文件分析与操作系统识别对网络扫描器生成的日志文件 listen.pcap 进行取证分析，重点包括：攻击者识别与通信分析：定位攻击源主机 IP，识别扫描目标 IP，并分析通信行为。扫描方法与端口识别：分析攻击者使用的扫描技术（如 TCP Connect 扫描、SYN 扫描等），识别目标主机开放的端口范围。操作系统指纹识别：通过 p0f 工具对攻击者主机进行操作系统类型与版本的识别，了解操作系统指纹识别在网络取证中的应用。

第4次实践 TCP/IP网络协议攻击

本次实验主要在搭建好的网络攻防环境中，利用Kali攻击机对多台靶机实施ARP缓存欺骗、ICMP路由重定向、SYN Flood、TCP RST及TCP会话劫持等多种常见网络攻击。实验过程中，通过使用netwox、ettercap等工具，模拟了伪造ARP应答干扰局域网通信、发送虚假ICMP报文实现流量重定向、构造大量SYN请求造成服务器资源耗尽、伪造TCP RST报文中断连接以及通过中间人方式劫持并窃取TCP会话内容等攻击行为，进一步加深了对这些网络攻击机制的理解。通过实践掌握了相关攻击的操作流程、数据包特征及其危害，为后续网络安全防御技术的学习奠定了基础。

第5次实践 网络安全防范技术

本次实验主要围绕防火墙配置与入侵检测系统的基本应用展开。在实践过程中，我通过iptables在Linux系统中实现了ICMP数据包过滤以及基于IP地址的访问控制，能够有效控制不同主机对服务的访问权限。此外，我利用Snort对pcap数据包进行了分析，识别出典型的端口扫描攻击行为，并结合日志信息判断攻击来源及手法，加深了对入侵检测原理的理解。最后，分析蜜网网关的防火墙与IDS/IPS配置，使我认识到在虚拟攻防环境中，如何通过流量控制与行为识别实现对攻击行为的捕获与应对。整体实验提升了我对网络防御机制配置和安全事件分析的实践能力。

第6次实践 Windows操作系统安全攻防

本次实践六的实验内容主要围绕Windows系统的远程渗透与取证分析展开，涵盖了Metasploit框架的实际操作、攻击过程的数据包分析以及攻防对抗的实战演练。首先，在动手实践环节中，通过在Kali攻击机上配置并利用Metasploit的ms08_067漏洞模块，对Win2k靶机进行了成功的远程渗透攻击，掌握了漏洞利用的基本流程及反向Shell的建立方法。随后，在取证分析部分，借助Wireshark对蜜罐主机被攻陷的全过程进行了深入解析，追踪到了攻击者的操作行为，包括Unicode漏洞利用、远程文件下载、nc反弹Shell建立和痕迹清除等关键步骤，揭示了真实攻击中常见的入侵路径与手法。最后，在团队对抗实践中，通过攻防双方的分工配合，攻方模拟真实攻击操作，防守方利用Wireshark捕捉数据并进行流量分析，验证了攻击结果并还原了攻击流程。整个实验内容设计紧密、实操性强，不仅提升了我对渗透测试技术的理解，也增强了我在真实网络环境下的攻防意识和分析能力。

第7次实践 Linux操作系统攻防

本次实验的主要内容是利用Metasploit对Linux系统中存在的Samba服务usermap_script漏洞进行远程渗透攻击，并通过攻防对抗实践，分析网络流量以掌握渗透全过程。在实验中，首先通过kali虚拟机启动Metasploit框架，加载exploit/multi/samba/usermap_script模块，并设置payload为cmd/unix/bind_netcat，结合靶机与攻击机的IP地址完成参数配置后成功发起攻击，获取了靶机的shell权限，并验证获取的是root权限。在攻防对抗实践环节，攻击方继续利用上述漏洞实施渗透，防守方则借助Wireshark进行网络流量监听和分析，通过抓包识别出攻击者IP、目标端口及攻击时间，并追踪TCP数据流观察到攻击指令执行的全过程。通过本次实验，不仅对Metasploit工具的使用更加熟练，也进一步加深了对网络攻防流程和流量分析方法的理解与掌握。

第8次实践 恶意代码分析实践

本次实验主要围绕恶意代码的静态分析与僵尸网络通信行为的检测展开，通过对 RaDa 恶意样本的逆向分析，我首先使用 PEiD 和 Exeinfo PE 工具识别出其采用了 UPX 加壳，随后利用命令行工具进行脱壳，并借助 IDA Pro 对脱壳后的可执行文件进行反汇编分析。通过提取关键字符串与跟踪程序调用流程，我发现该程序包含动态加载 DLL、创建远程线程、访问网络等典型恶意行为，且具备修改注册表添加启动项的能力，初步判断其具有远程控制和持久化运行的特征。在 Crackme 样本分析中，我利用 x64dbg 调试工具逐步还原程序的验证逻辑，排除花指令干扰，定位关键加密算法，并通过分析其对输入字符串与内置密钥的异或运算规则，成功构造出合法的输入，从而完成破解任务。随后，我基于 Snort 捕获的恶意流量数据，结合 Wireshark 进行深度分析，识别出大量使用 TCP 6667 端口的通信，协议内容符合 IRC 控制特征，进一步通过观察 PRIVMSG 指令负载中的攻击命令（如 !scan、!ddos），确认其为典型 IRC 僵尸网络控制行为。我还提取了控制服务器的 IP 地址以及部分感染主机的行为特征，结合通信模式可构建 Snort 检测规则，实现对类似攻击行为的实时监测与告警。通过本次实验，我不仅深入理解了恶意代码的行为特征与静态分析方法，也初步掌握了网络层面僵尸网络的检测与溯源技术。这些能力对于今后从事网络攻防对抗、安全事件响应以及威胁情报研究具有重要的理论与实践价值。

第9次实践 软件安全攻防--缓冲区溢出和shellcode

在本次实验中，我围绕一个名为 pwn1 的 Linux 可执行文件开展缓冲区溢出相关攻击实验，目标是在未修改源码的情况下想方设法执行原本不会被调用的 getShell 函数。整个实验依次通过手工修改可执行文件指令、构造 BOF（缓冲区溢出）攻击输入、以及注入自制 shellcode 三种方式，完成对程序控制流的劫持。首先，我使用 objdump 对文件进行反汇编，定位 main 函数调用 foo 的机器指令 e8 d7ffffff，并计算得知这是跳转至 foo 的相对偏移地址。随后我修改该跳转指令为跳转到 getShell 的偏移量 c3ffffff，使用 vim 以十六进制编辑器格式精确定位并修改文件字节，恢复后成功完成重定向，使得程序启动后直接进入 getShell 函数。接着，在原始未修改的程序基础上进行 BOF 攻击，借助 GDB 调试器定位栈空间布局，通过不断输入字符测试缓冲区大小，最终确定溢出点，并构造格式为“填充字符 + getShell 地址”的 payload，借助 perl 脚本生成并通过重定向输入运行程序，实现函数调用劫持。最后，我进一步学习了 shellcode 注入技术，通过关闭地址随机化、设置堆栈可执行权限、调试程序运行中的栈顶地址等操作，精准注入自制 shellcode，并使程序执行恶意指令。整个实验过程中还遇到如 hex 编辑误操作导致文件结构异常无法反汇编等问题，但通过重新拷贝并精确修改最终解决。通过此次实践，我对缓冲区溢出原理、栈结构、函数调用约定、机器指令、shellcode 编写与注入流程有了全面且深刻的理解，也提升了使用汇编、调试器和系统工具进行逆向分析与攻防实操的综合能力。

第10次实践 Web应用程序安全攻防

本次《网络攻防实践》第十次实验主要围绕SEED平台上的SQL注入攻击与防御以及XSS跨站脚本攻击进行了深入实践。首先在SQL注入部分，通过登录绕过实验，成功利用输入条件注入实现非法登录，进一步通过更新语句注入篡改数据库内容，充分掌握了SQL注入的攻击原理和危害。随后，结合实验环境实施了防御措施，包括使用参数化查询、过滤输入及合理权限控制，有效防止了注入攻击的发生。接着在XSS攻击实验中，体验了通过恶意脚本注入实现的XSS蠕虫传播及Cookie窃取，深入理解了客户端脚本注入带来的安全风险。针对这些攻击，实验演示了采用输入输出严格过滤、内容安全策略（CSP）等防护手段，提升了Web应用的安全防御能力。通过本次实验，不仅加深了对SQL注入和XSS攻击技术细节的理解，也提升了对实际应用环境中防御措施设计与实施的能力，增强了网络攻防的综合实战水平。

第11次实践 浏览器安全攻防实践

本次实验完成了三个主要内容：首先进行了web浏览器渗透攻击实验，使用Metasploit中的MS06-014漏洞模块，配置远程Shell连接载荷，设置攻击机和Windows靶机的IP，构造恶意网页木马链接并在靶机浏览器访问，成功建立远程控制会话，实现对靶机的命令执行；其次开展了网页木马攻击场景的取证分析实践，通过分析start.html和new09.htm中的链接地址，计算其32位MD5散列值并下载对应文件，发现文件内容经过Base64和XXTEA加密，使用密钥“script”解密得到脚本代码，揭示攻击者利用了多种ActiveX控件漏洞，加载远程脚本和恶意执行程序，详细分析了这些脚本的功能及其对应的MD5值；最后进行了攻防对抗实践，攻击方通过混淆处理构造至少两个不同浏览器漏洞的渗透代码并伪装成钓鱼邮件链接发送，防守方提取链接进行解混淆和漏洞分析，识别了攻击针对的浏览器及其安全缺陷。整个实践过程图文并茂，充分展示了web渗透攻击从构造、执行到取证分析的完整流程，深化了对浏览器漏洞利用及防御机制的理解。

最喜欢的且做的最好的一次实践是哪次？为什么？

我最喜欢实践十一的内容，主要是因为这部分的攻防对抗实践真实再现了网络安全攻防的复杂场景，让我深刻感受到了理论与实际操作的结合。具体来说，在这次实践中，攻击方通过构造混淆和加密的恶意代码对Web浏览器进行渗透攻击，防守方则需要利用多种技术手段对代码进行逆向分析和解混淆，恢复代码的真实逻辑，从而找出漏洞和攻击路径。这个过程不仅考验了我对网络安全知识的理解深度，还锻炼了我面对复杂问题时的分析能力和逻辑思维能力。

此外，实践中的攻防双方对抗具有很强的动态性和挑战性，让我体验到了网络攻防中“攻防博弈”的真实氛围。每一步解密和还原代码的过程都像是在破解一个复杂的谜题，不断推动我深入挖掘技术细节，提高了我的动手能力和实际操作水平。通过这次实践，我更加理解了网络安全防护不仅仅是简单的防御，更是一场技术与智慧的较量。

本门课学到的知识总结（重点写）

在本次网络攻防实践课程中，我系统学习并掌握了网络攻防领域的多项核心技术，涵盖了环境搭建、信息收集、协议分析、漏洞攻击及恶意代码分析等多个重要环节，进一步夯实了理论基础，提升了实践能力。

一、网络环境搭建与基础工具应用
课程伊始，我首先完成了网络攻防实验环境的搭建，包括配置攻击机、靶机及蜜网网关等。熟悉了 VMware Workstation 虚拟机的使用，掌握了网络适配器桥接与NAT模式的配置，确保实验环境中各设备的互联互通。随后，使用 Wireshark、tcpdump 等工具进行网络嗅探和数据包捕获，初步了解数据包的结构和传输过程，为后续协议分析打下基础。

二、信息收集技术
信息收集是网络攻防的第一步，也是整个攻防链条中的关键环节。我深入学习了 DNS 查询、IP 地址反查、端口扫描等技术。通过 nslookup 和 dig 工具查询域名解析记录，掌握了 A 记录、MX 记录、NS 记录的含义及用途。利用 nmap 实现多种扫描模式，包括 TCP SYN 扫描、全连接扫描及服务版本探测，有效识别目标主机开放端口及运行服务。结合 Nessus 进行漏洞扫描，精准定位靶机的安全漏洞与弱点，全面评估目标系统的安全状态。

三、协议分析与TCP/IP攻击
通过对网络数据包的抓取与分析，我详细学习了 TCP/IP 协议栈各层的协议特点与攻击面。实践了 TCP 三次握手与四次挥手过程的解析，理解了 TCP 流量控制和拥塞控制机制。重点掌握了 TCP SYN Flood 等拒绝服务攻击方式的原理及检测方法，实际模拟了 TCP 会话劫持、伪造数据包的攻击技术，加深了对协议安全性的理解。

四、恶意代码分析
针对恶意软件样本，我使用 PEiD 识别文件类型与加壳状态，采用 binwalk 进行固件与文件系统的结构解析，利用 file 命令确认样本格式。通过脱壳处理，提取恶意代码的真实内容，分析其关键字符串、网络通信地址、加密密钥等信息。结合静态分析与动态调试技术，深入理解了恶意代码的行为特征，如自我复制、进程注入、持久化机制及网络通信协议。并识别了反调试、防沙箱等反逆向技术，掌握了绕过常见防护手段的方法。

五、缓冲区溢出与Shellcode
实验中，我详细研究了程序内存布局，包括堆栈段、数据段与代码段的位置及作用。通过精确计算溢出偏移量，构造恶意输入数据覆盖返回地址，实现栈溢出攻击。学习了 x86 汇编语言，编写自定义 Shellcode，实现远程命令执行和权限提升。并结合调试工具（如 gdb）动态跟踪程序执行流程，验证攻击的有效性和稳定性。

六、Web应用安全攻防
针对 Web 安全，我重点掌握了 SQL 注入与 XSS 攻击原理。通过手工构造注入语句，绕过登录验证，实现数据库信息泄露。学习了盲注、时间延迟注入等高级技术。对反射型和存储型 XSS 进行模拟攻击，理解脚本注入对用户信息安全的威胁。结合防御实践，掌握输入过滤、参数化查询及内容安全策略（CSP）的应用，强化 Web 应用的安全防护能力。

课堂的收获与不足

一、课堂收获

通过本次网络攻防实践课程的学习，我系统掌握了网络攻防的基本流程和核心技术。课程内容由浅入深，涵盖了环境搭建、信息收集、协议分析、漏洞利用和恶意代码分析等多个重要环节，使我能够全面理解网络安全攻防的整体思路。实践环节中，我熟练运用了多种工具，如 Wireshark、nmap、PEiD、gdb 等，提升了动手操作能力和故障排查能力。同时，课程让我养成了从攻击者视角思考问题的习惯，能够更好地理解安全漏洞产生的原因以及相应的防御策略。此外，课堂上强调理论与实践结合，增强了我对复杂安全技术的理解和应用自信。

二、存在不足

尽管收获丰富，我也发现自己在学习过程中存在一定不足。首先，由于基础知识尚不够扎实，部分高级攻击技术如内核态攻击、复杂的加密算法分析理解较为困难，尚需加强相关理论学习。掌握还不够熟练，偶尔会出现配置错误或参数设置失误，如在防火墙规则配置和Metasploit模块使用时，影响了实验的流畅进行。其次，实践经验相对有限，面对突发的环境配置问题和实验故障时，解决问题的效率还需提升。再者，部分实验涉及的脚本编写和自动化工具应用能力不足，影响了实验的深度和效率。此外，对部分底层协议和攻击机制的理解还不够深入，导致实践操作时遇到一定难题。针对这些不足，在后续学习中应当进一步夯实理论基础，提升工具应用熟练度，并通过更多实战演练锻炼快速分析和解决问题的能力。

参考文献

Kali Linux Nessus详细安装步骤！！！
Kali Linux全网最细安装教程
【超详细】渗透测试平台Metasploit使用教程（框架介绍、靶机安装、基本使用方法）
SEEDLab
XSS Worm原理与案例分析
[SEED-Lab]-SQL注入攻击
nmap出击：使用nmap扫描某台靶机，给出并解读靶机环境的配置情况
windows常见取证工具