20253908 2025-2026-2 《网络攻防实践》课程总结

《网络攻防实践》总结报告

1.内容总结

第1次实践 攻防环境搭建：搭实验环境Kali、WinXP、靶机和蜜网。

第2次实践 前期侦察：学习踩点、扫描、查点，用Nmap等工具。

第3次实践 网络嗅探：用tcpdump、Wireshark抓Web和TELNET流量。

第4次实践 网络欺骗：做ARP等攻击。

第5次实践 防火墙与IDS：配置iptables和Snort，知道规则怎么拦截。

第6次实践 Windows远程渗透：用MSF完成漏洞验证、payload配置和会话管理。

第7次实践 Linux远程渗透：围绕Samba漏洞练MSF利用、抓包分析和溯源。

第8次实践 逆向与恶意代码：用IDA分析Crackme，也分析rada样本和僵尸网络流量。

第9次实践 缓冲区溢出：改机器码、覆盖返回地址、注入shellcode，理解执行流控制。

第10次实践 Web安全：做SQL注入和XSS，明白输入过滤、转义和安全编码很关键。

第11次实践 网页木马：学习挂马流程、静态和动态分析和木马防范。

2.最喜欢且做得最好的实践是哪次？为什么？

我最喜欢第9次。它不是简单地利用工具，而是要自己看汇编、算偏移、构造payload。最能检验我有没有真的理解栈、返回地址和系统防护。这个知识点和我本科期间学过的计算机硬件基础相呼应，带给我很大的启发。

3.本门课学到的知识总结

这 11 次实验基本是按一条完整的网络攻防流程展开的：先搭建实验环境，再做信息收集和流量分析，接着进行网络攻击、远程渗透、防御检测、恶意代码分析、缓冲区溢出和 Web 安全实验。

第1次实验：攻防环境搭建

第一次实验主要是把后面实验要用的环境先准备好。需要了解攻击机、靶机、SEED 虚拟机、蜜罐和蜜网分别有什么作用，也要会配置 VMware 的 NAT、桥接和仅主机模式。

这次的重点不是单纯安装虚拟机，而是明白安全实验为什么要放在隔离、可控、可还原的环境里进行。实验中还开始接触一些常用工具，比如 Kali、Wireshark、tcpdump、Nmap 和 Metasploit。

参考链接：第1次实验

第2次实验：前期侦察

第二次实验学的是攻击前的信息收集，也就是先摸清目标的大概情况。主要包括踩点、扫描和查点三个阶段。

踩点偏向公开信息收集，比如 DNS、Whois、搜索引擎查询等；扫描主要是主动探测目标，比如用 Nmap 查看主机是否在线、开放了哪些端口、运行了什么服务；查点则进一步分析服务版本、系统信息和可能存在的漏洞。Nessus 漏洞扫描也属于这一类内容。

参考链接：第2次实验

第3次实验：网络嗅探与流量分析

第三次实验的核心就是学会“看数据包”。通过 tcpdump 抓取 Web 访问流量，再用 Wireshark 分析 TELNET 登录过程，可以直观看到 TELNET 明文传输用户名和密码的风险。

后面还通过分析抓包文件，判断攻击源 IP、目标 IP、扫描工具、扫描端口和开放端口。简单来说，这次实验就是练习从网络流量里还原真实的通信和攻击行为。

参考链接：第3次实验

第4次实验：网络欺骗与攻击

第四次实验主要围绕网络协议缺陷展开。ARP 欺骗是伪造 IP 和 MAC 地址的对应关系，让目标主机把流量发到攻击机；ICMP 重定向是诱导主机修改路由；SYN Flood 利用 TCP 三次握手机制消耗服务器资源；TCP RST 注入可以强行断开连接；TCP 会话劫持则是在明文会话中伪造数据包，尝试接管通信过程。

对应的防御思路包括绑定静态 ARP、关闭异常 ICMP 重定向、启用 SYN Cookie、使用加密协议，以及通过防火墙过滤异常流量。

参考链接：第4次实验

第5次实验：防火墙与 IDS

第五次实验开始从攻击转向防御。iptables 主要负责包过滤，可以根据源地址、目标地址、协议类型和端口号来决定放行、拒绝或丢弃数据包。

Snort 是入侵检测工具，可以按照规则识别端口扫描、拒绝服务攻击和异常通信，并生成报警日志。这里还需要区分 IDS 和 IPS：IDS 更像报警器，只负责发现问题；IPS 则更进一步，可以直接拦截攻击流量。蜜网中也会用到防火墙、IDS 和 IPS 这些防御思想。

参考链接：第5次实验

第6次实验：Windows 远程渗透与取证

第六次实验主要学习 Metasploit 在 Windows 渗透测试中的使用。需要理解 MSF 的模块化结构：Exploit 用来利用漏洞，Payload 用来执行后续操作，Auxiliary 用来扫描和枚举信息，Post 用来做后渗透。

基本流程是先扫描端口和服务，再判断漏洞，接着选择合适模块，配置 payload，最后获取 session。取证部分还涉及 Windows 认证机制、SAM 文件、LSASS 进程、NTLM 哈希、系统日志和内存分析等内容。

参考链接：第6次实验

第7次实验：Linux 远程渗透

第七次实验主要围绕 Linux 靶机和 Samba 服务漏洞展开。重点是理解服务版本和漏洞利用之间的关系，比如 Samba 的 Usermap_script 漏洞可以通过特殊用户名触发远程命令执行。

操作上继续使用 Metasploit，流程包括搜索漏洞模块、设置 payload、配置 RHOST 和 LHOST、运行 exploit，并获取远程 Shell。防守方则可以用 tcpdump、Wireshark 和 Snort 抓包，分析攻击过程和异常流量。

参考链接：第7次实验

第8次实验：逆向分析与恶意代码分析

第八次实验更偏向二进制分析和取证。RaDa 样本分析中，需要先判断文件类型，确认是否为 PE 文件，再检查是否经过 UPX 加壳，然后进行脱壳、字符串提取和 IDA 静态分析。

Crackme 任务主要是通过反汇编和调试，找出程序判断输入是否正确的逻辑。后面还分析了僵尸网络流量，包括 IRC 通信、僵尸主机数量、攻击源 IP、攻击端口和攻击是否成功。总体来说，这次实验是把程序行为和网络行为结合起来分析。

参考链接：第8次实验

第9次实验：缓冲区溢出

第九次实验比较底层，重点是理解栈结构、返回地址、函数调用过程和程序执行流控制。

实验先通过修改机器码改变程序执行流程，再利用超长输入覆盖返回地址，让程序跳转到 getShell 函数，最后进一步把 Shellcode 放到栈里执行。这里还涉及 GDB 调试、十六进制编辑、NOP 滑板、关闭地址随机化和开启栈可执行等知识点。

参考链接：第9次实验

第10次实验：Web 安全

第十次实验主要学习 SQL 注入和 XSS。

SQL 注入的本质是程序把用户输入直接拼接进 SQL 语句，导致攻击者可以绕过登录、查询敏感数据，甚至修改数据库。防御方法主要是输入校验、过滤特殊字符、使用参数化查询，避免直接拼接 SQL。

XSS 是把恶意脚本插入网页，让其他用户的浏览器执行。它可能导致 Cookie 被窃取、自动发起请求、修改用户信息，严重时还可能形成 XSS 蠕虫。防御时需要做好输入过滤、输出转义，并启用合适的 HTML 过滤机制。

参考链接：第10次实验

第11次实验：网页木马与浏览器攻击

第十一次实验把浏览器漏洞、恶意脚本和木马投递联系在一起。网页木马通常会诱导用户访问被植入恶意代码的网页，然后利用浏览器、Flash、PDF、Java 或 ActiveX 等漏洞下载并运行木马程序。

分析网页木马时，一般分为静态分析和动态分析。静态分析主要看源码、混淆代码、跳转链接和可疑域名；动态分析则观察抓包结果、进程变化、文件变化、注册表变化和自启动项。实验中还使用 Metasploit 验证浏览器漏洞，并结合 MD5、Base64、XXTEA、脱壳和 IDA 进行取证分析。

参考链接：第11次实验

总结

这 11 次实验可以看成一条比较完整的攻防学习路线：

1. 先搭好实验环境；
2. 再做目标侦察和信息收集；
3. 接着通过抓包理解网络通信；
4. 然后学习网络欺骗、远程渗透和漏洞利用；
5. 同时掌握防火墙、IDS、取证分析等防御方法；
6. 最后深入到恶意代码、缓冲区溢出和 Web 漏洞。

整体收获是：网络安全不能只会敲工具命令，更要知道攻击背后的原理。真正分析问题时，需要同时从网络流量、主机状态、程序代码、系统日志和安全策略几个角度综合判断。

4.课堂的收获与不足

这门课学下来，我感觉自己收获的不是只记住了一堆工具名儿，而是慢慢知道网络攻防大概是怎么一步步展开的。刚开始我主要是在搭环境，像Kali、靶机、SEED、蜜网这些，以前看着很散，现在知道它们各有用处。后面做前期侦察、扫描和抓包的时候，我对Nmap、tcpdump、Wireshark这些工具更熟了，也能看懂一些端口、协议和数据包里的信息，不再只是照着命令敲。

我印象比较深的是ARP欺骗、防火墙和Snort那几次，因为它让我发现攻击和防御其实是连在一起的。比如一边能伪造流量、劫持通信，另一边也要会写iptables规则、看告警日志。到Windows和Linux远程渗透时，我又接触了Metasploit，知道漏洞利用不是点一下就完事，还要理解服务、端口、payload和会话。

后面的内容就更偏底层和Web安全了。逆向实验里我看程序逻辑，恶意代码分析让我知道字符串、加壳、网络行为都可能暴露线索。缓冲区溢出那次我理解了栈、返回地址和shellcode的关系，感觉最难但也最有收获。Web安全里SQL注入和XSS让我明白，用户输入真的不能随便相信。

总体来说，我学到的是一种安全思维：先发现问题，再验证问题，最后还要想到怎么修不足是有些实验还比较依赖教程，遇到报错时依赖AI较多，后面要多复盘命令、日志和原理。

5.参考文献

[1] 第1周作业：攻防环境搭建
[2] 第2周作业：网络攻击前期侦察
[3] 实验三：网络嗅探
[4] 实践4报告：网络欺骗
[5] 实践5报告：防火墙与IDS
[6] 实践六报告：Windows远程渗透
[7] 实践7报告：Linux远程渗透
[8] 第八周作业：逆向与恶意代码分析
[9] 实践九报告：缓冲区溢出
[10] 第十周作业：Web安全
[11] 实践11报告：网页木马