20252910 2025-2026-2《网络攻防实践》课程总结
20252910 2025-2026-2《网络攻防实践》课程总结
1、内容总结
第1次实践 虚拟化网络攻防实验环境搭建:实验主要是完成 VMware 虚拟网络配置,搭建整套网络攻防实验拓扑,依次部署攻击机、靶机、SEED 虚拟机、蜜网网关四类核心节点,划分VMnet1和VMnet8虚拟网卡,为不同的虚拟机配置静态或者动态ip以及对密网网关多网卡、网段、路由、端口及日志规则进行配置。最后完成全网连通性测试。
第2次实践 网络信息搜集:该实验主要是网络信息收集和漏洞扫描。主要通过WHOIS查询域名备案信息,nslookup做DNS解析,借助第三方平台查询ip归属地,然后查自己在网上的信息,防止隐私泄露。通过Nmap对主机进行存活探测、TCP/UDP端口扫描、操作系统识别等。使用Nessus对靶机进行漏洞扫描,划分出来高中低三个档次的漏洞,并且根据这个扫描结果来找渗透思路。
第3次实践 网络嗅探与协议分析:该实验是网络流量嗅探与攻击取证。首先抓取访问门户网咱得流量,理解了负载均衡导致多服务器访问,Telnet基于23端口明文传输账号,通过wireshark进行追踪TCP流可以直接得到该密码很直观的感受到明文协议它存在的安全缺陷。最后是扫描取证,对老师给的流量包进行分析,定位攻击ip、目标ip、开放端口,并且借助pof判断攻击主机的系统,主要学习了攻击流量的溯源方法。
第4次实践 TCP/IP协议栈攻击:该实验主要是针对协议设计缺陷,开展ARP 欺骗、ICMP 重定向、SYN Flood、TCP RST、TCP 会话劫持这五种比较经典的攻击,利用ARP无认证的这个缺陷修改主机的ARP表,实现流量劫持,ICMP重定向则是伪造路由报文篡改目标路由,诱导流量转发至攻击机,SYN Flood则是利用TCP的三次握手这个缺陷发起拒绝服务攻击,TCP RST强制断开合法的链接。结合Ettercap实现这个TCP会话劫持和数据的窃取。
第5次实践 防火墙与入侵检测:该实验主要是学习 Linux iptables防火墙、Snort 入侵检测、蜜网网关规则配置,构建一个基础网络防御体系,对于iptables的操作是配置规则拦截ICMP、限定特定的IP访问80端口。理解入站、出站、转发链以及ACCEPT/DROP策略。使用snort离线对pacp流量进行分析,生成攻击告警日志,识别端口扫描等异常行为。对密网网关的防火墙、IDS/IPS配置规则进行分析,理解其如何通过相关技术实现数据攻击捕获的。
第6次实践 Windows系统安全攻防:该实验主要是基于 Metasploit 针对 Windows 系统漏洞渗透,然后用Wireshark 对攻击进行全流程分析,开展攻防对抗演练。首先对MS08-067这个漏洞进行攻击,攻击的过程就是利用 Windows SMB 远程代码执行漏洞,配置反向 TCP 载荷,成功获取 Windows 2000 靶机最高权限。然后对IIS Unicode 遍历、MDAC RDS 漏洞攻击流量进行分析,还原攻击者探测、提权、窃取账号、清理痕迹全过程,识别攻击工具与攻击特征。还有就是分组扮演攻击方和防守方,攻击方进行攻击,防守方负责抓包进行溯源、还原攻击链路。
第7次实践 Linux系统安全攻防:该实验主要是使用 Metasploit 对 Linux 靶机进行攻击,针对的是 Samba、vsftpd 两大服务的漏洞进行攻击和流量分析。对于Samba usermap_script 漏洞,可以直接利用这个漏洞通过自动化攻击工具直接获取Linux靶机的root权限。对于vsftpd 2.3.4 后门漏洞比较特殊,他是在特定的版本里加了后门,所以只有下载那个被污染的版本才能实现。再有就是通过wireshark抓取FTP与后门连接流量,还原漏洞利用、命令执行等行为。
第8次实践 恶意代码分析与僵尸网络:该实验主要分为两个部分一个是恶意代码样本逆向,另一个是僵尸网络流量分析,流程是完成恶意程序脱壳、字符串提取、静态分析,以及 IRC 僵尸网络流量取证。对于这个恶意代码分析,首先是识别PE文件格式、UPX加壳、使用脱壳工具、IDA、字符串提取工具分析RaDa远控木马、确定作者还有功能与反逆向的手段。Crackme逆向则是通过静态分析破解程序校验逻辑进而找到合法的输入。对于僵尸网络,了解IRC协议、僵尸网络架构和用途并且统计接入主机数量、追溯攻击机的ip。
第9次实践 缓冲区溢出攻击:该实验主要是以 pwn1 程序为朱,学习二进制修改、栈溢出漏洞利用、Shellcode 注入三类缓冲区溢出攻击实操。对于二进制修改,通过十六进制编辑器修改机器指令,篡改程序执行流,直接跳转到目标函数。栈溢出则是利用gets函数无长度限制的漏洞,计算缓冲区的编译,构造payload覆盖返回地址,调用目标函数。对于shellcode注入则是首先关闭堆栈保护、ASLR地址随机化,然后结合者GDB调试确定栈地址,注入自定义shellcode并执行。
第10次实践 Web安全(SQL注入与XSS:该实验主要是针对 SEED 实验平台,完成 SQL 注入攻击与防御、存储型 XSS 攻击与蠕虫制作。对于这个SQL注入就是利用字符串拼接漏洞,通过特定的字符实现登录绕过以及数据库的篡改。通过参数化预编译查询可以进行防御。对于这个XSS跨站脚本,本实验依次实现了弹窗、窃取Cookie、自动加好友、篡改用户资料,编写自我传播的XSS蠕虫病毒。对于这个我们可以通过部署HTML过滤插件来实现XSS的防御。
第11次实践 Web浏览器渗透攻击与网页木马分析:该实验主要是在老旧 IE 浏览器钟进行这个漏洞渗透、多层网页木马取证分析、混淆代码攻防对抗。首先是浏览器挂马,这个主要是利用 MS06-014 IE ActiveX 漏洞,使用 Metasploit 构造恶意网页,诱导靶机访问后实现远程控制。其次是对真实的网页木马样本进行逐层解密,分析恶意脚本、可执行文件。梳理这个下载、提权、自启动、病毒传播完整的攻击链路。最后是进行这个攻防对抗实践。
2.最喜欢且做得最好的实践是哪次?为什么?
我最喜欢且做的最好的是第10次实践 Web安全(SQL注入与XSS:因为我觉得这个SQL注入和XSS是这个web安全中最经典的漏洞类型,原理也比较容易理解,这个实践先是通过最简单的登录绕过,到数据篡改,再到构造窃取 Cookie,再到自动操作的恶意脚,本再到编写可传播的 XSS 蠕虫,实验由浅入深,基本上每一步操作都能看到效果,就是给你的正向反馈比较好。还有就是本科期间也学过前后端以及数据库的东西,自己比较熟悉,而且在学的过程中老师也会常常讲到这个SQL注入等一些web安全问题,但是当时只是了解,并没有真正感受过攻击和防御过程。这个实践也是对之前学习的补充。所以非常喜欢做这次实践。
3. 本门课学到的知识总结
实践1:本次实践我学会了在VMware 虚拟机下,配置自己的虚拟网络攻防环境;掌握了VMnet 虚拟网卡、静态 IP/DHCP 地址、网关、路由的配置。掌握了配置蜜网网关多网卡、审计规则部署,进而来实现全网流量监控、访问管控与日志记录;最终要的是对本科期间学的计算机网络的知识进行了一定的复习。
实践2:学到了运用WHOIS、nslookup、Nmap、Nessus等工具开展网络侦查。通过 WHOIS 查询域名备案信息,通过 nslookup 完成 DNS 解析与 IP 查询;通过 Nmap命令对主机进行存活探测、端口扫描、操作系统及服务版本识别。能够使用 Nessus 对目标主机进行漏洞扫描,区分出来高、中、低危漏洞,根据这些东西来确定渗透思路。
实践3:学到了使用tcpdump、Wireshark完成流量捕获、过滤、数据包解析与 TCP 流追踪;掌握了对抓包数据的协议分析方法,可以通过抓到的包来解析 HTTP、Telnet 等主流协议通信流程,发现了Telnet 明文传输的安全缺陷。学会了运用Snort、p0f工具开展攻击取证,通过分析 pcap 流量文件中识别 Nmap SYN 半开扫描行为,定位攻击 IP、目标 IP、开放端口与攻击者操作系统,具备了一定的网络攻击溯源与流量取证能力。
实践4:在虚拟网络环境下,掌握了使用netwox、ettercap、等工具,进行ARP 欺骗、ICMP 重定向、SYN Flood、TCP RST、TCP 会话劫持五大协议攻击。也通过这个实践深刻理解了 ARP、ICMP、TCP 协议的设计缺陷,掌握了各类攻击的实现原理与触发条件;现在能够根据二层网络隔离规则判断攻击生效范围。
实践5:学会了操作iptables防火墙,能够通过编写规则实现 ICMP 拦截、基于 IP / 端口的访问控制,掌握了Snort入侵检测工具的使用,可进行离线分析 pcap 流量、配置日志输出、识别端口扫描等异常行为。能够阅读蜜网网关防火墙、Snort IDS/IPS 配置脚本,理解黑白名单、默认安全策略、服务自启、规则加载机制。
实践6:能够运用Metasplo渗透框架,对 Windows 系统 MS08-067、IIS Unicode、MDAC RDS 等漏洞完成远程渗透,可通过反向 TCP Shell 获取靶机系统权限。结合Wireshark对攻击流量进行动态分析,还原漏洞探测、工具下载、权限提升、账号窃取、痕迹清理等完整攻击链路。
实践7:学会了通过Metasploit框架针对 Linux 服务的漏洞利用,掌握 Samba usermap_script、vsftpd 2.3.4 后门等典型漏洞的攻击流程,可快速配置模块参数并获取 Linux root 最高权限。并且能够使用Wireshark对 FTP、后门连接流量进行捕获分析,定位攻击特征、还原命令执行过程。
实践8:学会了通过使用PEiD、超级巡警脱壳机、IDA Pro等,针对PE 格式恶意程序进行静态分析与动态监测。识别 UPX 加壳类型,完成恶意样本脱壳;并且使用 IDA Pro 进行静态反编译,实现字符串提取、函数调用查看、程序逻辑分析,能够识别远控木马、DDoS 程序、C&C 通信、开机自启、环境检测等恶意逻辑。
实践9:通过此次实践学到了栈溢出的漏洞原理和利用。学会了三种方法分别是,二进制文件修改:使用十六进制编辑器修改程序机器指令,直接篡改程序执行流向。栈溢出(BOF)攻击:用gets函数无长度限制的漏洞,计算缓冲区偏移量,构造 Payload 覆盖函数返回地址,劫持程序执行流。Shellcode 注入:掌握关闭堆栈可执行保护、ASLR 地址随机化的方法,结合 GDB 调试定位栈地址,完成自定义 Shellcode 注入与执行。此次实践也是对本科学到的汇编语言的一次复习。
实践10:此次实践主要是学习到了 Web方面的安全,学会了分析 PHP+MySQL 架构的代码漏洞,掌握 SQL 注入原理,可构造单引号闭合、注释截断等,实现登录绕过、数据库数据篡改;对于防守和漏洞修复来说,学会了运用参数化预编译查询进行漏洞修复。学会了 XSS 攻击,能够编写 JavaScript 脚本实现弹窗、Cookie 窃取、自动请求、用户信息篡改。掌握 HTML 过滤插件等 XSS 防御手段。理解 Web 前端、数据库交互逻辑,建立 “所有外部输入不可信” 的安全编码思维,具备 Web 漏洞挖掘、利用与加固能力。
实践11:掌握了使用Metasploit针对老旧 IE 浏览器 MS06-014 等 ActiveX 漏洞构造网页木马,完成挂马渗透与远程控制。熟练运用在线加密 / 解密工具、MD5 哈希工具,对多层嵌套网页木马进行逐层解析,识别 iframe 引用、XXTEA+Base64 代码混淆,完成密文解密、恶意脚本还原。最后通过结合PEiD、IDA Pro对网页下载的 PE 格式可执行文件进行静态分析,查壳、脱壳、反编译并解析木马功能,识别自启动、进程注入、盗号、自动传播等恶意行为。
4. 课堂的收获与不足
收获
对于只学习过计算机网络基础知识的小白来说,经过这门课程的学习,自己收获非常多,从刚开始基础的虚拟攻防环境的搭建,到后面一步步的实际操作,在虚拟环境下进行实打实的攻防实践。我熟练掌握了 VMware、Nmap、Wireshark、iptables、Snort、Metasploit、IDA Pro、GDB、脱壳工具等大量攻防、逆向工具。虽然是在虚拟环境下,但是每一次攻击成功之后还是非常有成就感的,就是有一种小时候看那种黑客操作命令行的感觉,对于攻击每一次实验都会有漏洞修复这个过程,也是培养了攻防双向思维。还有就是在实验过程中会出现形形色色的问题,可能是自己偶尔输入错误导致的小问题,要花一两个小时才能找出来,但是自己仍要静下心来找问题。培养了一种找报错的经验。最后就是通过此次课程的学习明白了网上的信息没有绝对安全,要重视个人网络隐私,保护好自己的数据安全。也让自己对网络安全领域有了一定的了解和产生了兴趣。
不足
通过此次课程自己学到了不少,但是随着实验难度的增加,很多实验都有参照别人。并且由于时间关系,自己对一些知识的学习和原理的理解并不透彻。最真切的体现就是在另一门课程的大作业中需要进行攻防实践,我选择的是CVE-2017-7269,是针对缓冲区溢出的,这门课程里也有,我虽然了解一些原理,但是自己还是构造不了那个shellcode,最终还是下载的别人的Payload然后通过Metasploit自动化工具攻击的。所以自己掌握的并不透彻,还需继续努力
浙公网安备 33010602011771号