20252818 2025-2026-2 《网络攻防实践》课程总结

1.内容总结

第1次实践网络攻防实验环境搭建：这次实践主要完成网络攻防实验环境的搭建。通过VMware配置攻击机、靶机和HoneyWall等虚拟机，理解不同虚拟网络模式、IP地址配置和连通性测试，为后续所有攻防实验打基础。

第2次实践网络信息收集与漏洞扫描：这次实践围绕攻击前的信息收集展开，包括域名注册信息查询、IP归属查询、Nmap端口扫描、操作系统识别、服务识别和Nessus漏洞扫描。通过这次实践，我理解了渗透测试不是直接开始攻击，而是先尽可能掌握目标资产和暴露面。

PS：这个实验有个环节是从网上找自己信息，然后我当时找不到自己信息，写了几次博客后，某一天问豆包，他居然通过博客（当时交作业的时候标题上连名字一块写了）然后总结出了我的信息，学号、学校啥的。。。。怪吓人的！

第3次实践网络嗅探与协议分析：这次实践主要使用tcpdump和Wireshark进行抓包分析，包括访问网站时的流量观察、TELNET登录过程分析，以及对listen.cap扫描流量进行取证。重点体会是明文协议在网络中风险很大，用户名、口令和扫描行为都可以通过流量分析还原出来。

第4次实践TCP/IP协议攻击：这次实践围绕TCP/IP协议栈中的典型攻击展开，包括ARP缓存欺骗、ICMP重定向、SYNFlood、TCPRST攻击和TCP会话劫持。通过实验可以看出，有些攻击并不是利用应用漏洞，而是利用协议本身缺少认证或信任机制的问题。

第5次实践防火墙配置与入侵检测：这次实践主要学习iptables防火墙规则配置、Snort离线入侵检测和HoneyWall规则分析。实验中通过过滤ICMP包、限制指定IP访问服务、分析pcap告警等过程，理解了访问控制、入侵检测和蜜网网关在防御中的作用。

第6次实践Windows远程渗透攻击与取证分析：这次实践使用Metasploit对Windows靶机的MS08-067漏洞进行远程渗透，并结合Wireshark对攻击流量进行分析。取证部分还原了一次NT系统被攻陷的过程，让我从攻击和防守两个角度理解漏洞利用、反向连接和命令执行痕迹。

第7次实践Linux远程渗透攻击与流量分析：这次实践主要使用Metasploit攻击Linux靶机上的Samba服务Usermap_script漏洞，获取远程Shell，并使用tcpdump、Wireshark和Snort分析攻击流量。通过这次实验，我进一步熟悉了漏洞模块选择、Payload配置、Session验证和攻击过程还原。

第8次实践恶意代码分析与僵尸网络流量分析：这次实践包括RaDa恶意代码样本分析、Crackme程序逆向分析和僵尸网络流量分析。实验中使用文件类型识别、脱壳、字符串提取、IDAPro和Wireshark等方法，理解恶意代码的功能特征、隐藏方式和网络通信行为。

第9次实践缓冲区溢出与Shellcode注入：这次实践围绕pwn1程序展开，主要任务包括手工修改可执行文件机器指令、利用缓冲区溢出覆盖返回地址、注入Shellcode并执行。通过objdump、gdb、xxd等工具，我对栈结构、返回地址、小端序、NOP滑板和Shellcode执行有了更直观的认识。

第10次实践SQL注入与XSS跨站脚本攻击：这次实践主要完成SEEDSQL注入实验和ElggXSS实验。SQL注入部分包括熟悉SQL语句、绕过登录验证、利用UPDATE语句修改数据以及修复漏洞；XSS部分包括弹窗、Cookie读取、Cookie窃取、自动加好友、修改资料、XSS蠕虫传播和防御验证。

第11次实践Web浏览器渗透攻击与网页木马分析：这次实践包括Web浏览器渗透攻击、网页木马取证分析和攻防对抗。实验中使用Metasploit构造浏览器漏洞页面，也分析了start.html、iframe隐藏加载、Base64、XXTEA、十六进制混淆、ActiveX控件和二进制木马下载执行链。

2.最喜欢且做得最好的实践是哪次？为什么？

我个人比较喜欢第10次实践，也觉得这次做得相对最好，主要是这次实验和现实中的Web安全联系最紧密，平时登网站、修改个人资料、提交表单啥的，这些操作背后都可能涉及SQL注入和XSS风险，所以做实验时更容易把现象和真实场景联系起来。

这次实践我觉得比较完整，不只是做攻击，还做了防御，SQL注入部分，不光是输入语句看结果，还结合页面逻辑和后端拼接SQL语句的方式去理解为什么能绕过密码验证、为什么能通过UPDATE注入修改数据，XSS部分也是从简单弹窗开始，一步一步做到读取Cookie、发送Cookie、自动添加好友、修改用户资料和蠕虫传播，最后再进行过滤和插件防护验证。

我觉得自己做得比较好的地方是实验结果验证，很多攻击现象都可以直接在页面上看到，比如是否登录成功、用户信息是否被修改、是否弹窗、Cookie是否被窃取、好友关系是否自动变化等，这种结果不像有些实验需要花很多时间反推现象，它能让我比较清楚地判断自己的步骤是否有效，同时，这次实验也让我意识到Web漏洞的本质不是某一条攻击语句，而是后端没有正确处理用户输入、前端页面信任了不可信内容。

然后这个实验我印象很深刻的几个困难，第一就是虚拟机的版本一定要一致啊！血泪教训了，我一开始用的SEED Ubuntu9，发现咋我的数据库表和别人不一样，还以为出BUG了，后来发现是太老了，换成了SEED Ubuntu16，折腾了很久（ps：我室友用的SEED Ubuntu20，也出bug了，因为太新了）。还有SQL注入防御，我写的SQL老是有问题，还是折腾很久问了AI才改好的。

3.本门课学到的知识总结

3.1实验环境与网络基础

一开始配环境还挺痛苦的，网络攻防实验不能直接放在真实网络里随便做，需要通过VMware搭建相对隔离的虚拟网络环境。第1次实践中，攻击机、靶机和HoneyWall不是简单的几台虚拟机，而是分别承担攻击发起、漏洞承载、流量监控和网络隔离的角色。只有IP地址、子网、网关、虚拟网卡模式和连通性配置正确，后续实验才能顺利进行（当然后面因为实验要求又改了不止一次.....痛苦+1）。

在这个过程中，我对计算机网络基础也有了更实际的理解，比如IP地址怎么用于网段、网关、路由转发；NAT模式和仅主机模式会影响虚拟机是否能访问外网；ping、ifconfig、ipaddr、route-n等命令可以帮助定位网络不通的问题。

3.2信息收集、端口扫描与漏洞扫描

第2次实践是说攻击和防御的前置阶段的信息收集，whois、nslookup等工具可以获取域名注册信息、DNS解析结果和目标归属情况；Nmap可以进行主机发现、端口扫描、服务识别和操作系统探测；Nessus则可以在发现端口和服务的基础上进一步判断可能存在的漏洞。

其次是端口和服务版本会暴露目标的攻击面，比如SMB、FTP、HTTP、TELNET等服务，如果版本较旧或配置不当啥的，就可能成为后续攻击入口，对于防御者来说，信息收集也很重要，因为只有知道自己开放了什么端口、运行了什么服务，才知道咋防御。

3.3抓包分析与网络协议理解

第3次实践和后面很多次实践都用到了tcpdump和Wireshark，tcpdump可以在命令行中快速抓取指定主机、端口或协议的流量，Wireshark可以进一步观察协议字段、TCP流、应用层内容和异常行为，通过TELNET抓包，可以看到用户名和口令会以明文形式出现在数据包中。

然后在分析listen.cap时，学习了通过数据包判断攻击主机、目标主机、扫描工具、扫描方式和开放端口，比如TCPSYN扫描只发送SYN包，通过SYN/ACK或RST响应判断端口状态，大量端口请求可能说明存在端口扫描行为。

3.4TCP/IP协议攻击与防护思路

第4次实践主要是说协议设计缺陷带来的安全问题，ARP缓存欺骗利用的是ARP协议缺少身份认证，攻击者可以伪造ARP响应，让受害主机把网关IP错误绑定到攻击者MAC地址上，ICMP重定向攻击利用的是主机对ICMPRedirect报文的信任，使目标修改路由路径，SYNFlood利用TCP三次握手中的半连接状态，消耗服务器资源，TCPRST攻击通过伪造复位包中断正常连接，TCP会话劫持则要求攻击者掌握序列号和确认号，从而尝试向已有连接中注入数据。

3.5防火墙、IDS和蜜网技术

第5次实践主要是防御，iptables让我理解了包过滤规则的基本思想，比如按源IP、目的端口、协议类型和动作进行控制，规则顺序也很重要，如果ACCEPT和DROP顺序写反，最终效果就会和预期不同，Snort则是说IDS的工作方式，它通过规则匹配、协议分析和告警日志发现异常流量。

还有HoneyWall，规则分析让我认识到蜜网网关的作用，它既要允许攻击流量进入蜜罐，又要限制蜜罐被攻陷后继续攻击外部网络，还要记录和分析攻击过程。

3.6Metasploit漏洞利用与远程渗透

第6次和第7次实践都使用了Metasploit，通过Windows靶机MS08-067漏洞和Linux靶机SambaUsermap_script漏洞，我掌握了Metasploit的一些操作，比如说启动msfconsole、搜索漏洞模块、选择exploit、配置RHOSTS、LHOST、Payload、执行exploit、查看Session并验证权限（这个我觉得挺好玩）。

3.7恶意代码分析、逆向分析与僵尸网络

第8次实践是说恶意代码分析和逆向分析，通过分析RaDa样本，学了文件类型识别、查壳、脱壳、字符串提取和行为分析，恶意代码可能具有远程控制、文件上传下载、持久化、隐藏自身和发起DDoS等功能，其次是Crackme分析，用了IDAPro，通过查看字符串、函数调用和分支判断，可以推断程序要求的输入条件，最后是僵尸网络流量分析，攻击者可以通过命令控制大量主机执行扫描、攻击或下载任务。

3.8软件安全、缓冲区溢出与Shellcode

第9次实践对我来说难度较高，学了程序执行流程可以被修改或劫持，第一部分通过修改机器指令，让程序直接调用getShell函数，第二部分利用gets函数没有长度检查的问题，构造输入覆盖返回地址，第三部分则把Shellcode放入栈中，通过NOP滑板和返回地址跳转执行自己的代码。

3.9Web安全技术

第10次实践主要是SQL注入和XSS（做了很久，痛苦+2），SQL注入主要是后端把用户输入直接拼接进SQL语句，导致攻击者可以改变原本查询逻辑（现在应该很少网页有这么low的漏洞了吧），防御方法包括参数化查询、预编译语句、输入校验、最小权限数据库账户和错误信息隐藏。然后是XSS，能实现是因为网站把不可信输入当作页面内容输出，导致浏览器执行攻击者脚本，防御方法包括输出编码、输入过滤、Cookie设置HttpOnly、CSP策略和使用可靠的HTML过滤组件。

3.10浏览器漏洞、网页木马与混淆分析

第11次实践主要是说通过浏览器攻击，可以利用旧版IE、ActiveX控件或浏览器插件漏洞构造恶意网页，然后发个邮件或者啥的，搞个钓鱼网站钓鱼邮件（莫名想到了盗版网站的小广告），诱导用户访问后触发漏洞并建立远程Shell，网页木马一般不会直接暴露核心代码，而是通过iframe隐藏加载、多层跳转、Base64编码、XXTEA加密、十六进制或八进制混淆等方式隐藏真实攻击逻辑。

3.11法律和安全伦理

这个嘛，这学期正好在上密码法律制度这门课，有所涉及，我知道个人信息保护、数据安全、网络安全和关键信息基础设施保护等法律，然后在做技术分析时要注意数据来源、隐私保护和责任边界，要保护个人信息。

4.课堂的收获与不足

这门课给我的感觉就是，一开始以为是照着教程做实验就行，后面发现会出现各种各样的BUG，每个人的BUG还都不一样，比如说我舍友能行，我和他一样做我就出问题.....（痛苦+3）什么虚拟机版本、网段、IP、网关、服务开没开、Payload还有网络啥的，哪一个错了都做不下去，但是也确实把我逼着学会了怎么排查问题，比如先ping，再看路由和端口，最后实在不行就抓包看看到底有没有流量。

收获的话，最明显的是很多概念变具体了，比如TELNET明文传输，以前只是知道它不安全（上学期选的课里有说），真正用Wireshark看到用户名和密码的时候才比较有感觉，SQL注入、XSS、Metasploit、缓冲区溢出这些也是，做完之后至少知道它大概怎么发生、怎么验证、为什么要防，尤其是第10次Web实验，结果比较直观，所以印象也比较深。

不足也挺明显的，说实话有些实验我是做出来了，但不敢说完全吃透了，像第8次恶意代码分析、第9次缓冲区溢出、第11次网页木马分析，步骤能跟下来，但换个新的样本或者新的程序让我自己分析，估计还是会卡，后面如果还学这方面，我觉得还是得补Linux、网络协议和代码审计，不然实验能跑通，但理解可能还差点意思。

5.参考文献

[1]20252818马凯明2025-2026-2《网络攻防实践》第一周作业.https://www.cnblogs.com/mkm2233/p/19752576
[2]20252818 2025-2026-2《网络攻防实践》第二周作业.https://www.cnblogs.com/mkm2233/p/19758066
[3]20252818 2025-2026-2《网络攻防实践》第三周作业.https://www.cnblogs.com/mkm2233/p/19777331
[4]20252818 2025-2026-2《网络攻防实践》第四周作业.https://www.cnblogs.com/mkm2233/p/19851721
[5]20252818 2025-2026-2《网络攻防实践》第五周作业.https://www.cnblogs.com/mkm2233/p/19879303
[6]20252818 2025-2026-2《网络攻防实践》第六次作业.https://www.cnblogs.com/mkm2233/p/19893792
[7]20252818 2025-2026-2《网络攻防实践》第七次作业.https://www.cnblogs.com/mkm2233/p/19934868
[8]20252818 2024-2025-2《网络攻防实践》实践八.https://www.cnblogs.com/mkm2233/p/20070097
[9]20252818 2025-2026-2《网络攻防实践》第9周作业.https://www.cnblogs.com/mkm2233/p/20095827
[10]20252818 2025-2026-2《网络攻防实践》实践十.https://www.cnblogs.com/mkm2233/p/20244617
[11]20252818 2025-2026-2《网络攻防实践》实践十一.https://www.cnblogs.com/mkm2233/p/20292632