20252803 2025-2026-2 《网络攻防实践》课程总结
20252803 2025-2026-2 《网络攻防实践》课程总结
1.内容总结
第1次实践 :环境搭建
本次实践是整学期所有实验的基础,主要依托VMWare Workstations虚拟机软件,自主部署全套个人网络攻防实验环境。环境包含攻击机、Windows靶机、Linux SEED虚拟机以及蜜网网关,搭建完成后逐一配置虚拟机网络模式,调试网段参数,开展整机网络连通性测试,排查IP冲突、端口不通、网络隔离等问题,保证所有虚拟机之间可以正常互通、正常开展后续攻防实验。
第2次实践 :网络信息收集
本次实践基于网络侦察、资产信息搜集展开。一方面通过DNS查询工具,查询目标域名的注册信息、持有人联系方式、对应公网IP等公开数据;另一方面使用Nmap、Nessus两款主流扫描工具对靶机开展全方位扫描,完成主机存活探测、端口开放扫描、服务版本识别、系统指纹探测和漏洞扫描。同时通过搜索引擎自查个人网络足迹,排查个人隐私泄露、信息外溢等安全风险。
第3次实践 :网络嗅探与协议分析
本次实践基于流量抓取与协议解析,分别使用tcpdump命令行工具和Wireshark图形化工具完成实操。利用tcpdump抓取本机访问网易官网www.163.com的全程数据包,分析正常Web访问流量;使用Wireshark嗅探Telnet远程登录BBS的流量,直观查看Telnet明文传输账号密码的安全隐患。同时对listen.pcap扫描流量文件进行取证解码,还原扫描行为、识别扫描工具与攻击特征,掌握基础网络取证思路。
第4次实践 :TCP IP网络协议攻击
本次实验基于TCP/IP协议簇的原生安全缺陷开展多种攻击实操,主要完成五类经典协议攻击:ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood拒绝服务攻击、TCP RST连接断开攻击、TCP会话劫持攻击。通过亲手构造恶意数据包,复现各类攻击流程,理解协议无校验、无认证带来的安全漏洞,掌握中间人攻击、流量劫持、服务瘫痪、会话接管等攻击原理与现象。
第5次实践 :网络安全防范技术
本次实践基于防御体系搭建与入侵检测。在Linux系统中配置iptables防火墙规则,实现数据包过滤、端口管控、IP访问限制等基础防护功能;使用Snort入侵检测工具对标准pcap流量文件进行检测,识别攻击行为、生成告警日志并分析攻击特征。同时深入分析蜜网网关的防火墙与IDS/IPS策略规则,理解防护、检测、响应的完整安全防御流程。
第6次实践 :Windows系统攻防
本次实践基于Metasploit框架开展Windows靶机渗透攻击,针对Windows系统经典MS08-067高危漏洞进行远程渗透,成功突破靶机防护、获取主机控制权限。同时完成NT系统破解攻击的取证解码分析,还原完整攻击链路。最后通过团队对抗实操,熟练掌握Windows系统漏洞扫描、漏洞利用、权限获取、痕迹取证的整套攻防流程。
第7次实践 :Linux系统攻防
本次实验基于Linux服务漏洞渗透,利用Metasploit工具针对Linux靶机Samba服务的usermap_script漏洞进行攻击,成功获取靶机访问权限并尝试提权至root最高权限。攻防对抗环节分为攻防双方,攻击方负责漏洞利用与权限拓展,防守方通过Wireshark抓取全程攻击流量,分析攻击IP、目标端口、漏洞类型、Shellcode信息与后续操作,实现攻击复现与溯源取证。
第8次实践 :恶意代码分析实践
本次实践基于rada恶意样本为核心分析对象,完成完整的恶意代码静态分析流程。实操内容包括恶意文件类型识别、程序脱壳处理、特征字符串提取,通过样本特征挖掘恶意程序作者相关信息。同时在WinXP虚拟机中使用IDA Pro对crackme程序进行静态与动态调试,通过调试分析找到特定输入,触发程序成功输出,掌握恶意样本分析、程序逆向、特征提取的基础方法。
第9次实践 :软件安全攻防——缓冲区溢出和shellcode
本次实践基于Linux环境下pwn1可执行文件,深入学习缓冲区溢出漏洞与Shellcode注入原理。程序默认仅回显用户输入,无法主动执行Shell,本次实验通过分析程序栈结构,利用输入长度无校验的漏洞,构造恶意超长数据覆盖函数返回地址,跳转执行getShell代码片段,实现Shellcode注入,掌握缓冲区溢出的攻击逻辑与基础利用方式。
第10次实践 :Web应用程序安全攻防
本次实践基于SEED实验平台,完成两大Web漏洞实操。一是SQL注入攻防实验,通过构造特殊语句绕过登录验证、篡改数据库数据,掌握注入漏洞的利用与修复方式;二是Elgg平台XSS跨站脚本攻击实验,分别测试存储型、反射型XSS漏洞,实现弹窗、Cookie窃取、页面篡改等攻击效果,全面掌握Web前端与数据库层的典型漏洞攻防技术。
第11次实践 :浏览器安全攻防实践
本次实践基于客户端浏览器安全,通过搭建恶意网页、构造恶意代码,利用浏览器及插件漏洞实现无交互自动攻击,体验网页木马挂马、自动下载远控程序、持久化控制的完整流程。同时完成网页木马攻击场景的取证分析,梳理恶意脚本特征、漏洞触发逻辑、木马传播方式,掌握浏览器端攻击的识别与基础防御手段。
2.最喜欢且做得最好的实践是哪次?为什么?
我最喜欢也做得最好的就是第8次实践 :恶意代码分析实践。
相比于Web、协议攻击这类表层攻防实验,恶意代码分析偏向底层逆向,专业性更强,也更锻炼我的实操和分析思维。本次实验以rada恶意样本和crackme程序为核心,完整走完了恶意样本识别、查壳脱壳、字符串提取、静态反编译、动态调试的全套流程。最开始我对逆向工具完全不熟练,不会使用IDA Pro调试程序、不会分析程序代码逻辑,但通过一步步摸索操作,我成功提取出rada恶意程序的作者特征信息,还通过动态调试找到了crackme程序的专属输入,成功触发程序正确输出,完整吃透了静态与动态分析的核心思路。
这次实验让我进一步认识了木马、恶意程序。以前我只会单纯知道恶意软件会窃取信息、破坏系统,但完全不清楚其内部运行逻辑。通过本次实操,我学会了从文件结构、程序代码、字符串特征、运行行为多个维度研判恶意样本,明白了恶意代码如何隐藏、如何执行、如何留存恶意行为。静态分析不用运行程序,安全高效;动态调试可以跟踪程序每一步执行流程,精准定位核心功能代码,两种分析方式结合的实操过程,逻辑清晰满、收获满。
本次实验过程中,我独立解决了很多实操难题,比如虚拟机环境不兼容、程序加壳无法直接分析、IDA Pro调试断点失效、字符串乱码无法提取等问题。我通过学习脱壳工具用法、调整虚拟机运行环境、重新配置调试参数,逐一排查并解决故障。相比其他实验,这次实践需要更多耐心和逻辑思考,实操锻炼价值更高,也让我对软件安全、恶意逆向分析产生了浓厚兴趣。
3.本门课学到的知识总结(重点写)
3.1 环境搭建
我掌握了网络攻防实验环境的完整搭建思路,清楚标准攻防环境的四大核心组成:攻击机、漏洞靶机、检测防御网关、网络通信链路。其中攻击机一般选用Linux系统,适配各类开源攻防工具;靶机包含Windows、Linux两类系统,预置各类系统及应用漏洞,作为攻击测试对象;蜜网网关部署在靶机前端,承担流量监控、攻击检测、日志记录与防御管控的作用。
同时熟练掌握三种虚拟机网络模式的适用场景:仅主机模式安全性最高,虚拟机内网互通、不连接外网,适合高危攻击实验;NAT模式可联网下载工具资源,同时隐藏内网拓扑;桥接模式与物理机同网段,实验风险较高,需谨慎使用。目前可以独立完成虚拟化软件安装、虚拟机导入、网络配置、漏洞环境部署、连通性测试的全套操作,能够自主搭建可用的个人攻防实验平台。
3.2 网络信息收集技术
信息收集是网络攻击的前置核心步骤,本学期我掌握了多维度的目标信息搜集方法。通过公开搜索引擎自查个人网络足迹,排查隐私泄露风险;通过DNS查询获取目标域名的IP映射、注册信息、服务商信息等公开资产数据;通过网络拓扑侦察梳理目标网络架构、网段分布与设备分布情况。
熟练掌握两款核心扫描工具的实操与应用:Nmap主打轻量化快速扫描,可完成主机存活探测、端口扫描、服务版本识别、操作系统指纹判断;Nessus偏向专业漏洞扫描,能够精准检测系统、服务、应用的已知漏洞,生成漏洞风险报告。通过多次实操,我能够根据实验需求搭配扫描参数,高效完成目标资产探测与漏洞挖掘。
3.3 网络嗅探与协议分析技术
我熟练掌握了tcpdump、Wireshark两款主流流量分析工具的使用方法,理解了网络嗅探的核心原理:共享网络环境下,网卡开启混杂模式后可接收全网经过的数据包,工具通过捕获并解析数据包,实现流量监控与行为分析。
通过实操对比了HTTP与Telnet协议的安全性差异,Telnet协议全程明文传输,账号、密码、操作指令均可被直接嗅探捕获,安全隐患极大;HTTP协议虽为明文,但应用层传输规则更规范。同时具备基础的流量取证能力,能够对pcap流量文件进行解析,提取攻击IP、目标端口、攻击工具、扫描行为等关键信息,还原网络攻击的基本过程。
3.4 TCP/IP网络协议攻击技术
深入理解了TCP/IP协议簇原生设计缺陷带来的各类攻击风险,熟练掌握五种核心协议攻击的原理与利用方式。ARP缓存欺骗利用ARP协议无身份校验的漏洞,伪造ARP应答篡改IP-MAC映射,实现中间人流量劫持;ICMP重定向攻击伪造网关路由报文,欺骗主机修改路由表,劫持全网流量。
SYN Flood攻击利用TCP三次握手半连接漏洞,耗尽服务器资源实现拒绝服务;TCP RST攻击伪造复位报文,强制中断合法TCP会话;TCP会话劫持结合ARP欺骗与流量嗅探,窃取会话序列号,伪造数据包接管用户登录会话。通过实操,我彻底理解了底层协议漏洞的危害,也掌握了对应攻击行为的流量特征与识别方法。
3.5 网络安全防范技术
掌握了网络安全动态防御核心模型,理解PDR、PPDR安全模型的核心逻辑,以“防护-检测-响应”为核心,结合安全策略统筹全网防御,遵循Pt>Dt+Rt的安全判定标准,明白安全防御是动态对抗的过程。
熟练掌握Linux netfilter/iptables防火墙机制,能够手动编写防火墙规则,实现ICMP过滤、端口管控、IP访问限制、数据包拦截等防护操作。同时掌握Snort开源入侵检测系统的使用,理解其基于规则的流量检测机制,能够导入流量文件检测攻击、生成告警日志并分析攻击特征。
3.6 Windows系统攻防技术
系统掌握了Windows系统的攻防核心知识点,理清了Windows远程攻击的完整流程:信息收集、端口扫描、漏洞探测、漏洞利用、权限获取、留后门、清理痕迹。熟悉Windows系统高危攻击面,包括SMB服务445端口的MS08-067漏洞、RPC远程代码执行漏洞、RDP远程桌面爆破漏洞、数据库弱口令漏洞等。
掌握Windows本地提权、口令破解、痕迹清理、后门持久化技术,能够通过工具导出系统Hash密码、破解本地账号权限、利用内核漏洞完成普通用户提权。同时了解Windows系统攻击痕迹的清除方法与后门持久化手段,能够双向从攻击和防御角度理解Windows系统的安全风险与加固要点。
3.7 Linux系统攻防技术
掌握Linux系统远程与本地两类攻防手段。远程层面,可针对SSH、FTP、Samba、Apache等常见服务开展弱口令暴力破解、服务漏洞渗透攻击,本次重点掌握Samba服务漏洞的Metasploit利用方式,实现远程权限获取与root提权。
本地层面,熟悉SUID程序漏洞、内核漏洞、配置错误导致的本地提权方式,能够读取shadow密码哈希、窃取系统敏感配置、清理操作日志与命令痕迹。同时掌握Linux系统基础防御策略,通过关闭无用服务、强化密码策略、开启日志审计、部署防火墙规则、严控文件权限等方式,加固Linux服务器安全,防范各类渗透与提权攻击。
3.8 恶意代码分析技术
掌握恶意代码静态分析与动态分析两种核心思路,熟悉恶意样本分析的隔离环境要求,必须依托虚拟机、蜜网环境,避免恶意代码扩散感染。静态分析无需运行程序,通过文件识别、查壳脱壳、字符串提取、反编译分析,判断程序功能与恶意特征,安全无风险。
动态分析通过运行样本,监控进程行为、网络通信、注册表修改、文件读写等操作,还原恶意代码真实运行逻辑。本次通过rada恶意样本和crackme程序实操,熟练使用IDA Pro完成静态调试与动态断点调试,能够精准提取恶意代码特征、识别程序核心功能,具备基础的恶意样本研判能力。
3.9 缓冲区溢出与Shellcode技术
透彻理解缓冲区溢出漏洞的核心原理,漏洞产生的核心原因是程序未对用户输入长度做校验,攻击者可构造超长数据覆盖栈区的EBP、返回地址等关键数据,篡改程序执行流程,跳转执行恶意Shellcode,从而获取系统控制权。
通过pwn1程序实操,掌握Linux栈溢出的基础利用方式,理解栈内存布局、指令执行、内存寻址的底层逻辑。同时了解Windows与Linux平台溢出利用的差异,熟悉栈溢出、堆溢出的基础概念。掌握主流系统防护机制,DEP栈不可执行、ASLR地址随机化、Canary栈金丝雀校验,以及开发层面的安全编码规范,从攻击和防御两端理解缓冲区溢出漏洞。
3.10 Web应用安全攻防技术
熟练掌握SQL注入与XSS跨站脚本两大核心Web漏洞。SQL注入漏洞源于用户输入未过滤,恶意语句被直接拼接执行,可实现绕过登录、数据窃取、数据篡改、服务器提权等危害,掌握联合查询、布尔盲注、时间盲注等主流利用方式,也学会用参数化查询、输入过滤完成漏洞修复。
XSS漏洞分为反射型、存储型、DOM型三类,通过注入恶意JS脚本,可实现Cookie窃取、会话劫持、页面篡改、蠕虫传播等攻击效果。通过SEED平台实操,我不仅能手动复现漏洞,还清晰掌握漏洞成因、利用场景和防御手段,建立了基础的Web安全防护思维。
3.11 浏览器安全攻防技术
掌握网页木马这类典型客户端攻击的核心原理,网页木马依托浏览器、第三方插件的内存漏洞,通过堆喷射、ROP、Shellcode等技术,实现用户无点击、无下载的自动触发攻击,后台自动下载远控木马并实现持久化控制。
熟悉网页木马的传播渠道与特征,能够通过源码审计、流量抓包、沙箱运行的方式分析恶意网页。同时掌握浏览器端的安全防御手段,及时更新系统与浏览器补丁、禁用高危插件、开启系统安全防护机制、不访问陌生恶意网站,有效防范网页木马类客户端攻击。
4.课堂的收获与不足
这学期的《网络攻防实践》课程内容循序渐进、实操性极强,从基础的虚拟机环境搭建、网络信息收集,到底层协议攻击、系统攻防、恶意代码逆向分析,再到Web漏洞与浏览器安全攻防,整套实验体系覆盖了网络安全入门的核心内容,让我收获颇丰,补上了我实操少的短板。
我本科是软件工程专业,对网络协议的理论知识有所了解,但以往的学习大多停留在课本认知,很少动手实操。这门课程让我真正落地了各类攻防技术,尤其是恶意代码分析实验,让我第一次接触软件逆向、程序调试、样本研判这类底层技术。我不再是只会背诵恶意代码分类、病毒木马区别的理论知识,而是能够亲手对恶意样本进行脱壳、分析、溯源,看懂程序的核心恶意逻辑,真正做到了知行合一。
在系统攻防、协议攻击、Web安全的实验中,我也积累了大量实战经验。通过TCP/IP协议攻击实验,我理解了网络协议原生缺陷带来的安全风险;通过Windows和Linux系统渗透实验,掌握了系统漏洞利用、权限提权、攻防对抗的核心流程;通过缓冲区溢出实验,吃透了程序底层内存安全机制。每一次实操都让我对攻防技术的安全理念有了更深的理解,攻击手段的背后,对应的是明确的防御思路,让我建立了完整的双向安全思维。
同时,课程学习也极大提升了我的问题排查能力。尤其是第八次恶意代码分析实践,实操过程中遇到的环境兼容、程序加壳、调试报错等问题,都需要自己耐心排查、反复调试。在不断解决问题的过程中,我不再依赖教程和标准答案,学会了独立思考、自主排查故障,实操能力和抗压能力都得到了很大提升,也让我更加熟悉各类安全工具的底层用法,不局限于简单的点击操作。
当然,在本学期的学习中我也存在很多明显的不足。首先,知识点融会贯通能力差,目前只能独立完成单一实验模块,无法将逆向分析、协议攻击、Web漏洞、日志溯源等知识点结合起来处理综合攻防场景。其次,我的工具自动化与自主开发能力薄弱,全程依赖现成的IDA Pro、Wireshark、Metasploit等工具,无法自主编写脚本辅助逆向分析、流量检测、漏洞扫描,实操效率受限。此外,我的应急溯源和综合防御能力不足,面对复合型网络攻击,无法快速梳理完整攻击链路、精准定位攻击源头和攻击手法。在今后的学习中,我会重点深耕软件逆向、底层安全等薄弱模块,多复盘实验、自主拓展实操,提升综合攻防实战能力,真正做到学以致用。
浙公网安备 33010602011771号