20253914 2025-2026-2 《网络攻防实践》第1周作业
一、知识点梳理与总结
1. 虚拟机三种网络接口模式
1) 桥接模式(Bridge)
虚拟机通过物理网卡直接连接到物理局域网,与物理主机处于同一网段,拥有独立 IP,可与局域网内其他设备相互访问,也能访问外网。
2)NAT 模式
虚拟机共享物理主机的 IP 地址访问外网,虚拟机可访问物理主机和外网,但外部设备无法直接访问虚拟机,安全性较高。
3)仅主机模式(Host-Only)
虚拟机仅与物理主机通信,形成独立私有网络,无法访问外网,实现与外部网络完全隔离。
4.ping 指令
ping 是基于 ICMP 协议 的网络测试命令,用于测试源主机与目标主机之间的网络连通性、连通速度和丢包情况。
基本功能
- 检测本机与目标 IP / 域名是否能正常通信。
- 测试网络延迟、丢包率。
- 判断目标主机是否在线、网络是否通畅。
工作原理
本机向目标主机发送 ICMP 回显请求报文,目标主机收到后返回 ICMP 回显应答报文,以此判断连通性。
常用格式
- 基本测试:
ping IP地址 ping 域名 - 持续 ping(Windows):
ping -t IP - 指定发送次数(Windows):
ping -n 次数 IP
常见结果判断
- 收到回复:网络连通正常。
- 请求超时:目标主机不可达或被防火墙拦截。
- 无法访问目标主机:网关 / 路由故障。
5.tcpdump 命令
tcpdump 是 Linux/UNIX 系统下最常用的命令行网络流量分析工具,用于实时捕获并解析网络数据包,是网络排查、安全审计和渗透测试的核心工具。
核心功能
- 实时抓包:监听网络接口上的数据包流动。
- 流量过滤:支持按 IP、端口、协议、方向等条件精准筛选。
- 协议解析:能解读 TCP、UDP、ICMP、HTTP、DNS 等多种协议内容。
- 保存分析:可将流量保存到文件,供 Wireshark 等工具进行后续深度分析。
工作原理
它通过网卡开启混杂模式(Promiscuous Mode),截获流经该网卡的所有数据包(不仅仅是发给本机的包),从而实现全网流量监控。
常用语法与示例
1) 基础监听
- 监听所有接口:
tcpdump -i any - 监听指定接口(如 eth0):
tcpdump -i eth0
2) 精准过滤(最常用)
- 按 IP 抓包:
tcpdump host 192.168.1.100 - 按端口抓包:
tcpdump port 80 - 按协议抓包:
tcpdump icmp - 组合条件:
tcpdump tcp and port 22 and host 10.0.0.5
3) 保存与读取
- 保存到文件(供 Wireshark 分析):
tcpdump -i eth0 -w capture.pcap - 读取文件:
tcpdump -r capture.pcap
关键参数
-i:指定网络接口(interface)-w:将数据包写入文件(write)-r:从文件读取数据包(read)-n:不解析主机名和端口号,加速显示(numeric)-vvv:显示最详细的协议信息(very verbose)
6.攻击机
核心功能
模拟攻击者角色,用于网络渗透测试、漏洞探测、漏洞利用、权限获取、内网横向移动等攻防演练与安全实验。
内置攻防软件及功能
-
Nmap:主机发现、端口扫描、服务与版本探测、漏洞初步筛查
-
Metasploit:漏洞利用框架,支持Payload生成、远程控制、后渗透操作
-
Burp Suite:Web渗透工具,实现抓包改包、爆破、SQL注入/XSS检测
-
Wireshark:网络流量抓取、协议分析、攻击流量溯源
-
Hydra:暴力破解FTP、SSH、MySQL等服务登录密码
-
Sqlmap:自动化SQL注入漏洞检测与利用
7.靶机
核心功能
作为攻防实验的被攻击目标,搭建含已知漏洞、弱口令的安全实验环境,专供渗透测试流程练习,不对外发起攻击。
典型环境组件
搭载老旧服务(Apache、Tomcat、MySQL)、存在配置缺陷与Web漏洞,适配各类渗透场景。
8.SEED虚拟机
核心功能
专为网络安全教学研发的专用实验平台,提供可控、隔离的实验环境,用于学习网络安全原理、攻防机制与基础实验操作。
内置教学软件及功能
-
GDB:二进制调试,用于缓冲区溢出实验
-
Wireshark:分析ARP欺骗、DNS劫持、中间人攻击流量
-
Apache+MySQL:搭建Web环境,练习SQL注入、XSS、CSRF攻防
-
Iptables/Bind9:学习防火墙规则、DNS协议与DNS攻击原理
9.蜜网网关
核心功能
属于主动防御设备,通过诱捕攻击行为、全程监控记录攻击流程、分析攻击手法,实现威胁感知与防护优化。
内置防御软件及功能
-
Snort/Zeek:入侵检测、网络流量分析与攻击告警
-
Iptables:流量转发、端口重定向,将恶意流量引入蜜罐
-
Kippo/Dionaea:专用蜜罐,记录暴力破解、恶意代码攻击行为
-
ELK套件:攻击日志收集、数据可视化与深度分析
二、拓扑图
三、攻防实验环境搭建流程
本次实验以VMware虚拟网络编辑器为核心,配置VMnet1(仅主机)、VMnet8(NAT)模式参数,依次部署多台攻防虚拟机:SEED Ubuntu、Kali、WinXPattacker、Win2kSever、Metasploitable Ubuntu、Honeywall蜜罐网关,统一规划网段IP,通过网卡绑定、静态IP配置、服务禁用等操作完成环境部署,最终通过ping连通性测试、tcpdump流量监听验证环境搭建成功。
- 配置虚拟网络编辑器
打开VM,左上角编辑,虚拟网络编辑器,分别配置虚拟网络编辑器的子网ip、子网掩码。将VMnet1改为仅主机模式,取消使用本地DHCP改为将主机虚拟适配器连接到此网络。
将VMnet8改为Net模式,修改子网IP和子网掩码,分别配置NAT的网关配置和DHCP的起止ip地址
- 配置seed_ubuntu
网络适配器改为VMnet8
其ip地址为192.168.200.2
-
配置kali(替换掉老旧的BT5R3)
网络适配器改为VMnet8
![image-6]()
其IP地址为192.168.200.4
![image-7]()
-
配置WinXPattacker
网络适配器改为VMnet8
![image-8]()
其ip地址为192.168.200.3
- 配置Win2kSever
配置其Internet协议,并禁用NetBIOS
![image-10]()
其IP地址为192.168.200.131
- 配置metasploitable_ubuntu
通过nano /etc/network/interfaces修改网络配置,改为static,并配置IP地址、子网掩码、网关。
![image-12]()
如下图,证明成功配置
- 配置Honeywall
安装略
配置网络适配器,网1为VMnet8,网2为VMnet1,网3为VMnet8
![image-14]()
配置蜜罐IP地址
配置广播地址
配置management IP地址
配置management子网掩码
配置management 默认网关
配置manager
配置sebek
端口采用默认1101
利用ifconfig验证配置成功
网页验证成功
- 连通性测试
在kali ping一下WinXPattacker
![image-24]()
在Honeywall上使用tcpdump -i eth0 icmp进行监听,如下图监听成功
kali ping一下Win2kSever
四、学习中遇到的问题及解决
一开始不知道为啥攻击机ping不到靶机
重装了一遍,修改了靶机ip地址,改好了嘿嘿
五、学习感悟、思考
- 本周网络攻防实践学习,让我深刻体会到“网络配置是攻防实验的基础,工具运用是攻防分析的核心”。以往对虚拟机网络模式的理解较为模糊,通过实操部署才明白不同模式的适用场景和安全差异,NAT模式兼顾外网访问与安全性,是攻防实验的最优选择;仅主机模式的隔离特性,也让我理解了蜜罐部署的核心逻辑。
- 蜜罐技术的学习打破了我对“被动防御”的认知,主动诱骗、取证溯源的防御思路,能有效弥补传统防火墙的不足,为网络安全防护提供了新方向。同时,ping、tcpdump等基础工具看似简单,却是网络排查和流量分析的利器,精准掌握参数用法和结果判断,能快速定位实验故障,提升实操效率。
- 环境搭建过程中遇到的各类网络问题,也锻炼了我的排错能力——从虚拟网络配置、虚拟机参数到服务策略,每一个细节都会影响实验成败。后续还需加强抓包数据分析、蜜罐日志解读的能力,把理论知识转化为实战技能,深入理解网络攻防的底层逻辑。
