計算機網絡安全實踐教程

目錄

第1章計算機網絡基礎及常用工具1

1.1計算機網絡基本組成和協議1

1.1.1常用網絡設備和子網劃分2

1.1.2局域網常用的網絡服務4

1.1.3上網過程實例： 一次Web訪問5

1.2IPv4協議報文格式6

1.3網絡流量分析和構造常用工具簡介7

1.3.1tcpdump7

1.3.2Wireshark9

1.3.3Scapy11

1.3.4Burp Suite15

1.4網絡基礎實驗16

1.4.1實驗1： 使用tcpdump分析ICMP流量17

1.4.2實驗2： 使用Wireshark分析訪問Web過程19

1.4.3實驗3： 使用Scapy構造ICMP Echo Request數據包21

1.4.4實驗4： 使用Burp Suite修改HTTP請求25

1.5思考題27

第2章局域網安全28

2.1局域網協議概述28

2.1.1以太網協議28

2.1.2ARP30

2.1.3DHCP32

2.2局域網常見攻擊34

2.2.1MAC地址泛洪攻擊34

2.2.2ARP攻擊36

2.2.3DHCP攻擊39

2.3局域網攻擊實驗41

2.3.1實驗1： ARP緩存汙染攻擊41

2.3.2實驗2： ARP中間人攻擊44

2.3.3實驗3： DHCP拒絕服務攻擊46

2.3.4實驗4： DHCP假冒攻擊49

2.4思考題51

第3章傳輸層協議常見攻擊與防範52

3.1傳輸層協議簡介52

3.1.1TCP簡介52

3.1.2UDP簡介56

3.1.3協議的端口57

3.2傳輸層常見攻擊的原理與防範措施58

3.2.1端口掃描及資產探查58

3.2.2TCP SYN泛洪攻擊61

3.2.3TCP會話的劫持與重置62

3.2.4UDP 反射放大攻擊64

3.3傳輸層安全實驗65

3.3.1實驗1： 資產探查與端口掃描66

3.3.2實驗2： SYN洪泛攻擊與防範68

3.3.3實驗3： TCP連接重置70

3.3.4實驗4： TCP會話劫持72

3.4思考題74

第4章域名系統安全75

4.1域名系統的基本工作原理75

4.1.1互聯網域名空間76

4.1.2互聯網域名解析過程78

4.1.3域名協議報文79

4.2域名系統的典型攻擊及防範措施80

4.2.1DNS劫持攻擊81

4.2.2DNS緩存汙染攻擊82

4.2.3DNS反射放大攻擊83

4.2.4DNS重綁定攻擊84

4.2.5常見DNS安全防護措施85

4.3域名系統安全實驗86

4.3.1實驗1： DNS緩存汙染攻擊實驗87

4.3.2實驗2： DNS反射放大攻擊實驗90

4.3.3實驗3： DNS重綁定攻擊93

4.4思考題97

第5章Web系統安全98

5.1Web系統及HTTP98

5.1.1Web客戶端相關技術99

5.1.2Web服務器相關技術101

5.1.3統一資源定位符102

5.1.4HTTP103

5.1.5HTTP的狀態管理和Cookie 109

5.1.6訪問Web系統的一個例子111

5.2Web系統面臨的常見威脅112

5.2.1身份假冒攻擊112

5.2.2網絡流量監聽和中間人攻擊113

5.2.3Web客戶端和Web服務器端的系統入侵攻擊114

5.2.4拒絕服務攻擊114

5.3Web系統主要安全機制概要115

5.3.1沙箱116

5.3.2同源策略117

5.3.3瀏覽器插件的安全規則119

5.3.4HTTP Cookie的安全策略119

5.4Web系統常見攻擊原理120

5.4.1SQL註入120

5.4.2跨站腳本130

5.4.3跨站請求偽造135

5.4.4服務器端請求偽造137

5.4.5文件上傳漏洞142

5.5Web系統安全實驗145

5.5.1實驗1： SQL註入攻擊146

5.5.2實驗2： 跨站腳本攻擊151

5.5.3實驗3： 服務器端請求偽造攻擊155

5.5.4實驗4： 文件上傳漏洞的利用159

5.6思考題163

第6章傳輸層安全協議與內容分發網絡164

6.1傳輸層安全協議164

6.1.1傳輸層安全協議的設計目標164

6.1.2Web公鑰證書基礎165

6.1.3SSL/TLS發展歷程169

6.1.4TLS協議工作原理169

6.2內容分發網絡174

6.2.1內容分發網絡的基本原理和主要功能174

6.2.2CDN的基本結構175

6.3TLS和CDN實驗177

6.3.1實驗1： Web服務配置TLS證書實驗177

6.3.2實驗2： 構建CDN對抗DoS攻擊實驗180

6.4思考題184

第7章電子郵件系統安全185

7.1電子郵件系統工作原理185

7.1.1電子郵件通信過程185

7.1.2電子郵件基礎協議187

7.2電子郵件系統常見攻擊及安全擴展協議190

7.2.1電子郵件身份偽造攻擊190

7.2.2電子郵件身份驗證機制190

7.2.3電子郵件身份驗證繞過攻擊198

7.3郵件系統安全實驗206

7.3.1實驗1： 搭建MTA、用命令行及Web兩種MUA實現郵件收發207

7.3.2實驗2： 郵件系統未配置安全擴展協議下的電子郵件偽造攻擊213

7.3.3實驗3： 郵件系統有安全擴展協議SPF下的電子郵件偽造攻擊 ……215

7.3.4實驗4： 實現有簽名驗證的郵件通信219

7.4思考題223

第8章防火墻技術224

8.1防火墻技術原理224

8.1.1防火墻介紹224

8.1.2包過濾防火墻226

8.1.3狀態檢測防火墻228

8.1.4應用層防火墻229

8.2Linux內置防火墻介紹230

8.2.1Netfilter介紹230

8.2.2iptables介紹232

8.3防火墻實驗236

8.3.1實驗1： 實現包過濾防火墻並嘗試繞過該防火墻236

8.3.2實驗2： 防火墻綜合應用實驗240

8.4思考題247

第9章虛擬專用網絡248

9.1虛擬專用網絡的工作原理248

9.1.1虛擬專用網絡介紹248

9.1.2虛擬專用網絡工作原理介紹248

9.2虛擬專用網絡的關鍵技術和協議249

9.2.1虛擬網卡技術（TUN/TAP）249

9.2.2密碼技術與密鑰管理250

9.2.3用戶和設備身份認證技術251

9.2.4隧道技術251

9.3虛擬專用網絡實驗255

9.3.1實驗1： 使用OpenSSL實現加密通信256

9.3.2實驗2： 用虛擬網卡實現數據包收發259

9.3.3實驗3： 實現基於SSL/TLS雙向認證的加密VPN261

9.4思考題 266

第10章網絡入侵檢測技術267

10.1網絡入侵檢測技術的基本原理267

10.1.1入侵檢測系統的發展歷程267

10.1.2常見的入侵檢測技術269

10.1.3網絡入侵檢測的當前挑戰270

10.2典型網絡入侵檢測系統272

10.2.1Snort系統簡介及語法規則272

10.2.2Zeek系統簡介及語法規則276

10.2.3典型網絡入侵檢測系統對比279

10.3入侵檢測實驗280

10.3.1實驗1： 基於Snort的Web SQL註入攻擊檢測280

10.3.2實驗2： 基於Zeek的惡意挖礦通信流量檢測286

10.4思考題291

第11章網絡安全在線實驗平臺292

11.1網絡安全在線實驗平臺簡介292

11.2教材配套實驗的使用方法294

11.2.1個人學習294

11.2.2學校教學294

參考文獻297