计算机网络攻击与防护

前言中共中央党史和文献研究院编辑了《习近平关于总体国家安全观论述摘编》。摘自习近平同志二○一二年十一月十五日至二○一八年三月二十日期间公开刊发的讲话、报告、谈话、指示、批示、贺信等一百八十多篇重要文献，分四个专题，共计四百五十段论述。该书第二专题第八部分重点阐述“维护网络安全”，部分精彩论述如下：网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题，要从国际国内大势出发，总体布局，统筹各方，创新发展，努力把我国建设成为网络强国。2014年2月，在中央网络安全和信息化领导小组第一次会议上，习近平总书记以“没有网络安全就没有国家安全，没有信息化就没有现代化”的重要论断，提出了建设网络强国的战略目标。为建设网络强国，深化细化网络安全工作指明了方向。2016年12月27日，经中央网络安全和信息化领导小组批准，国家互联网信息办公室发布《国家网络空间安全战略》，部分精彩摘录如下：信息技术广泛应用和网络空间兴起发展，极大促进了经济社会繁荣进步，同时也带来了新的安全风险和挑战。网络空间安全（以下称网络安全）事关人类共同利益，事关世界和平与发展，事关各国国家安全。维护我国网络安全是协调推进全面建成小康社会、全面深化改革、全面依法治国、全面从严治党战略布局的重要举措，是实现“两个一百年”奋斗目标、实现中华民族伟大复兴中国梦的重要保障。为贯彻落实习近平主席关于推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”，阐明中国关于网络空间发展和安全的重大立场，指导中国网络安全工作，维护国家在网络空间的主权、安全、发展利益，制定本战略。2017年6月1日起《中华人民共和国网络安全法》正式实施：从宏观的层面来讲，意味着网络安全同国土安全、经济安全等一样成为国家安全的一个重要组成部分；从微观层面来讲，意味着网络运营者必须担负起履行网络安全的责任。2022年2月15日，由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行。互联网产品与服务在为日常生活带来巨大便利的同时，也带来了安全漏洞、数据泄露等网络安全威胁。信息科技日新月异，网络空间安全面临的形势日益复杂多变，作为网络安全及相关专业的核心课程，“计算机网络攻击与防护”以厚基础、重技能为课程特色，在讲授计算机网络攻防技术的同时，也注重实践技能的训练，在课程内容的组织安排上，从攻击与防范两个层面，通过网络攻防技术概述、情报收集、密码学、社会工程学、操作系统攻防、网络攻防实战等内容，既包括基本原理和攻防技术，也包括安全部署和实践技能，从而有利于从微观和宏观两个方向把握网络安全的核心知识与技能，掌握了计算机系统与网络安全技术，就掌握了网络安全的核心内容，从而构筑一道坚不可摧的网络安全防线。我们组织专家教授对教材内容进行了梳理论证，使之更具时代特色，更便于学生理解，更具实际操作性。全书内容广泛，注重理论联系实际。本书由武汉警官职业学院刘念、陈雪松、谈洪磊任主编并执笔，司法部信息安全与智能装备重点实验室明慧芳，武汉警官职业学院冯平、陈昊、金导航任副主编。其中，模块1由陈雪松编写，模块2 由谈洪磊编写，模块3 由金导航、梅咏春、时义涛编写，模块4、5、7、8、9由刘念编写，模块6由田野编写，模块10由冯平、陈昊编写，明慧芳对全书进行统稿并校对。本书在编写和出版过程中,得到了奇安信科技集团股份有限公司林雪纲博士的大力支持和指导。本书还有在线开放课程教学资源在职教云 MOOC学院上线,可以辅助学习。计算机网络攻击与防护由于涉及知识面广，要将众多的知识很好地贯穿起来，难度较大，另外由于时间仓促，编者水平有限，不足之处在所难免。为便于以后教材的修订，恳请专家、教师及读者多提宝贵意见。本书编委会2023年2月

信息技术广泛应用和网络空间兴起发展，极大促进了经济社会繁荣进步，在为我们的日常生活带来巨大便利的同时，也带来了安全漏洞、数据泄露等新的安全风险和挑战。信息科技日新月异，网络空间安全面临的形势日益复杂多变，作为网络安全及相关专业的核心课程，“计算机网络攻击与防护”以厚基础、重技能为课程特色，在讲授计算机网络攻防技术的同时，也注重实践技能的训练。在课程内容的组织安排上，既包括基本原理和攻防技术，也包括安全部署和实践技能，有利于学生从微观和宏观两个方向把握网络安全的核心知识与技能。本书适合作为司法警官职业院校各专业大学生计算机基础课程的教材或教学参考书，也可以作为高等院校和社会培训机构的参考书。

刘念，武汉警官职业学院司法信息安全专业带头人，研究方向涉及电子数据取证、网络安全、司法行政信息化领域。司法类《职业教育专业简介》和《职业教育专业教学标准》制订工作智慧司法技术与应用专业研制组成员、司法信息安全专业研制组成员。主持和参与省级项目/课题5项，发表论文7篇，申报专利/软著3项，主编和参编教材10部。陈雪松，武汉警官职业学院副教授，研究方向涉及系统分析与集成、司法行政信息化、电子政务。司法部信息安全与智能装备重点实验室学术委员，司法部“十三五”信息化建设意见书评审专家，司法部“十三五”司法行政科技创新规划编制工作组成员。主持省级项目/课题10余项，发表论文30余篇，申报专利/软著4项，撰写专著2部，主编和参编教材12部。主持建设的“湖北省司法行政系统远程会见系统”“湖北省司法行政系统应急指挥中心项目”“湖北省司法厅‘司法云’大数据慧治中心”“‘五位一体’智慧运维体系”，连续四年（2018—2021年）被评为“全国智慧司法十大创新案例”。谈洪磊，武汉警官职业学院司法侦查系系主任，长期从事电子取证和信息安全方面的实务和研究工作。湖北省信息技术职业教导委员会副理事长，湖北省安全防范技术协会理事，湖北省网络安全协会会员，上海网络信息安全协会会员。多次带领团队在全国性技能比赛、创新创业大赛中获奖。

模块1 网络安全相关法律法规和案例1

一、概述/ 1

二、相关法律和案例/ 2

三、相关法规和案例/ 15

四、小结/ 36

五、习题/ 36

六、参考文献/ 37

模块2 计算机网络安全概论/ 38

一、概述/ 38

二、信息安全/ 42

三、网络安全的攻击与防护/ 47

四、小结/ 62

五、习题/ 62

六、参考文献/ 64

模块3 计算机网络攻击与防护的方法/ 65

一、概述/ 65

二、网络安全的本质/ 68

三、正义黑客/ 69

四、白帽子的能力和品质/ 73

五、渗透测试的类型/ 75

六、网络攻防框架和渗透测试执行标准/ 77

七、实战网络安全攻防演练/ 88

八、小结/ 96

九、习题/ 96

十、参考文献/ 97

模块4 网络安全攻防环境搭建/ 98

一、概述/ 98

二、基础知识/ 102

三、虚拟机使用指南/ 104

四、安装集成软件包/ 106

五、网络攻防环境搭建/ 111

六、Metasploit/ 119

七、小结/ 125

八、习题/ 125

九、参考文献/ 125

模块5 信息收集/ 127

一、概述/ 127

二、信息收集的防范/ 162

三、小结/ 163

四、习题/ 163

五、参考文献/ 166

模块6 密码学基础/ 167

一、密码学概述/ 167

二、常见密码算法分类/ 172

三、密码体制分类/ 174

四、对称密码算法及其应用/ 178

五、公开密钥密码算法及其应用/ 182

六、数字签名/ 185

七、认证技术/ 187

八、公钥基础设施和数字证书/ 193

九、小结/ 196

十、习题/ 196

十一、参考文献/ 198

模块7 社会工程学攻击与防范/ 199

一、社会工程学概述/ 199

二、社会工程学的攻击方法/ 201

三、社会工程学案例/ 207

四、社会工程学的防范措施/ 209

五、小结/ 210

六、习题/ 210

七、参考文献/ 211

模块8 暴力破解攻击与防范/ 212

一、暴力破解攻击漏洞概述/ 212

二、暴力破解的攻击类型/ 214

三、暴力破解的攻击步骤/ 216

四、漏洞的综合利用案例/ 224

五、暴力破解攻击的防御策略/ 227

六、小结/ 228

七、习题/ 228

八、参考文献/ 229

模块9 跨站脚本攻击与防范/ 230

一、XSS漏洞概述/ 230

二、基础知识/ 232

三、XSS原理/ 240

四、XSS分类/ 242

五、XSS漏洞的利用案例/ 243

六、XSS防御方法/ 249

七、小结/ 249

八、习题/ 250

九、参考文献/ 250

模块10 SQL注入攻击与防范/ 251

一、漏洞概述/ 251

二、基础知识/ 252

三、SQL注入原理/ 254

四、SQL注入漏洞利用/ 256

五、SQL注入漏洞之Pikachu实战案例/ 261

六、SQLmap/ 269

七、SQL注入防御措施/ 282

八、小结/ 283

九、习题/ 283

十、参考文献/ 283 

信息技术广泛应用和网络空间兴起发展，极大促进了经济社会繁荣进步，在为我们的日常生活带来巨大便利的同时，也带来了安全漏洞、数据泄露等新的安全风险和挑战。信息科技日新月异，网络空间安全面临的形势日益复杂多变，作为网络安全及相关专业的核心课程，“计算机网络攻击与防护”以厚基础、重技能为课程特色，在讲授计算机网络攻防技术的同时，也注重实践技能的训练。在课程内容的组织安排上，既包括基本原理和攻防技术，也包括安全部署和实践技能，有利于学生从微观和宏观两个方向把握网络安全的核心知识与技能。本书适合作为司法警官职业院校各专业大学生计算机基础课程的教材或教学参考书，也可以作为高等院校和社会培训机构的参考书。

刘念，武汉警官职业学院司法信息安全专业带头人，研究方向涉及电子数据取证、网络安全、司法行政信息化领域。司法类《职业教育专业简介》和《职业教育专业教学标准》制订工作智慧司法技术与应用专业研制组成员、司法信息安全专业研制组成员。主持和参与省级项目/课题5项，发表论文7篇，申报专利/软著3项，主编和参编教材10部。陈雪松，武汉警官职业学院副教授，研究方向涉及系统分析与集成、司法行政信息化、电子政务。司法部信息安全与智能装备重点实验室学术委员，司法部“十三五”信息化建设意见书评审专家，司法部“十三五”司法行政科技创新规划编制工作组成员。主持省级项目/课题10余项，发表论文30余篇，申报专利/软著4项，撰写专著2部，主编和参编教材12部。主持建设的“湖北省司法行政系统远程会见系统”“湖北省司法行政系统应急指挥中心项目”“湖北省司法厅‘司法云’大数据慧治中心”“‘五位一体’智慧运维体系”，连续四年（2018—2021年）被评为“全国智慧司法十大创新案例”。谈洪磊，武汉警官职业学院司法侦查系系主任，长期从事电子取证和信息安全方面的实务和研究工作。湖北省信息技术职业教导委员会副理事长，湖北省安全防范技术协会理事，湖北省网络安全协会会员，上海网络信息安全协会会员。多次带领团队在全国性技能比赛、创新创业大赛中获奖。