本书由浅入深地介绍了网络攻击与防御技术。首先本书从网络安全所面临的不同威胁入手，介绍了各种攻击技术的基本原理，并给出一定的实例分析。然后，从网络安全、访问控制机制、防火墙技术、入侵检测等方面系统介绍网络安全的防御技术，进而分析了网络安全管理的技术和手段。本书内容全面，循序渐进，适合作为高校信息安全相关专业的教材。

0

第2版前言
随着信息技术的高速发展，以互联网为代表的计算机网络已经成为全球化的信息共享与交互平台，深刻地影响着各国政治、经济、军事以及人们日常工作和生活的各个方面。虽然网络安全已经得到普遍重视，但新的网络威胁依然层出不穷。2010年，震网病毒广为传播并使伊朗核设施遭到攻击；2013年披露的“棱镜”计划揭开了“网络监听窃密”的冰山一角；2016年，黑客组织“影子经纪人”（The Shadow Brokers）公开拍卖盗取的“网络攻击工具集”；2017年，勒索病毒Wannacry在全球范围内广泛传播，感染了150多个国家的近20万台计算机。这些案例使大众深刻感受到网络威胁造成的影响。
增强网络安全意识、掌握网络安全技能是应对网络威胁的必然要求。网络攻击与网络防御本质上是攻防双方围绕对网络脆弱性的认知而进行的博弈。网络攻击技术既是网络防御技术发展的动因，也是网络防御技术的防范对象。因此，要掌握网络安全技能，就应当系统全面地学习网络攻击与网络防御技术。
全书共分13章，按照先介绍“攻击技术”后介绍“防御技术”的顺序进行组织，第1章至第8章讨论攻击技术，第9章至第13章讨论防御技术。“攻击技术”部分在介绍各种攻击的危害和原理的基础上，进一步分析该攻击的成因以及针对该攻击技术的防御方法；“防御技术”部分则在介绍防御原理、功能的基础上，进一步分析每种防御技术的优势与不足。全书各章的具体内容如下：
第1章介绍网络安全威胁、网络攻击的类型，分析攻击的主要步骤及各步骤所应用的攻击技术，并对网络攻击技术的发展趋势进行展望。
第2章从公开信息收集、网络扫描、漏洞扫描、网络拓扑探测四个方面对信息收集技术进行详细的介绍。
第3章从口令的强度、存储和传输三个方面对常见的口令攻击技术和防范方法进行介绍。
第4章介绍软件漏洞的相关概念、主要类型及触发原理，以溢出类漏洞为例讨论漏洞利用的一般方法，并介绍当前广为应用的四种漏洞利用保护机制。
第5章介绍Web应用的基本模型和相关概念，详细讨论XSS攻击、SQL注入攻击和HTTP会话攻击三类典型的Web应用攻击技术及其防范方法。
第6章介绍恶意代码的发展历程、基本分类和攻击模型，分析恶意代码使用的关键技术，讨论主机恶意代码防范技术和网络恶意代码防范技术。
第7章介绍假消息攻击的基本概念，在介绍网络嗅探技术的基础上，按照由低至高的协议层顺序，详细讨论各协议层假消息攻击的方法以及相应的防范措施。
第8章介绍拒绝服务攻击的概念、危害，重点讨论各种拒绝服务攻击破坏服务的基本原理和攻击效能放大的主要方法，并介绍当前检测与防范此类攻击的主要思路与方法。
第9章主要从网络安全模型、网络安全管理和网络防御新技术三个方面探讨网络安全防御的主要内容与技术发展趋势。
第10章介绍访问控制的原理、模型及实现，重点讨论Windows操作系统的访问控制机制。
第11章介绍防火墙的基本概念和主要功能，重点讨论目前广泛采用的各种防火墙技术，包括它们所能提供的安全特性与优缺点。
第12章介绍网络安全监控的概念与原理，在统一的网络安全监控的概念框架下，重点介绍入侵检测、蜜罐、沙箱等常见的网络安全监控技术。
第13章介绍网络攻击追踪溯源的基本概念及作用，重点分析追踪的溯源典型技术。
战略支援部队信息工程大学网络空间安全学院组织了全书的编写工作，朱俊虎担任主编，奚琪、张连成、周天阳、曹琰、颜学雄、彭建山、邱菡、胡雪丽、尹中旭、秦艳锋等参与编写。本书的第1、8章由朱俊虎、秦艳锋编写，第2、6章由奚琪编写，第3章由胡雪丽编写，第4章由曹琰编写，第5章由颜学雄编写，第7章由彭建山编写，第9、13章由张连成编写，第10章由尹中旭编写，第11章由邱菡编写，第12章由周天阳编写。全书由朱俊虎进行统稿，秦艳锋、奚琪、颜学雄同时参与了部分审校工作。王清贤教授作为本书的主审，对全书内容进行了审定。
本书第1版是由吴灏教授组织编写的，第2版延续了第1版的撰写思路和主体结构，在此对第1版所有编写人员表示诚挚的谢意。在本书的统稿过程中，葛潇月、李静轩、刘自勉、胡泰然等为提高本书的质量进行了内容与文字的校对，衷心感谢他们为本书做出的贡献。机械工业出版社朱劼编辑为本书付梓做了大量专业细致的工作，在此一并表示感谢。
网络攻防技术发展迅猛，限于作者水平，书中错误和不足之处在所难免，恳请读者批评指正。

作　者
2018年9月




第1版前言
在信息化高度发展的今天，计算机网络已经把国家的政治、军事、经济、文化教育等行业和部门紧密地联系在一起，成为社会基础设施的重要组成部分。
随着网络技术的发展，网络安全问题日趋严重。黑客利用网络漏洞对网络进行攻击、传播病毒和木马、控制他人的计算机和网络、篡改网页、破坏网络的正常运行、窃取和破坏计算机上的重要信息，严重影响了网络的健康发展。网络信息安全已成为事关国家安全、经济发展、社会稳定和军事战争成败的重大战略性课题，在维护国家利益、保障国民经济稳定有序发展、打赢未来战争中占有重要地位。
目前国内已有一批专门从事信息安全基础研究、技术开发与技术服务的研究机构与高科技企业，形成了我国信息安全产业的雏形。但由于国内信息安全技术人才相对不足，阻碍了我国信息安全事业的发展，为此，国内很多高校开设了信息安全专业，并将“网络攻防技术”作为该专业的一门主要课程。
作为一本专门针对本科生网络安全课程的教材，本书比较详细地介绍了现有的主要攻击手段和方法，剖析了系统存在的缺陷和漏洞，让网络安全防护更有针对性。在此基础上，对网络防御中常用的技术和方法进行了较为系统的分析和介绍。通过本课程的学习，学生可以了解和掌握网络攻击的手段和方法，系统掌握网络防御的基本原理和技术，熟悉网络安全管理的相关知识，为将来从事网络安全的研究、安全技术的开发和网络安全管理打下坚实的基础。
本书涉猎面广，不仅突出实用性，而且强调对技术原理的掌握。限于篇幅，书中没有涉及信息安全的重要支撑技术—密码学，如读者有兴趣，请参阅有关书籍。
本书共分15章，各章的内容既独立又有联系，主要内容如下：
第1章介绍网络安全威胁、网络攻击的分类、攻击的五个步骤，并且列出了网络攻击导致的后果，展望了网络攻击技术的主要发展趋势。
第2章从网络信息挖掘、网络扫描技术、网络拓扑探测、系统类型探测四个方面对信息收集技术进行详细的介绍。
第3章从口令的强度、存储和传输三个方面对常见的口令攻击技术和防范方法进行介绍。
第4章介绍了缓冲区溢出的相关概念、类型，详细讨论了溢出利用的基本原理及如何编写Shellcode代码。
第5章介绍恶意代码的现状、危害和发展历程，涵盖几种主要的恶意代码类型，并归纳出恶意代码的攻击模型。在此基础上分析了恶意代码所使用的关键技术，详细阐述了基于主机的恶意代码防范技术和基于网络的恶意代码防范技术。
第6章介绍Web应用的基本模型和相关概念，详细讨论了对Web应用程序的两种常见的攻击方法，并给出了相应的防范策略。
第7章介绍嗅探器的原理及嗅探器的实现过程，并列出了一些编写方法，最后介绍了嗅探器的检测与防范方法。
第8章按照TCP/IP协议的层次，对假消息攻击进行分类，并详细介绍每一层对应的攻击技术。
第9章详细地介绍了拒绝服务攻击的概念、成因和原理。
第10章主要探讨网络安全模型、网络安全的评估标准、安全策略、网络的纵深防御、安全检测、安全响应、灾难恢复和网络安全管理等方面。
第11章介绍访问控制的原理、模型及实现，详细介绍了操作系统访问控制机制和网络访问控制机制。
第12章重点介绍目前广泛采用的防火墙技术，包括它们所能提供的安全特性与优缺点。
第13章介绍与防火墙完全不同的一种网络安全技术—入侵检测，讨论了入侵检测系统的模型、技术，并介绍了几种开源的网络入侵检测软件。
第14章介绍蜜罐技术的基本概念和技术原理，并详细讨论了两种典型的蜜罐应用实例。
第15章介绍内网安全管理的内容及目标，并讨论了终端的接入控制、非法外联监控、移动存储介质等安全管理内容。
本书由解放军信息工程大学信息工程学院网络工程系组织编写，具体分工如下：第1、10章由吴灏编写；第2、3章由曹宇、胡雪丽编写；第4章由魏强编写；第5章由王亚琪编写；第6章由奚琪编写；第7、8章由彭建山编写；第9章由耿俊燕编写；第11章由尹中旭编写；第12、13章由朱俊虎编写；第14章由曾勇军、徐长征编写；第15章由吴灏、邵峥嵘编写。全书由吴灏教授统稿，胡雪丽协助。此外，王高尚、曹琰、崔颖、任栋、刘国栋、朱磊、李正也参与了本书的编写工作。
由于网络攻防技术的快速发展，再加之作者水平有限，疏漏和错误之处在所难免，恳请读者和有关专家不吝赐教。

编　者
2009年6月

计算机\安全

网络攻击和防御始终是对立、矛盾的，但又是相辅相成、互相联系的。深入了解这对矛盾的两个方面，才能为做好网络安全防护工作打下坚实的基础。本书面向初学者，系统介绍了网络攻击与防御技术。全书从内容上分为两大部分，第一部分重点介绍网络攻击技术，从网络安全所面临的不同威胁入手，详细介绍了信息收集、口令攻击、软件漏洞、Web应用攻击、恶意代码、假消息攻击、拒绝服务攻击等多种攻击技术，并结合实例进行深入的分析。第二部分重点介绍网络防御技术，从网络防御的模型入手，详细介绍了访问控制机制、防火墙、网络安全监控、攻击追踪与溯源等安全防御的技术与方法，并从实际应用角度分析了它们的优势与不足。
本书体系科学合理，先攻击后防御的内容安排符合攻防技术发展的过程与特点；概念清晰明了，图文并茂地诠释了攻防术语的内涵与外延；内容详尽实用，结合丰富的实例剖析技术的细节与实质。本书既注重讨论当前广泛应用的成熟理论与技术，也注重介绍该领域最新的研究进展与趋势。书中各章均附有习题，方便教师讲授和学生开展自学。

第2版前言
第1版前言
第1章　网络攻击概述 1
1.1　网络安全威胁 1
1.1.1　网络安全威胁事件 1
1.1.2　网络安全威胁的成因 2
1.2　网络攻击技术 4
1.2.1　网络攻击的分类 4
1.2.2　网络攻击的步骤与方法 6
1.3　网络攻击的发展趋势 8
1.4　本章小结 9
1.5　习题 9
第2章　信息收集技术 10
2.1　信息收集概述 10
2.1.1　信息收集的内容 10
2.1.2　信息收集的方法 11
2.2　公开信息收集 11
2.2.1　利用Web服务 11
2.2.2　利用搜索引擎服务 12
2.2.3　利用WhoIs服务 14
2.2.4　利用DNS域名服务 14
2.2.5　公开信息收集方法的应用 15
2.3　网络扫描 17
2.3.1　主机扫描 18
2.3.2　端口扫描 20
2.3.3　系统类型扫描 24
2.4　漏洞扫描 27
2.4.1　漏洞扫描的概念 27
2.4.2　漏洞扫描的分类 27
2.4.3　漏洞扫描器的组成 28
2.5　网络拓扑探测 29
2.5.1　拓扑探测 29
2.5.2　网络设备识别 31
2.5.3　网络实体IP地理位置定位 33
2.6　本章小结 34
2.7　习题 34
第3章　口令攻击 35
3.1　概述 35
3.1.1　口令和身份认证 35
3.1.2　口令攻击的分类 36
3.2　针对口令强度的攻击 37
3.2.1　强口令与弱口令 37
3.2.2　针对口令强度的攻击方法 38
3.2.3　Windows系统远程口令猜解 41
3.3　针对口令存储的攻击 44
3.3.1　针对口令存储的攻击方法 44
3.3.2　Windows系统账号口令攻击 45
3.4　针对口令传输的攻击 48
3.4.1　口令嗅探 48
3.4.2　键盘记录 48
3.4.3　网络钓鱼 49
3.4.4　重放攻击 50
3.5　口令攻击的防范 52
3.6　本章小结 52
3.7　习题 53
第4章　软件漏洞 54
4.1　概述 54
4.1.1　漏洞的概念 54
4.1.2　漏洞的标准化研究 55
4.2　典型的漏洞类型 55
4.2.1　栈溢出 55
4.2.2　堆溢出 59
4.2.3　格式化串漏洞 64
4.2.4　整型溢出 66
4.2.5　释放再使用（UAF） 68
4.3　溢出漏洞利用的原理 69
4.3.1　溢出攻击的基本流程 69
4.3.2　溢出利用的关键技术 70
4.4　漏洞利用保护机制 74
4.4.1　GS编译保护机制 74
4.4.2　SafeSEH机制 75
4.4.3　DEP机制 75
4.4.4　ASLR机制 76
4.5　本章小结 76
4.6　习题 77
第5章　Web应用攻击 78
5.1　概述 78
5.1.1　Web应用的基本原理 78
5.1.2　Web应用攻击的类型 84
5.2　XSS攻击 85
5.2.1　XSS攻击的基本原理 85
5.2.2　XSS攻击的主要类型 87
5.2.3　XSS漏洞的利用方式分析 87
5.2.4　XSS攻击的防范措施 88
5.3　SQL注入攻击 89
5.3.1　SQL注入攻击的基本原理 89
5.3.2　SQL注入的利用方式分析 91
5.3.3　SQL注入攻击的类型 92
5.3.4　防范措施 94
5.4　HTTP会话攻击及防御 95
5.4.1　HTTP会话的基本原理 95
5.4.2　HTTP会话的示例 96
5.4.3　HTTP会话攻击 98
5.4.4　CSRF攻击 98
5.4.5　防范措施 100
5.5　本章小结 100
5.6　习题 100
第6章　恶意代码 101
6.1　恶意代码概述 101
6.1.1　恶意代码的发展历程 102
6.1.2　恶意代码的定义与分类 104
6.1.3　恶意代码的攻击模型 106
6.2　恶意代码的关键技术 107
6.2.1　恶意代码入侵技术 107
6.2.2　恶意代码隐蔽技术 109
6.2.3　恶意代码生存技术 119
6.3　恶意代码的防范技术 121
6.3.1　基于主机的恶意代码防范技术 121
6.3.2　基于网络的恶意代码防范技术 123
6.4　本章小结 124
6.5　习题 124
第7章　假消息攻击 125
7.1　概述 125
7.1.1　TCP/IP的脆弱性 125
7.1.2　假消息攻击的模式和危害 126
7.2　网络嗅探 127
7.2.1　网络嗅探的原理与实现 127
7.2.2　网络嗅探与协议还原 130
7.2.3　嗅探器的检测与防范 134
7.3　ARP欺骗攻击 136
7.3.1　ARP欺骗的原理与应用 136
7.3.2　ARP欺骗的防范 138
7.4　ICMP路由重定向攻击 139
7.4.1　ICMP路由重定向的原理 139
7.4.2　ICMP路由重定向的防范 140
7.5　IP欺骗攻击 140
7.5.1　IP欺骗与TCP序列号猜测 140
7.5.2　IP欺骗防范 142
7.6　DNS欺骗攻击 142
7.6.1　DNS欺骗的原理与实现 142
7.6.2　DNS欺骗的防范 144
7.7　SSL中间人攻击 144
7.7.1　SSL中间人攻击的原理与实现 144
7.7.2　SSL中间人攻击的防范 145
7.8　本章小结 145
7.9　习题 145
第8章　拒绝服务攻击 146
8.1　概述 146
8.1.1　基本概念 147
8.1.2　拒绝服务攻击的分类 147
8.2　典型拒绝服务攻击技术 148
8.2.1　传统的拒绝服务攻击 149
8.2.2　洪泛攻击 151
8.2.3　低速率拒绝服务攻击 153
8.3　分布式拒绝服务攻击 155
8.3.1　基于僵尸网络的分布式拒绝服务攻击 155
8.3.2　分布式反射拒绝服务攻击 161
8.4　拒绝服务攻击的防御 163
8.4.1　拒绝服务攻击预防 164
8.4.2　拒绝服务攻击检测 164
8.4.3　拒绝服务攻击响应 165
8.4.4　拒绝服务攻击容忍 166
8.5　本章小结 167
8.6　习题 167
第9章　网络防御概述 169
9.1　网络安全模型 169
9.1.1　风险评估 170
9.1.2　安全策略 172
9.1.3　系统防护 173
9.1.4　安全检测 175
9.1.5　安全响应 176
9.1.6　灾难恢复 177
9.2　网络安全管理 177
9.3　网络防御技术的发展趋势 178
9.3.1　主动防御 179
9.3.2　动态防御 181
9.3.3　软件定义安全 183
9.4　本章小结 185
9.5　习题 185
第10章　访问控制机制 186
10.1　访问控制概述 186
10.1.1　访问控制原理 186
10.1.2　访问控制模型 187
10.1.3　访问控制机制的实现 190
10.2　操作系统访问控制的相关机制 191
10.2.1　身份认证和授权机制 191
10.2.2　访问检查机制 192
10.2.3　可信通路机制 194
10.2.4　对象重用机制 195
10.2.5　审计机制 195
10.3　UAC机制分析 196
10.3.1　权限提升提示机制 196
10.3.2　强制完整性控制机制 197
10.3.3　会话隔离机制 198
10.3.4　UAC机制的弱点分析 198
10.4　本章小结 200
10.5　习题 200
第11章　防火墙 201
11.1　防火墙概述 201
11.1.1　防火墙的定义 201
11.1.2　防火墙的安全策略 202
11.1.3　防火墙的功能 202
11.1.4　防火墙的不足 203
11.1.5　防火墙技术和产品的发展历程 204
11.2　常用的防火墙技术 206
11.2.1　包过滤 206
11.2.2　状态检测 209
11.2.3　应用代理 211
11.2.4　NAT代理 212
11.2.5　流量识别技术 213
11.3　常用的防火墙类型 214
11.3.1　主机防火墙 214
11.3.2　网络防火墙 216
11.3.3　Web应用防火墙 218
11.4　本章小结 219
11.5　习题 219
第12章　网络安全监控 221
12.1　网络安全监控概述 221
12.1.1　网络安全监控概念的内涵 221
12.1.2　网络安全监控原理的特征 222
12.1.3　网络安全监控技术的原理 224
12.1.4　网络安全监控系统的部署 229
12.2　入侵检测 230
12.2.1　入侵检测的定义 230
12.2.2　入侵检测系统的分类 231
12.2.3　入侵检测系统模型 232
12.2.4　开源入侵检测系统Snort 233
12.3　蜜罐 234
12.3.1　蜜罐的定义 234
12.3.2　蜜罐的分类 235
12.3.3　蜜罐技术的原理 237
12.3.4　蜜罐实例 238
12.4　沙箱 241
12.4.1　沙箱的定义 241
12.4.2　沙箱的分类 242
12.4.3　沙箱的关键技术 243
12.4.4　开源沙箱系统Cuckoo 245
12.5　本章小结 247
12.6　习题 247
第13章　追踪溯源 248
13.1　追踪溯源概述 248
13.1.1　网络攻击追踪溯源的基本概念 248
13.1.2　网络攻击追踪溯源的目标层次 249
13.1.3　网络攻击追踪溯源的典型场景 251
13.2　追踪溯源面临的挑战 252
13.2.1　跳板对追踪溯源的挑战 252
13.2.2　匿名通信系统对追踪溯源的挑战 253
13.2.3　追踪溯源面临的其他挑战 255
13.3　追踪溯源的典型技术 256
13.3.1　定位伪造地址的IP追踪技术 256
13.3.2　跳板攻击溯源技术 259
13.3.3　针对匿名通信系统的追踪溯源技术 264
13.4　追踪溯源技术的发展趋势 264
13.5　本章小结 266
13.6　习题 266
缩略语表 267
参考文献 270