局域網(wǎng)組網(wǎng)技術項目式教程（微課版）-實訓指導手冊 項目八 網(wǎng)絡管理與安全防護實訓指導手冊

局域網(wǎng)組網(wǎng)技術項目式教程實訓指導手冊2023年12月前言局域網(wǎng)組網(wǎng)技術項目式教程實訓是教學計劃規(guī)定的重要教學環(huán)節(jié)，是提高學生的專業(yè)素質，培養(yǎng)學生的崗位職業(yè)能力的重要手段。通過實訓期間的各種工種訓練，達到如下目的：1.理論聯(lián)系實際，在實際操作中，驗證、鞏固、深化已學的有關理論和專業(yè)知識，提高學生獨立分析問題、解決問題的心智能力，做到操作技能與心智技能并重。2.使學生獲得中小型企業(yè)網(wǎng)建設工技術和網(wǎng)絡管理的實際知識，了解書本知識和實際情況的區(qū)別和聯(lián)系：掌握網(wǎng)絡規(guī)劃準備工作內容、組建方法及防護內容。3.開闊學生的工程技術眼界，了解我國目前網(wǎng)絡工程技術和網(wǎng)絡安全管理的現(xiàn)狀和發(fā)展狀況。4.培養(yǎng)學生吃苦耐勞、主動學習和全面學習的觀念，培養(yǎng)學生工作中的協(xié)調配合能力，提高學生的綜合素質。2023年12月目錄TOC\o"1-3"\h\u項目8網(wǎng)絡管理與安全防護 5一、實訓項目一：網(wǎng)絡連通性檢測利器--ping命令實訓 5（一）實訓目的 5（二）實訓基本要求 5（三）實訓器材，設備和耗材 5（四）實訓內容 5（五）項目考核 11二、實訓項目二：勒索病毒的防范實訓 14（一）實訓目的 14（二）實訓基本要求 14（三）實訓器材，設備和耗材 14（四）實訓內容 14（五）項目考核 19三、實訓項目三：DDoS攻擊常見防御方法實訓 22（一）實訓目的 22（二）實訓基本要求 22（三）實訓器材，設備和耗材 22（四）實訓內容 22（五）項目考核 28四、實訓項目四：CC攻擊常見防御方法實訓 31（一）實訓目的 31（二）實訓基本要求 31（三）實訓器材，設備和耗材 31（四）實訓內容 31（五）項目考核 35五、實訓項目五：網(wǎng)絡安全縱深防御實訓 38（一）實訓目的 38（二）實訓基本要求 38（三）實訓器材，設備和耗材 38（四）實訓內容 38（五）項目考核 41六、實訓項目六：無線網(wǎng)絡安全之掃描實訓 44（一）實訓目的 44（二）實訓基本要求 44（三）實訓器材，設備和耗材 44（四）實訓內容 44（五）項目考核 49七、實訓項目七：項目實訓局域網(wǎng)安全防護實戰(zhàn) 52（一）實訓目的 52（二）實訓基本要求 52（三）實訓器材，設備和耗材 52（四）實訓內容 52（五）項目考核 56項目8網(wǎng)絡管理與安全防護一、實訓項目一：網(wǎng)絡連通性檢測利器--ping命令實訓建議教學時間：2課時（一）實訓目的在網(wǎng)絡中ping是一個十分強大的TCP/IP工具，通過本次實驗，能用ping命令檢測網(wǎng)絡的連通情況和分析網(wǎng)絡速度，能根據(jù)域名得到服務器IP，能根據(jù)ping返回的TTL值來判斷對方所使用的操作系統(tǒng)及數(shù)據(jù)包經(jīng)過的路由器數(shù)目。（二）實訓基本要求1.熟悉基本網(wǎng)絡命令的格式以及功能；2.撰寫實驗報告，包括命令執(zhí)行的主要結果以及簡單分析。（三）實訓器材，設備和耗材工作任務所用工具和設備臺套數(shù)操作要領和注意事項熟悉ping命令使用一臺能連網(wǎng)的PC機，安裝有Windows操作系統(tǒng)1各個參數(shù)練習，注意多個參數(shù)配合使用，出現(xiàn)不同反饋信息的含義（四）實訓內容任務一：ping命令功能基本原理：Ping利用Internet控制消息協(xié)議（ICMP）在源主機和目標主機之間交換數(shù)據(jù)包。當執(zhí)行ping命令時，源主機發(fā)送ICMPEchoRequest數(shù)據(jù)包到目標主機，目標主機接收到后返回ICMPEchoReply。通過計算往返時間（Round-TripTime，RTT），ping命令可以測量數(shù)據(jù)包從源主機發(fā)送到目標主機再返回的時間，從而評估網(wǎng)絡的性能和穩(wěn)定性。基本測試步驟：步驟1：顯示ping命令常用參數(shù)ping命令參數(shù)很多，想要顯示所有參數(shù)，打開命令行窗口，輸入ping/?命令，如圖8-1所示：圖8-1ping命令參數(shù)步驟2：在命令行窗口，輸入ping。這是一個診斷或回環(huán)地址，如果你得到一個成功的ping返回，則可以認定你的IP棧是被初始化過的。如果失敗，則說明你的IP棧有問題，需要重新安裝TCP/IP。步驟3：在命令行窗口，輸入ping本主機的IP地址。如果成功，那么可以說明你的網(wǎng)絡接口卡(NIC)是功能正常的。如果失敗，則表明NIC卡上存在問題。這一步并不能說明網(wǎng)線已經(jīng)連接到NIC上，它只能說明主機上的IP地址棧可以與這個NIC進行通信。步驟4：在命令行窗口，輸入ping默認網(wǎng)關(路由器)。如果ping正常，表明NIC已經(jīng)連接到網(wǎng)絡并且可以與本地網(wǎng)絡進行通信。如果失敗，則表明存在一個本地物理網(wǎng)絡問題，這個問題可能出現(xiàn)在NIC到路由器之間的任何一個位置上。步驟5：如果步驟1到3都是成功的，嘗試ping一下遠端服務器。如果正常，則表明你可以在本地主機與遠端服務器之間進行通信。同時，你也可以確信遠端的物理網(wǎng)絡也是正常的。如果ping遠端服務器失敗，那么你所面對的將是某些遠程物理網(wǎng)絡的問題。這時，你需要趕到服務器的那邊，并執(zhí)行步驟1到3的測試，直到找出癥結所在。任務二：ping命令常用測試方法ping命令主要作用：用來檢測網(wǎng)絡的連通情況和分析網(wǎng)絡速度；根據(jù)域名得到服務器IP；根據(jù)ping返回的TTL值來判斷對方所使用的操作系統(tǒng)及數(shù)據(jù)包經(jīng)過路由器數(shù)量。步驟1：基本連通性測試：ping<目標IP或域名>，用于檢測是否能夠與目標主機建立基本的網(wǎng)絡連接，例如：ping，如圖8-2所示：圖8-2基本連通性測試圖2中直接pingip地址或網(wǎng)關，ping會顯示出以上數(shù)據(jù)，bytes=32，time<1ms，TTL=128，它們的含義分別是：bytes值：數(shù)據(jù)包大小。time值：響應時間，這個時間越小，說明連接這個地址速度越快。TTL值：TimeToLive,表示DNS記錄在DNS服務器上存在的時間，它是IP協(xié)議包的一個值，告訴路由器該數(shù)據(jù)包何時需要被丟棄。可以通過Ping返回的TTL值大小，粗略地判斷目標系統(tǒng)類型是Windows系列還是UNIX/Linux系列。因此一般TTL值：100~130ms之間，Windows系統(tǒng)；240~255ms之間，UNIX/Linux系統(tǒng)。步驟2：指定數(shù)據(jù)包數(shù)量：ping-n<次數(shù)><目標>，通過指定發(fā)送的ICMPEchoRequest次數(shù)，可以進行有限次數(shù)的ping測試。在默認情況下，一般發(fā)送四個數(shù)據(jù)包，通過這個命令可以自己定義發(fā)送的個數(shù)，對衡量網(wǎng)絡速度很有幫助，比如想測試發(fā)送8個數(shù)據(jù)包的返回的平均時間、最快時間、最慢時間，輸入命令ping-n8，結果如圖8-3所示：圖8-3指定數(shù)據(jù)包數(shù)量從圖3給發(fā)送8個數(shù)據(jù)包的過程當中，返回了8個，沒有丟失，這8個數(shù)據(jù)包當中返回速度最快為24ms，最慢為106ms，平均速度為56ms。說明當前網(wǎng)絡良好。如果對于一些不好的網(wǎng)絡，比如監(jiān)控系統(tǒng)中非常卡頓，這樣測試，返回的結果可能會顯示出丟失出一部分，如果丟失的比較多的話，那么就說明網(wǎng)絡不好，可以很直觀的判斷出網(wǎng)絡的情況。步驟3：指定數(shù)據(jù)包大?。簆ing-l<大小><目標>，用于測試不同大小的數(shù)據(jù)包對網(wǎng)絡的影響。發(fā)送size指定大小的到目標主機的數(shù)據(jù)包。在默認的情況下Windows的ping發(fā)送的數(shù)據(jù)包大小為32byte，最大能發(fā)送65500byte。當一次發(fā)送的數(shù)據(jù)包大于或等于65500byte時，將可能導致接收方計算機宕機。所以微軟限制了這一數(shù)值；這個參數(shù)配合其它參數(shù)以后危害非常強大，比如攻擊者可以結合-t參數(shù)實施DOS攻擊。（所以它具有危險性，不要輕易向別人計算機使用）。例如：ping-l65500-t

6會連續(xù)對IP地址執(zhí)行ping命令，直到被用戶以Ctrl+C中斷。這樣它就會不停的向6計算機發(fā)送大小為65500byte的數(shù)據(jù)包，如果你只有一臺計算機也許沒有什么效果，但如果有很多計算機那么就可以使對方完全癱瘓，網(wǎng)絡嚴重堵塞，由此可見威力非同小可。步驟4：記錄經(jīng)過設備的IP地址：ping-rcount，這個命令在“記錄路由”字段中記錄傳出和返回數(shù)據(jù)包的路由，探測經(jīng)過的路由個數(shù)，但最多只能跟蹤到9個路由。例如ping-n1-r95（發(fā)送一個數(shù)據(jù)包，最多記錄9個路由），如圖8-4所示，將經(jīng)過9個路由都顯示出來了，也就是說可以跟蹤ip地址所經(jīng)過的9個路由，在檢查故障時可以快速定位。。圖8-4記錄經(jīng)過設備的IP地址任務三：批量ping多個IP地址對于一個網(wǎng)段ip地址眾多，如果單個檢測實在麻煩，可以直接批量ping網(wǎng)段檢測，那個ip地址出了問題，一目了然。步驟1：ping一個網(wǎng)段，在命令行窗口輸入：for/L%Din(1,1,255)doping10.168.1.%D，如圖8-5所示：圖8-5ping一個網(wǎng)段當輸入批量命令后，那么它就自動把網(wǎng)段內所有的ip地址都ping完為止。這段“for/L%Din(1,1,255)doping10.168.1.%D”代碼中，(1,1,255)就是網(wǎng)段起與始，就是檢測網(wǎng)段到55之間的所有的ip地址，每次逐增1，從1到255這255個ip檢測完為止。步驟2：ping網(wǎng)段升級，步驟1的命令雖然能批量ping地址，但是代碼在命令行窗口顯示數(shù)量多的時候看起來也很麻煩，那么再升級一下，用下面的代碼：for/L%Din(1,1,255)doping-n10.168.1.%D>>a.txt，這樣就會把結果導入的a.txt文件中，全部IP檢查完成后打開a.txt搜索“TTL=”包含它的就是通的地址，沒有包含“TTL=”的地址就是不通的，如圖8-6所示：圖8-6ping網(wǎng)段升級說明：ip地址是變的，填需要測的ip網(wǎng)段就行，a.txt也是變的，可以自已設置名稱。任務四：不同網(wǎng)絡場景的反饋信息在Windows系統(tǒng)下，執(zhí)行ping命令時會獲得不同的反饋信息，這些信息提供了關于網(wǎng)絡狀態(tài)和可能問題的有用線索。以下是一些常見的ping命令反饋信息及其可能的含義：1正常響應：反饋信息：成功收到ICMPEchoReply?？赡軉栴}：網(wǎng)絡通信正常，目標主機能夠響應。2請求超時：反饋信息："RequestTimedOut"?？赡軉栴}：目標主機未能在規(guī)定時間內響應，可能由于網(wǎng)絡擁塞、路由問題（遠程主機沒有回程路由）、或目標主機配置防火墻導致。3目標不可達：反饋信息："DestinationHostUnreachable"?？赡軉栴}：無法與目標主機建立網(wǎng)絡連接，可能是由于目標主機關閉或故障、路由問題或防火墻攔截。4網(wǎng)絡不可達：反饋信息："DestinationNetworkUnreachable"?？赡軉栴}：無法到達目標網(wǎng)絡，可能是由于網(wǎng)絡配置錯誤、路由問題（沒有到遠程主機的路由信息）或防火墻設置引起。5端口不可達：反饋信息："DestinationPortUnreachable"。可能問題：目標主機存在，但指定的端口不可用，可能是由于服務未啟動或防火墻過濾。6傳輸失?。悍答佇畔ⅲ?TransmitFailed,GeneralFailure"?？赡軉栴}：發(fā)送數(shù)據(jù)包時發(fā)生了一般性失敗，可能是由于網(wǎng)絡驅動程序、硬件問題或權限不足。7TTL超時：反饋信息："TTLExpiredinTransit"?？赡軉栴}：數(shù)據(jù)包在傳輸中達到了TTL（TimeToLive）的最大值，可能是由于網(wǎng)絡環(huán)路或路由問題引起。8網(wǎng)絡繁忙：反饋信息："Pingrequestcouldnotfindhost"或"Pingrequesttimedoutbecausethehostisdown."可能問題：目標主機未響應，可能是因為網(wǎng)絡負載過高、目標主機故障或路由問題。練習及思考題思考題1：哪些網(wǎng)絡命令可以查看一個域名對應的IP地址是什么?思考題2：如果一臺主機不能上網(wǎng)，試分析可能的原因有哪些?（五）項目考核在實訓項目考核中，要做到成績考核與評定的“標準統(tǒng)一、方法科學.過程公正、結果客觀”，在實訓成績考核與評定時，主要考核以下內容：（1）考核學生的學習和實訓態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實訓情況；（2）對相關專業(yè)的基本知識和操作技能、技巧理解和運用的程度；（3）考核學生的創(chuàng)新精神和團隊協(xié)作能力；（4）考核學生解決實際問題的綜合能力和專業(yè)實訓取得的成果。表一：項目實訓學生實際操作評分表項目名稱：___________組別：___________得分：___________項目評價內容要求分值得分實前(20分)記錄表格設計合理5及時認真5著裝符合安全操作要求5進實訓室準時5實訓中(60分)實訓操作按操作標準和注意事項規(guī)范操作20態(tài)度認真5團隊協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務，發(fā)現(xiàn)問題5并提出合理的解決方法5實訓成效按規(guī)定時間完成任務10任務產(chǎn)品符合質量標準10實訓后(20分)設備耗材使用工具或設備無損壞5耗材用量未超過指標要求5數(shù)據(jù)處理數(shù)癢據(jù)結果正確10合計100表二：項目實訓綜合評價表項目名稱：___________組別：___________得分：___________評價項目分值得分1、學習目標是否明確52、學習過程是否呈上升趨勢，不斷進步103、是否能獨立地獲取信息，資料收集是否完善104、獨立制定、實施、評價工作方案情況20表三：項目實訓報告姓名班級組別實訓任務時間實訓內容練習及思考二、實訓項目二：勒索病毒的防范實訓建議教學時間：2課時（一）實訓目的勒索病毒是近年來增長迅速且危害巨大的網(wǎng)絡安全威脅，它可以通過各種方式進行攻擊，包括通過漏洞利用、電子郵件、程序木馬、網(wǎng)絡下載等方式進行傳播。該病毒性質惡劣、危害極大，一旦感染將會給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密并勒索高額贖金，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。因此，防范勒索病毒非常重要。通過實訓進一步加深學生對病毒理解，拓展學生網(wǎng)絡安全管理方面的專業(yè)技能，為今后的學習、工作打下堅實的基礎。（二）實訓基本要求1.了解勒索病毒傳播途徑。2.掌握勒索病毒應急處置流程。（三）實訓器材，設備和耗材工作任務所用工具和設備臺套數(shù)操作要領和注意事項勒索病毒的防范一臺能連網(wǎng)的PC機，安裝有Windows操作系統(tǒng)1不同勒索病毒表現(xiàn)不一樣，處理方式也有差別（四）實訓內容任務一：勒索病毒表現(xiàn)如果計算機出現(xiàn)了以下特征，可表明已經(jīng)中了勒索病毒：（1）電腦桌面被篡改服務器被感染勒索病毒后，最明顯的特征是電腦桌面發(fā)生明顯變化，即：桌面通常會出現(xiàn)新的文本文件或網(wǎng)頁文件，這些文件用來說明如何解密的信息，同時桌面上顯示勒索提示信息及解密聯(lián)系方式。下面為電腦感染勒索病毒后，典型的桌面發(fā)生變化的示意圖，如圖8-7所示。圖8-7電腦桌面被篡改示意圖（2）文件后綴被篡改電腦感染勒索病毒后，另外一個典型特征是文件后綴被篡改，如圖8-8所示。圖8-8文件后綴被篡改示意圖任務二：勒索病毒傳播途徑（1）利用安全漏洞傳播攻擊者利用弱口令、遠程代碼執(zhí)行等網(wǎng)絡產(chǎn)品安全漏洞（這些漏洞多是已公開且已發(fā)布補丁的漏洞，且未及時修復的），攻擊入侵用戶內部網(wǎng)絡，獲取管理員權限，進而主動傳播勒索病毒。（2）利用釣魚郵件傳播攻擊者將勒索病毒內嵌至釣魚郵件的文檔、圖片等附件中，或將勒索病毒惡意鏈接寫入釣魚郵件正文中，通過網(wǎng)絡釣魚攻擊傳播勒索病毒。一旦用戶打開或點擊，病毒就會自動加載、安裝，進而威脅整個網(wǎng)絡安全。（3）利用網(wǎng)站掛馬傳播攻擊者通過網(wǎng)絡攻擊網(wǎng)站，以在網(wǎng)站植入惡意代碼的方式掛馬，或通過主動搭建包含惡意代碼的網(wǎng)站，誘導用戶訪問網(wǎng)站并觸發(fā)惡意代碼，劫持用戶當前訪問頁面至勒索病毒下載鏈接并執(zhí)行，進而向用戶設備植入勒索病毒。（4）利用移動介質傳播攻擊者通過隱藏U盤、移動硬盤等移動存儲介質原有文件，創(chuàng)建與移動存儲介質盤符、圖標等相同的快捷方式，一旦用戶點擊，將自動運行勒索病毒，或運行專門用于收集和回傳設備信息的木馬程序，便于未來實施針對性的勒索。（5）利用軟件供應鏈傳播攻擊者利用軟件供應商與軟件用戶間的信任關系，通過攻擊入侵軟件供應商相關服務器設備，利用軟件供應鏈分發(fā)、更新等機制，在合法軟件正常傳播、升級等過程中，對合法軟件進行劫持或篡改，規(guī)避用戶網(wǎng)絡安全防護機制，傳播勒索病毒。（6）利用遠程桌面入侵傳播攻擊者通常利用弱口令、暴力破解等方式獲取攻擊目標服務器遠程登錄用戶名和密碼，進而通過遠程桌面協(xié)議登錄服務器并植入勒索病毒。同時，攻擊者一旦成功登錄服務器，獲得服務器控制權限，可以服務器為攻擊跳板，在用戶內部網(wǎng)絡進一步傳播勒索病毒。任務三：勒索病毒應急處置流程步驟一：檢測階段如何發(fā)現(xiàn)勒索病毒，可通過如下兩個場景進行識別：場景一:感染但未加密從攻擊者滲透進入內部網(wǎng)絡的某一臺主機到執(zhí)行加密行為往往有一段時間，如果在這段時間能夠做出響應，完全可以避免勒索事件的發(fā)生。如果有以下情況，可能是外于感染未加密狀態(tài):（1）監(jiān)測設備告警如果使用了監(jiān)測系統(tǒng)進行流量分析、威脅監(jiān)測，系統(tǒng)產(chǎn)生大量告警日志，例如“SMB遠程溢出攻擊”，"弱口令爆破"等，可能是病毒在嘗試擴散。（2）資源占用異常病毒會偽裝成系統(tǒng)程序，釋放攻擊包、掃描局域網(wǎng)絡445端口等占用大量系統(tǒng)資源，當發(fā)現(xiàn)某個疑似系統(tǒng)進程的進程在長期占用CPU或內存，有可能是感染病毒。場景二:感染已加密如果有以下情況，可能是處于感染且已加密狀態(tài)：（1）統(tǒng)一的異常后綴勤索病毒執(zhí)行加密程席后會加密特定類型的文件，不同的勒索病毒會加密幾十到幾百種類型的文件，基本都會包括常見的文檔、圖片、數(shù)據(jù)庫文件。當文件夾下文件變成如下統(tǒng)一異常不可用后綴，就是已經(jīng)被加密了。（2）勤索信或桌面被算改勒索病毒加密文件的最終目的是索要贖金，所以會在系統(tǒng)明顯位置如桌面上留下文件提示，或將勒索圖片更改為桌面。勒索信絕大多數(shù)為英文，引導被勒索的用戶交贖金步驟二：抑制階段（1）發(fā)現(xiàn)勒索病毒后如何進行隔離采取可行措施進行隔離，避免影響其它主機（如斷網(wǎng)隔離）通過邊界控制設備，防止網(wǎng)終區(qū)域間相互影響（2）防止勤索病毒擴散采取及時的補救加固措施（安全加固）相關漏洞的掃描修補與跟蹤配置核查步驟三：處置階段信息收集：IT管理人員截圖取證主機中的勒索信息文件，截圖取證被加密的時間和文件后綴名，檢查服務器開放端口情況、補丁更新情況，并截圖取證，檢查服務器當日的安全日志，截圖取證或導出當天日志步驟四：恢復階段業(yè)務恢復：從備份中恢復損壞的數(shù)據(jù)，調整可能影響業(yè)務正常運轉的策略。文件解密:付費風險，部分中招主機可能包含關鍵信息，企業(yè)處于業(yè)務考慮可能會考慮通過比特幣付款，但不能確認付款可以恢復數(shù)據(jù)，建議企業(yè)慎重考慮；解密工具:可查看安全廣商已發(fā)布部分勒索病毒的解密工具。步驟五：安全加固通常應從如下方面進行加固：多數(shù)勒索軟件會利用RDP(遠程桌面協(xié)議)暴力破解傳播，在不影響業(yè)務的前提下避免3389端口對外開放。利用IPS、防火墻等設備對03389端口進行防護開啟windows自身的防火墻盡量關閉3389、445、139、135等不用的高危端口在計算機中配置賬戶鎖定策略，連續(xù)登陸失敗即鎖定賬戶要求每臺服務器設置唯一口令，且禁止設置弱口令(復雜度要求采用大小寫字母、數(shù)字、特殊符號混合)對員工進行安全意識培訓，避免打開陌生郵件的附件、下載破解版軟件和運行來源不明的程序定時對重要數(shù)據(jù)進行異地備份，防止數(shù)據(jù)破壞和丟失及時更新系統(tǒng)及應用版本，及時打漏洞補丁及時安裝防病毒軟件，并更新到最新的病毒庫和引警定時通過掃描器做專項口令排查，可排查通用口令和弱口令任務四：部分公開的勒索相關解密工具公開的勒索病毒相關解密工具(FreeRansomwareDecryptionTools)，可供應急查詢使用：（1）kasperskyFreeRansomwareDecryptors-KasperskyLab/（2）avastFreeRansomwareDecryptionToolsUnlockYourFiles|Avast/ransomware-decryption-tools（3）avgFreeRansomwareDecryptionToolsUnlockYourFiles|AVG/en-us/ransomware-decryption-tools（4）NoMoreRansomTheNoMoreRansomProiect/en/decryption-tools.htm（5）BitdefenderFreeTools-BitdefenderLabs/category/free-tools/（6）MalwareHunterIDRansomware/index.php（7）McAfeeMcAfeeRansomwareRecover(Mr2)McAfeeFreeToolshttos:///enterprise/en-us/downloads/free-tools/ransomware-decryption.htm（8）TrendMicroUsingtheTrendMicroRansomwareFileDecryptor練習及思考題思考題1：常見的勒索病毒有哪些?思考題2：勒索病毒發(fā)展趨勢是怎樣的?（五）項目考核在實訓項目考核中，要做到成績考核與評定的“標準統(tǒng)一、方法科學.過程公正、結果客觀”，在實訓成績考核與評定時，主要考核以下內容：（1）考核學生的學習和實訓態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實訓情況；（2）對相關專業(yè)的基本知識和操作技能、技巧理解和運用的程度；（3）考核學生的創(chuàng)新精神和團隊協(xié)作能力；（4）考核學生解決實際問題的綜合能力和專業(yè)實訓取得的成果。表一：項目實訓學生實際操作評分表項目名稱：___________組別：___________得分：___________項目評價內容要求分值得分實前(20分)記錄表格設計合理5及時認真5著裝符合安全操作要求5進實訓室準時5實訓中(60分)實訓操作按操作標準和注意事項規(guī)范操作20態(tài)度認真5團隊協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務，發(fā)現(xiàn)問題5并提出合理的解決方法5實訓成效按規(guī)定時間完成任務10任務產(chǎn)品符合質量標準10實訓后(20分)設備耗材使用工具或設備無損壞5耗材用量未超過指標要求5數(shù)據(jù)處理數(shù)癢據(jù)結果正確10合計100表二：項目實訓綜合評價表項目名稱：___________組別：___________得分：___________評價項目分值得分1、學習目標是否明確52、學習過程是否呈上升趨勢，不斷進步103、是否能獨立地獲取信息，資料收集是否完善104、獨立制定、實施、評價工作方案情況20表三：項目實訓報告姓名班級組別實訓任務時間實訓內容練習及思考三、實訓項目三：DDoS攻擊常見防御方法實訓建議教學時間：2時（一）實訓目的DDoS是一種耗盡攻擊目標的系統(tǒng)資源導致其無法響應正常的服務請求的攻擊方式，DDoS的防護系統(tǒng)，本質上是一個基于資源較量和規(guī)則過濾的智能化系統(tǒng)。面對DDoS攻擊，掌握常見的防御方式有哪些。（二）實訓基本要求1.熟練識別DDoS攻擊類型。2.靈活掌握DDoS攻擊常見防御方法（三）實訓器材，設備和耗材工作任務所用工具和設備臺套數(shù)操作要領和注意事項DDoS攻擊常見防御方法一臺能連網(wǎng)的PC機，安裝有Windows操作系統(tǒng)1從不能側面進行DDOS防御（四）實訓內容任務一：DDOS攻擊防御方法任務情景描述：DDoS攻擊可以使企業(yè)完全宕機數(shù)小時以上，而宕機的后果可能很嚴重，各種規(guī)模的企業(yè)和政府都可能受到影響。因此幾乎每個有在線業(yè)務的企業(yè)都需要衡量其在網(wǎng)站防護上面所需要的花費及其投資回報率，怎樣用最合理的成本來進行最大化的攻擊防護是每個企業(yè)需要考慮的很重要的問題。步驟1：建立多層DDoS防護體系當前的DDoS攻擊模式已經(jīng)與5-10年前有很大的不同。早期的DDoS攻擊主要集中在第3層或第4層（協(xié)議和傳輸層）的容量攻擊。如今DDoS攻擊有許多不同的類型，每種類型都針對不同的層（網(wǎng)絡層、傳輸層、會話層、應用層）或多層攻擊組合。此外，攻擊者正在尋找使網(wǎng)站無法訪問合法流量的新方法和利用漏洞的致命方法，從而策劃高度復雜的攻擊。在這種情況下，無法通過簡單地增加網(wǎng)絡帶寬或使用傳統(tǒng)防火墻來阻止DDoS攻擊。您需要一個全面的、多模塊的、多層次的DDoS防護方案來規(guī)避各種攻擊，包括應用層DDoS攻擊。因此解決方案必須具有可擴展性，并具有內置冗余、流量監(jiān)控功能、業(yè)務邏輯缺陷檢測和漏洞管理功能。步驟2：避免成為肉雞攻擊者使用的一種常見策略是DDoS僵尸網(wǎng)絡，這是一個由遠程控制的受感染設備組成的網(wǎng)絡，可向目標發(fā)送大量流量。假設機器因DDoS攻擊而關閉，可能系統(tǒng)會遭到破壞并被用作肉雞。為了避免成為肉雞，必須做好對應的防范如下：設備和軟件保持最新；使用強而獨特的密碼；小心可疑的電子郵件和附件；使用信譽良好的反惡意軟件解決方案；使用信譽良好的VPN。步驟3：識別攻擊類型通過了解每種攻擊類型的特征并快速識別它們，DDoS保護程序可以實時響應，在攻擊造成重大損害之前有效地緩解攻擊。識別攻擊類型允許更有針對性和有效的防御機制，例如過濾特定流量或阻止惡意IP地址。此外及早識別攻擊類型有助于預測和預防未來的攻擊并改善整體安全態(tài)勢，因此在攻擊者發(fā)動攻擊之前就識別攻擊類型的能力是DDoS保護程序不可或缺的一部分。一般來說局域網(wǎng)可能會遇到三種常見的DDoS攻擊類型：a.應用層（L7）攻擊或HTTP泛洪攻擊這種應用層攻擊針對具有來自多個來源的請求的應用程序。此類攻擊會生成大量POST、GET或HTTP請求，導致服務停機數(shù)小時至數(shù)周不等。由于成本低且易于操作，應用層攻擊被廣泛用于電子商務、銀行和創(chuàng)業(yè)網(wǎng)站等。b.UDP放大攻擊攻擊者使用開放的NTP請求流量以阻塞目標服務器或網(wǎng)絡。L3/L4（網(wǎng)絡或傳輸）上的這種流量隨著有效負載流量而增強，并且與請求大小相比是巨大的，因此會使服務不堪重負而宕機。c.DNS泛洪攻擊DNS泛洪是針對將域名轉換為IP地址的DNS（域名系統(tǒng)）服務器的DDoS攻擊。這種攻擊旨在通過大流量淹沒DNS服務器，使合法用戶無法訪問目標網(wǎng)站或在線服務。步驟4：創(chuàng)建DDoS攻擊威脅模型DDoS攻擊威脅模型是一種結構化方法，用于識別和分析DDoS攻擊給您的在線服務或網(wǎng)站帶來的潛在風險。大多數(shù)互聯(lián)網(wǎng)企業(yè)都在努力處理網(wǎng)絡資源庫存，以跟上不斷增長的增長和客戶需求。新的門戶網(wǎng)站、支付網(wǎng)關、應用系統(tǒng)、營銷領域和其他資源經(jīng)常被不斷創(chuàng)建和淘汰。確定想要保護的資產(chǎn)——創(chuàng)建一個數(shù)據(jù)庫，其中包含想要防止DDoS攻擊的所有Web資產(chǎn)，作為清單。它應該包含網(wǎng)絡詳細信息、正在使用的協(xié)議、域、應用程序的數(shù)量、它們的使用、最后更新的版本等。定義潛在的攻擊者——定義可能以資產(chǎn)為目標的潛在攻擊者，例如網(wǎng)絡黑客、競爭對手或民族國家行為者。確定攻擊向量——確定攻擊者可以用來發(fā)起DDoS攻擊的各種攻擊向量，如UDP泛洪、SYN泛洪或HTTP泛洪。確定攻擊面——確定資產(chǎn)的攻擊面，包括網(wǎng)絡拓撲、硬件基礎設施和軟件堆棧。評估風險級別——通過評估攻擊發(fā)生的概率、攻擊的潛在影響以及檢測和緩解攻擊的可能性來評估每個攻擊向量的風險級別。步驟5：設置網(wǎng)絡資源優(yōu)先級所有的網(wǎng)絡資源都是平等的還是希望首先保護哪些資源？從指定Web資源的優(yōu)先級和重要性開始。例如以業(yè)務和數(shù)據(jù)為中心的Web資產(chǎn)應置于具有24h*7ddDDoS關鍵保護之下。比如可以設置三個等級的網(wǎng)絡資源：關鍵：放置所有可能危及商業(yè)交易或您的聲譽的資產(chǎn)，黑客通常有更高的動機首先針對這些資源。高級：此等級應包括可能妨礙日常業(yè)務運營的Web資產(chǎn)。正常：此處包含其他所有內容。廢置：可以為不再使用的域、網(wǎng)絡、應用程序和其他服務創(chuàng)建新的分類并盡快將其移出業(yè)務運營網(wǎng)絡。步驟6：減少攻擊面暴露通過減少暴露給攻擊者的面，可以最大限度地減少他們編排DDoS攻擊的范圍/選項。因此，請保護您的關鍵資產(chǎn)、應用程序和其他資源、端口、協(xié)議、服務器和其他入口點，以免直接暴露給攻擊者。有許多策略可用于最小化攻擊面暴露：a.您可以在網(wǎng)絡中分離和分配資產(chǎn)，使其更難成為目標。例如，您可以將Web服務器放在公共子網(wǎng)中，但底層數(shù)據(jù)庫服務器應位于私有子網(wǎng)中。此外您可以限制從您的Web服務器訪問數(shù)據(jù)庫服務器，而不是其他主機。b.對于可通過Internet訪問的站點，您也可以通過限制訪問用戶所在國家/地區(qū)的流量來減少表面積。c.利用負載均衡器保護Web服務器和計算資源免受暴露，方法是將它們置于其后。d.通過刪除任何不相關/不相關的服務、不必要的功能、遺留系統(tǒng)/流程等，保持應用程序/網(wǎng)站清潔，攻擊者經(jīng)常利用這些作為切入點。步驟7：強化網(wǎng)絡架構鍵的DDoS保護最佳實踐之一是使基礎設施和網(wǎng)絡能夠處理任何雷鳴般的浪涌或流量突然激增。通常建議購買更多帶寬作為一種選擇。然而，因為巨大的成本導致這不是一個實用的解決方案。建議加入彈性的CDN服務來幫助利用全球分散的網(wǎng)絡并構建能夠處理突發(fā)流量高峰的冗余資源。步驟8：了解警告標志DDoS攻擊包括一些很明顯的網(wǎng)絡癥狀。比如一些常見的DDoS攻擊癥狀是Internet上的連接不穩(wěn)定、網(wǎng)站間歇性關閉和Internet斷開連接。如果這些問題比較嚴重和持續(xù)時間較長，則網(wǎng)絡很可能受到DDoS攻擊，必須采取適當?shù)腄DoS攻擊防范措施。以下是您可能受到分布式拒絕服務(DDoS)攻擊的一些警告信號：異常高的流量；緩慢或無響應的網(wǎng)站；網(wǎng)絡連接問題；不尋常的交通模式；意外的服務器錯誤；資源使用異常激增。步驟9：黑洞路由黑洞路由是一種用于通過在惡意流量到達目標網(wǎng)絡或服務器之前丟棄惡意流量來防止分布式拒絕服務（DDoS）攻擊的技術。這涉及到將路由器或交換機配置為將流量發(fā)送到一個空接口，即“黑洞”，從而有效地減少流量。黑洞路由通常用于阻止來自被識別為攻擊源的特定IP地址或子網(wǎng)的流量。雖然黑洞路由是一種被動措施，但它可以有效地減輕DDoS攻擊的影響。但需要注意的是，黑洞路由應與其他主動步驟一起使用，以防止DDoS攻擊。步驟10：速率限制速率限制是一種用于通過限制發(fā)送到網(wǎng)絡或服務器的流量來防止分布式拒絕服務（DDoS）攻擊的技術。這涉及到限制在指定的時間范圍內可以進行的請求或連接的數(shù)量。當達到限制時，多余的流量會被丟棄或延遲。速率限制可以在各種級別上實現(xiàn)，例如在網(wǎng)絡、應用程序或DNS層上。通過限制可以發(fā)送到網(wǎng)絡或服務器的流量，速率限制有助于防止可能導致DDoS攻擊的資源過載。但是謹慎配置速率限制以避免阻塞合法流量是很重要的。基于地理的訪問限制、基于信譽評分的訪問限制等基于實時見解的措施在預防DDoS攻擊方面發(fā)揮了很大作用。步驟11：日志監(jiān)測與分析如何通過日志監(jiān)控來阻止DDoS攻擊?？焖贆z測威脅是DDoS保護的最佳做法之一，因為它們提供了有關網(wǎng)絡流量的數(shù)據(jù)和統(tǒng)計數(shù)據(jù)。日志文件包含具有充足信息的數(shù)據(jù)，可有效地實時檢測威脅。使用日志分析工具檢測DDoS威脅還有其他好處，如使DDoS補救過程快速而簡單。在列出網(wǎng)站時，流量統(tǒng)計數(shù)據(jù)會顯示流量激增的日期和時間，以及哪些服務器受到了攻擊的影響。日志分析可以通過預先通知不需要的事件的狀態(tài)來減少故障排除時間，從而為您節(jié)省時間。一些智能日志管理工具還提供了快速補救和減輕成功DDoS攻擊造成的損害所需的信息步驟12：制定DDoS抵御計劃抵御DDoS攻擊并不會限制預防和緩解，由于DDoS攻擊旨在關閉完整操作，因此大多數(shù)DDoS保護技術都與打擊攻擊有關。將災難恢復規(guī)劃實踐作為定期運營維護的一部分，該計劃應側重于技術能力和全面的計劃，該計劃概述了如何在成功的DDoS攻擊的壓力下確保業(yè)務連續(xù)性。災難恢復站點必須是恢復計劃的一部分。作為臨時站點的DR站點應具有您的數(shù)據(jù)的當前備份?；謴陀媱澾€應包括關鍵細節(jié)，如恢復方法、關鍵數(shù)據(jù)備份的維護位置以及誰負責哪些任務。步驟13：獲取DDoS防護工具幫助檢測和保護關鍵網(wǎng)絡資源免受DDoS攻擊的工具。這些工具屬于不同的類別——檢測和緩解。攻擊檢測：無論攻擊的層次如何，緩解措施都取決于在虛假流量激增造成嚴重破壞之前檢測到它們的能力。大多數(shù)DDoS保護工具都依賴于簽名和源詳細信息來警告。它們依賴于達到臨界質量的流量，這會影響服務的可用性。然而，僅檢測是不夠的，需要手動干預來查看數(shù)據(jù)并應用保護規(guī)則。自動緩解：DDoS保護是否可以自動化？許多防DDoS解決方案基于預先配置的規(guī)則和策略來引導或阻止虛假流量。雖然在應用程序或網(wǎng)絡層上自動過濾不良流量是可取的，但攻擊者已經(jīng)找到了擊敗這些策略的新方法，尤其是在應用程序層。步驟14：降低對傳統(tǒng)防火墻的依賴盡管傳統(tǒng)防火墻具有內置的抗DDoS功能，但它們只有一種DDoS阻止方法——閾值做法，即在達到最大閾值限制時阻止特定端口，所以傳統(tǒng)防火墻在DDoS保護中經(jīng)常失敗。步驟15：部署Web應用程序防火墻Web應用程序防火墻（WAF）是抵御所有DDoS攻擊的絕佳防御措施。它阻止惡意流量試圖阻止應用程序中的漏洞。WAF通過安全專家的全天候監(jiān)控支持DDoS保護解決方案，以識別虛假流量激增并在不影響合法流量的情況下阻止它們。可以在互聯(lián)網(wǎng)和原始服務器之間放置WAF。WAF可以充當反向代理，通過讓客戶端在到達服務器之前通過它們來保護服務器不被暴露。使用WAF，您可以快速實現(xiàn)自定義規(guī)則以應對攻擊并減輕攻擊，從而使流量在到達服務器之前就被丟棄，從而從服務器上卸載。練習及思考題思考題1：DDOS常見的類型有哪些？思考題2：然后判斷是否被DDoS攻擊？（五）項目考核在實訓項目考核中，要做到成績考核與評定的“標準統(tǒng)一、方法科學.過程公正、結果客觀”，在實訓成績考核與評定時，主要考核以下內容：（1）考核學生的學習和實訓態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實訓情況；（2）對相關專業(yè)的基本知識和操作技能、技巧理解和運用的程度；（3）考核學生的創(chuàng)新精神和團隊協(xié)作能力；（4）考核學生解決實際問題的綜合能力和專業(yè)實訓取得的成果。表一：項目實訓學生實際操作評分表項目名稱：___________組別：___________得分：___________項目評價內容要求分值得分實前(20分)記錄表格設計合理5及時認真5著裝符合安全操作要求5進實訓室準時5實訓中(60分)實訓操作按操作標準和注意事項規(guī)范操作20態(tài)度認真5團隊協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務，發(fā)現(xiàn)問題5并提出合理的解決方法5實訓成效按規(guī)定時間完成任務10任務產(chǎn)品符合質量標準10實訓后(20分)設備耗材使用工具或設備無損壞5耗材用量未超過指標要求5數(shù)據(jù)處理數(shù)癢據(jù)結果正確10合計100表二：項目實訓綜合評價表項目名稱：___________組別：___________得分：___________評價項目分值得分1、學習目標是否明確52、學習過程是否呈上升趨勢，不斷進步103、是否能獨立地獲取信息，資料收集是否完善104、獨立制定、實施、評價工作方案情況20表三：項目實訓報告姓名班級組別實訓任務時間實訓內容練習及思考四、實訓項目四：CC攻擊常見防御方法實訓建議教學時間：2時（一）實訓目的通過該實驗了解CC攻擊的原理，掌握CC攻擊的基本方法和思路，能夠理解整個過程。（二）實訓基本要求1.熟悉CC攻擊癥狀。2.掌握CC攻擊防御方法。（三）實訓器材，設備和耗材工作任務所用工具和設備臺套數(shù)操作要領和注意事項CC攻擊常見防御方法一臺能連網(wǎng)的PC機，安裝有Windows操作系統(tǒng)1可以用多個方法確定CC攻擊癥狀，多管齊下有效防范CC攻擊（四）實訓內容任務一：CC攻擊癥狀CC攻擊有一定的隱蔽性，那如何確定服務器正在遭受或者曾經(jīng)遭受CC攻擊呢？我們可以通過以下三個方法來確定。（1）命令行法一般遭受CC攻擊時，Web服務器會出現(xiàn)80端口對外關閉的現(xiàn)象，因為這個端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了正常的連接被中止了。我們可以通過在命令行下輸入命令netstat-an來查看，如果看到類似如下有大量顯示雷同的連接記錄基本就可以被CC攻擊了：TCP:80:2205SYN_RECEIVED4TCP:80:2205SYN_RECEIVED4TCP:80:2205SYN_RECEIVED4TCP:80:2205SYN_RECEIVED4TCP:80:2205SYN_RECEIVED4……其中“”就是被用來代理攻擊的主機的IP，“SYN_RECEIVED”是TCP連接狀態(tài)標志，意思是“正在處于連接的初始同步狀態(tài)”，表明無法建立握手應答處于等待狀態(tài)。這就是攻擊的特征，一般情況下這樣的記錄一般都會有很多條，表示來自不同的代理IP的攻擊。（2）批處理法上述方法需要手工輸入命令且如果Web服務器IP連接太多看起來比較費勁，我們可以建立一個批處理文件，通過該腳本代碼確定是否存在CC攻擊。打開記事本鍵入如下代碼保存為CC.bat：@echoofftime/t>>stat-n-ptcp|find“:80″>>Log.lognotepadlog.logexit上面的腳本的含義是篩選出當前所有的到80端口的連接。當我們感覺服務器異常是就可以雙擊運行該批處理文件，然后在打開的log.log文件中查看所有的連接。如果同一個IP有比較多的到服務器的連接，那就基本可以確定該IP正在對服務器進行CC攻擊。（3）查看系統(tǒng)日志上面的兩種方法有個弊端，只可以查看當前的CC攻擊，對于確定Web服務器之前是否遭受CC攻擊就無能為力了，此時我們可以通過Web日志來查，因為Web日志忠實地記錄了所有IP訪問Web資源的情況。通過查看日志我們可以Web服務器之前是否遭受CC攻擊，并確定攻擊者的IP然后采取進一步的措施。Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目錄下，該目錄下用類似httperr1.log的日志文件，這個文件就是記錄Web訪問錯誤的記錄。管理員可以依據(jù)日志時間屬性選擇相應的日志打開進行分析是否Web被CC攻擊了。默認情況下，Web日志記錄的項并不是很多，可以通過IIS進行設置，讓Web日志記錄更多的項以便進行安全分析。其操作步驟是：“開始→管理工具”打開“Internet信息服務器”，展開左側的項定位到到相應的Web站點，然后右鍵點擊選擇“屬性”打開站點屬性窗口，在“網(wǎng)站”選項卡下點擊“屬性”按鈕，在“日志記錄屬性”窗口的“高級”選項卡下可以勾選相應的“擴展屬性”，以便讓Web日志進行記錄。比如其中的“發(fā)送的字節(jié)數(shù)”、“接收的字節(jié)數(shù)”、“所用時間”這三項默認是沒有選中的，但在記錄判斷CC攻擊中是非常有用的，可以勾選。另外，如果你對安全的要求比較高，可以在“常規(guī)”選項卡下對“新日志計劃”進行設置，讓其“每小時”或者“每一天”進行記錄。為了便于日后進行分析時好確定時間可以勾選“文件命名和創(chuàng)建使用當?shù)貢r間”。任務二：CC攻擊防御方法確定Web服務器正在或者曾經(jīng)遭受CC攻擊，那如何進行有效的防范呢?（1）更改Web端口一般情況下Web服務器通過80端口對外提供服務，因此攻擊者實施攻擊就以默認的80端口進行攻擊，所以，我們可以修改Web端口達到防CC攻擊的目的。運行IIS管理器，定位到相應站點，打開站點“屬性”面板，在“網(wǎng)站標識”下有個TCP端口默認為80，我們修改為其他的端口就可以了。（2）取消域名綁定一般cc攻擊都是針對網(wǎng)站的域名進行攻擊，比如網(wǎng)站域名是“”，那么攻擊者就在攻擊工具中設定攻擊對象為該域名然后實施攻擊。對于這樣的攻擊措施是在IIS上取消這個域名的綁定，讓CC攻擊失去目標。具體操作步驟是：打開“IIS管理器”定位到具體站點右鍵“屬性”打開該站點的屬性面板，點擊IP地址右側的“高級”按鈕，選擇該域名項進行編輯，將“主機頭值”刪除或者改為其它的值(域名)。經(jīng)過模擬測試，取消域名綁定后Web服務器的CPU馬上恢復正常狀態(tài)，通過IP進行訪問連接一切正常。但是不足之處也很明顯，取消或者更改域名對于別人的訪問帶來了不變，另外，對于針對IP的CC攻擊它是無效的，就算更換域名攻擊者發(fā)現(xiàn)之后，他也會對新域名實施攻擊。（3）域名欺騙解析如果發(fā)現(xiàn)針對域名的CC攻擊，可以把被攻擊的域名解析到這個地址上。是本地回環(huán)IP是用來進行網(wǎng)絡測試的，如果把被攻擊的域名解析到這個IP上，就可以實現(xiàn)攻擊者自己攻擊自己的目的，這樣再多的肉雞或者代理也會宕機，讓其自作自受。另外，當Web服務器遭受CC攻擊時，把被攻擊的域名解析到國家有權威的政府網(wǎng)站或者是網(wǎng)警的網(wǎng)站，讓其網(wǎng)警來處理他們。（4）組策略封閉IP段首先打開組策略控制臺，點擊開始--運行gpedit.msc，打開本地組策略編輯器，在左側依次展開“計算機配置”--“Windows設置”--“安全設置”--“IP安全策略，在本地計算機”。然后新建IP安全策略，在窗口右側空白處，點擊右鍵，選擇“創(chuàng)建IP安全策略”，點擊下一步，名稱隨便寫，如輸入阻止，然后一直點下一步，出現(xiàn)提示點是，一直到完成，這個時候就創(chuàng)建了一個名為“阻止”的策略了。最后設置要封禁的IP地址，阻止屬性窗口點擊添加，選擇默認設置，所有網(wǎng)絡連接，添加IP篩選器，采用默認即可，在源地址中選擇“一個特定的P地址或網(wǎng)段”，在!P地址或子網(wǎng)中輸入你封禁的IP地址，目標地址選擇“我的IP地址”，協(xié)議類型為任意，最后點“阻止”這個策略，右鍵，指派，到這里為止我們就已經(jīng)阻止了設置的網(wǎng)段了。（5）IIS屏蔽IP通過命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP，就可以在IIS中設置屏蔽該IP對Web站點的訪問，從而達到防范IIS攻擊的目的。在相應站點的“屬性”面板中，點擊“目錄安全性”選項卡，點擊“IP地址和域名現(xiàn)在”下的“編輯”按鈕打開設置對話框。在此窗口中我們可以設置“授權訪問”也就是“白名單”，也可以設置“拒絕訪問”即“黑名單”。比如我們可以將攻擊者的IP添加到“拒絕訪問”列表中，就屏蔽了該IP對于Web的訪問。練習及思考題思考題1：了解cc攻擊和ddos攻擊區(qū)別？思考題2：cc攻擊是針對什么協(xié)議？（五）項目考核在實訓項目考核中，要做到成績考核與評定的“標準統(tǒng)一、方法科學.過程公正、結果客觀”，在實訓成績考核與評定時，主要考核以下內容：（1）考核學生的學習和實訓態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實訓情況；（2）對相關專業(yè)的基本知識和操作技能、技巧理解和運用的程度；（3）考核學生的創(chuàng)新精神和團隊協(xié)作能力；（4）考核學生解決實際問題的綜合能力和專業(yè)實訓取得的成果。表一：項目實訓學生實際操作評分表項目名稱：___________組別：___________得分：___________項目評價內容要求分值得分實前(20分)記錄表格設計合理5及時認真5著裝符合安全操作要求5進實訓室準時5實訓中(60分)實訓操作按操作標準和注意事項規(guī)范操作20態(tài)度認真5團隊協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務，發(fā)現(xiàn)問題5并提出合理的解決方法5實訓成效按規(guī)定時間完成任務10任務產(chǎn)品符合質量標準10實訓后(20分)設備耗材使用工具或設備無損壞5耗材用量未超過指標要求5數(shù)據(jù)處理數(shù)據(jù)結果正確10合計100表二：項目實訓綜合評價表項目名稱：___________組別：___________得分：___________評價項目分值得分1、學習目標是否明確52、學習過程是否呈上升趨勢，不斷進步103、是否能獨立地獲取信息，資料收集是否完善104、獨立制定、實施、評價工作方案情況20表三：項目實訓報告姓名班級組別實訓任務時間實訓內容練習及思考五、實訓項目五：網(wǎng)絡安全縱深防御實訓建議教學時間：2時（一）實訓目的網(wǎng)絡安全縱深防御4個技術焦點區(qū)域是一個逐層遞進的關系，從而形成一種縱深防御系統(tǒng)。因此，4個方面的應用充分貫徹了縱深防御的思想，對整個信息系統(tǒng)的各個區(qū)域、各個層次，甚至在每一個層次內部都部署了信息安全設備和安全機制，保證訪問者對每一個系統(tǒng)組件進行訪問時都受到保障機制的監(jiān)視和檢測，以實現(xiàn)系統(tǒng)全方位的充分防御。（二）實訓基本要求1.了解縱深防御體系遵循的原則。2.熟悉構建縱深防御體系考慮的因素。3.掌握構建縱深防御體系過程。（三）實訓器材，設備和耗材工作任務所用工具和設備臺套數(shù)操作要領和注意事項網(wǎng)絡安全縱深防御一臺能連網(wǎng)的PC機，安裝有Windows操作系統(tǒng)1了解原則，考慮各種因素，進行有效防御（四）實訓內容任務一：了解縱深防御體系遵循的原則任務情景描述：給定施工現(xiàn)場等高線，根據(jù)實際施工圖紙，收集并歸納相應工程信息。主要包括項目的基本情況、標高、場地用途及地質資料，根據(jù)相關信息編寫整個計算過程。步驟1：多處設防：把網(wǎng)絡與基礎設施、飛地邊界、計算環(huán)境和支撐性基礎設施列為重點防護區(qū)域，實際中涉及路由器、防火墻、VPN、服務器、PC和應用軟件等的保護。本地計算環(huán)境的防護以服務器和工作站為重點，屬于核心地帶。步驟2：分層防護：按照分層的網(wǎng)絡體系結構，美軍對安全威脅充分分析評估，然后分層部署防護和檢測機制措施，形成梯次配置，提升攻擊被檢測出率，提高攻擊成本降低成功率。美海軍構建起了以主機、局域網(wǎng)、廣域網(wǎng)、GIG、DoD-GIG網(wǎng)等五個設防區(qū)域，綜合運用IPS、防火墻、XDR等分層措施實施防御。步驟3：細化標準：美DoD劃分了初、中、高三個強度等級，認為縱深防御方案應依據(jù)系統(tǒng)的重要性等級選取措施，如高等級的安全服務機制應具備最嚴格的防護和最強的對抗措施，高等級安全方案必須達到要求：采用1類密碼用于加密和訪問控制，對稱密碼采用密鑰管理創(chuàng)建、控制和分發(fā)，非對稱密碼使用5類PKI認證和硬件安全標識保護私有密鑰和加密算法，所有產(chǎn)品均需通過國安部門認證。任務二：熟悉構建縱深防御體系考慮的因素步驟1：空間因素安全能力融入云、網(wǎng)、邊、端和用，邊指靠近用戶側的安全網(wǎng)關或資源池，端指部署在用戶終端或服務器上的安全能力，用指業(yè)務系統(tǒng)防護。構建需要充分考慮覆蓋云網(wǎng)邊端用的安全和資源能力，才能構筑起完整的縱深防御體系。步驟2：時間因素以IPDRR為例，Identify指識別安全需求，包括優(yōu)先級、風險識別、影響評估和資源優(yōu)先級劃分；Protect指保證業(yè)務連續(xù)性，防御機制能夠自動運行；Detect指及時監(jiān)測發(fā)現(xiàn)攻擊，監(jiān)控業(yè)務和保護措施是否正常運行；Respond指響應和處理事件，包括事件調查、評估損害、收集證據(jù)、報告事件和應急處置；Recover指恢復系統(tǒng)和修復漏洞，查找原因，開展預防和修復。步驟3：數(shù)據(jù)因素數(shù)據(jù)安全作為獨立的安全要素日益凸顯，數(shù)據(jù)流通分為自身安全、活動安全和環(huán)境安全等三層面。自身安全需要對數(shù)據(jù)分類定級，活動安全則需提供全生命周期的防護、審計、溯源和運營，構建以數(shù)據(jù)為中心的可信流通環(huán)境。環(huán)境安全應具備靜態(tài)防護能力，如授權、感知、防護等。任務三：構建縱深防御體系過程基于網(wǎng)絡和基礎設施、區(qū)域邊界、計算環(huán)境、支撐性基礎設施4個焦點領域，結合縱深防御的思想進行信息安全防御，從而形成保障框架。步驟1：保護網(wǎng)絡和基礎設施網(wǎng)絡和其他基礎設施是信息系統(tǒng)及業(yè)務的支撐，是整個信息系統(tǒng)安全的基礎。應采取措施確保網(wǎng)絡和基礎設施能穩(wěn)定可靠運行，不會因故障和外界影響導致服務的中斷或數(shù)據(jù)延遲，確保在網(wǎng)絡中進行傳輸?shù)墓驳?、私人的信息能正確地被接收者獲取，不會導致未受權的訪問、更改等。保護網(wǎng)絡和基礎設施防護措施包括但并不限于以下方式：合理規(guī)劃以確保骨干網(wǎng)可用性。使用安全的技術架構，例如在使用無線網(wǎng)絡時考慮安全的技術架構。使用冗余設備提高可用性。使用虛擬專網(wǎng)(VPN)保護通信。步驟2：保護區(qū)域邊界信息系統(tǒng)根據(jù)業(yè)務、管理方式和安全等級的不同，通?？梢詣澐譃槎鄠€區(qū)域，這些區(qū)或多或少都有與其他區(qū)域相連接的邊界。保護區(qū)域邊界關注的是如何對進出這些區(qū)域邊界的數(shù)據(jù)流進行有效的控制與監(jiān)視。要合理地將信息系統(tǒng)根據(jù)業(yè)務、管理方式和安全等級劃分不同的安全區(qū)域，并明確定義不同網(wǎng)絡區(qū)域間需要哪些數(shù)據(jù)傳遞。在此基礎上采取措施對數(shù)據(jù)進行控制與監(jiān)視。通常采取的措施包括但并不限于以下方式：在區(qū)域邊界設置身份認證和訪問控制措施，例如部署防火墻對來訪者進行身份認證。在區(qū)域邊界部署人侵檢測系統(tǒng)以發(fā)現(xiàn)針對安全區(qū)域內的攻擊行為。在區(qū)域邊界部署防病毒網(wǎng)關以發(fā)現(xiàn)并過濾數(shù)據(jù)中的惡意代碼。使用VPN設備以確保安全的接人。部署抗拒絕服務攻擊設備以應對拒絕服務攻擊。流量管理、行為管理等其他措施。步驟3：保護計算環(huán)境計算環(huán)境指信息系統(tǒng)中的服務器、客戶機及其中安裝的操作系統(tǒng)、應用軟件等。保護計算環(huán)境通常采用身份鑒別、訪問控制、加密等一系列技術以確保計算環(huán)境內的數(shù)據(jù)保密性、完整性、可用性、不可否認性等。保護計算環(huán)境的措施包括但并不限于以下方式：安裝并使用安全的操作系統(tǒng)和應用軟件。在服務器上部署主機入侵檢測系統(tǒng)、防病毒軟件及其他安全防護軟件。定期對系統(tǒng)進行漏洞掃描或者補丁加固，以避免系統(tǒng)脆弱性。定期對系統(tǒng)進行安全配置檢查，確保最優(yōu)配置。部署或配置對文件的完整性保護。定期對系統(tǒng)和數(shù)據(jù)進行備份等。步驟4：支撐性基礎設施支撐性基礎設施是提供安全服務的基礎設施及與之相關的一系列活動的綜合體。有兩種類型的支撐性基礎設施：密鑰管理基礎設施(KMI)/公鑰基礎設施(PKI)和檢測與響應。KMI/PKI：提供支持密鑰、授權和證書管理的密碼基礎設施并能實現(xiàn)使用網(wǎng)絡服務人員確實的身份識別。檢測與響應：提供入侵檢測、報告、分析、評估和響應基礎設施，它能迅速檢測和響應入侵、異常事件并提供運行狀態(tài)的情況。練習及思考題思考題1：網(wǎng)絡安全縱深防御的價值有哪些？思考題2：網(wǎng)絡安全縱深防御五個狀態(tài)有哪些？（五）項目考核在實訓項目考核中，要做到成績考核與評定的“標準統(tǒng)一、方法科學.過程公正、結果客觀”，在實訓成績考核與評定時，主要考核以下內容：（1）考核學生的學習和實訓態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實訓情況；（2）對相關專業(yè)的基本知識和操作技能、技巧理解和運用的程度；（3）考核學生的創(chuàng)新精神和團隊協(xié)作能力；（4）考核學生解決實際問題的綜合能力和專業(yè)實訓取得的成果。表一：項目實訓學生實際操作評分表項目名稱：___________組別：___________得分：___________項目評價內容要求分值得分實前(20分)記錄表格設計合理5及時認真5著裝符合安全操作要求5進實訓室準時5實訓中(60分)實訓操作按操作標準和注意事項規(guī)范操作20態(tài)度認真5團隊協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務，發(fā)現(xiàn)問題5并提出合理的解決方法5實訓成效按規(guī)定時間完成任務10任務產(chǎn)品符合質量標準10實訓后(20分)設備耗材使用工具或設備無損壞5耗材用量未超過指標要求5數(shù)據(jù)處理數(shù)癢據(jù)結果正確10合計100表二：項目實訓綜合評價表項目名稱：___________組別：___________得分：___________評價項目分值得分1、學習目標是否明確52、學習過程是否呈上升趨勢，不斷進步103、是否能獨立地獲取信息，資料收集是否完善104、獨立制定、實施、評價工作方案情況20表三：項目實訓報告姓名班級組別實訓任務時間實訓內容練習及思考六、實訓項目六：無線網(wǎng)絡安全之掃描實訓建議教學時間：2時（一）實訓目的無線網(wǎng)絡是黑客最經(jīng)常攻擊的目標，一旦黑客成功入侵了無線網(wǎng)絡，造成的危害極大。要入侵一個網(wǎng)絡，首先需要進行網(wǎng)絡掃描，查看附近的無線網(wǎng)絡，然后找準目標進行一系列的攻擊手段。（二）實訓基本要求1.了解無線網(wǎng)絡安全兩種掃描方式。2.掌握監(jiān)聽模式下掃描過程。（三）實訓器材，設備和耗材工作任務所用工具和設備臺套數(shù)操作要領和注意事項無線網(wǎng)絡安全掃描裝有無線網(wǎng)卡的筆記本，路由器，所需工具軟件1無線網(wǎng)卡可以工作在多種模式之下，工具也很多。（四）實訓內容掃描網(wǎng)絡的工具分為主動式和被動式，主動式掃描是指向目標主機發(fā)送“探測請求”數(shù)據(jù)分組，而被動式掃描相對主動式掃描來說更有優(yōu)勢，被動式掃描一般是在特定的信道上監(jiān)聽無線信號發(fā)送的任意數(shù)據(jù)分組，進行進一步分析。任務一：主動式掃描主動式掃描工具通常會周期性地發(fā)出一些探測請求數(shù)據(jù)分組。而客戶端在查找網(wǎng)絡的時候，也會發(fā)送探測請求的數(shù)據(jù)分組，探測請求既能讓客戶端尋找一個特定的網(wǎng)絡，又能讓客戶端找到所有的網(wǎng)絡。而大多數(shù)主動掃描工具只能找到“操作系統(tǒng)能通過主動掃描找到的網(wǎng)絡”，因此，主動掃描并不比操作系統(tǒng)自帶的更有效。更重要的是，如果一個網(wǎng)絡隱藏了自身的SSID，主動式掃描器就很難掃描到它，但是被動式掃描器如果多花一些步驟，還是能找到這個無線網(wǎng)絡。常用的主動式掃描工具有Vistumbler，這是Windows操作系統(tǒng)下一個不錯的主動式掃描工具，它利用命令來獲取無線網(wǎng)絡信息。>netshwlanshownetworksmode=bssidVistumbler算是一款較新的開源掃描程序，Vistumbler能搜尋到計算機附近所有的無線網(wǎng)絡，并且在上面附加信息，如活躍程度、MAC地址、SSID、信號強度、頻道、認證、加密和網(wǎng)絡類型。它可顯示基本的AP信息，包括精確的認證和加密方式，甚至可顯示SSID和RSSI。Vistumbler還支持GPS設備，與當?shù)夭煌腤i-Fi網(wǎng)絡連接，輸出其他格式的數(shù)據(jù)。任務二：被動式掃描簡單來說，被動式掃描就是被動監(jiān)聽，被動式掃描工具與主動式掃描工具不同，它自身是不會發(fā)送數(shù)據(jù)分組的。但被動式掃描工具的效果一般要比主動式掃描工具更好。被動式掃描需要將無線網(wǎng)卡置于Monitor模式，即監(jiān)測模式。無線網(wǎng)卡可以工作在多種模式之下，常見的有Master、Ad-hoc、Managed、Monitor等模式。Master又稱主模式，一些高端無線網(wǎng)卡支持主模式。這個模式允許無線網(wǎng)卡使用特制的驅動程序和軟件工作，作為其他設備的WAP。Ad-hoc又稱IBSS模式，是指在網(wǎng)絡中沒有可用AP時，兩臺或更多主機可以進行互聯(lián)，從而進行通信。Managed又稱被管理模式，是默認模式，即當無線客戶端連入AP后就使用的這個模式，在這個模式下，無線網(wǎng)卡只專注于接收從WAP發(fā)給自己的數(shù)據(jù)報文。Monitor又稱監(jiān)聽模式，此時的無線客戶端停止收發(fā)數(shù)據(jù)即無法上網(wǎng)，專心監(jiān)聽當前頻段內的數(shù)據(jù)分組，就可以通過Wireshark來捕獲別人的無線數(shù)據(jù)分組了。各個模式如何進行工作，如圖8-9所示。圖8-9無線網(wǎng)卡多種模式我們可以用Airmon-ng工具使無線網(wǎng)卡進入Monitor模式為例講解。步驟1：查看無線網(wǎng)卡使用Airmon-ng來開啟無線網(wǎng)卡的Monitor模式是十分方便的，且成功率較高。首先使用airmon-ngcheckkill命令殺死會影響Aircrack-ng的進程，如network-manager。然后使用airmon-ngstartwlan0命令可開啟無線網(wǎng)卡的Monitor模式，wlan0是無線網(wǎng)卡的名稱，可以通過ifconfig來進行查看，如圖8-10所示。圖8-10查看無線網(wǎng)卡步驟2：開啟Monitor模式使用Airmon-ng來開啟wlan0的Monitor模式，如圖8-11所示。圖8-11開啟Monitor模式步驟3：查看開啟后的無線網(wǎng)卡再來查看一下現(xiàn)在狀態(tài)的無線網(wǎng)卡，一般開啟后的無線網(wǎng)卡會重新命名成原來的名字+mon，意思就是該無線網(wǎng)卡是Monitor模式，如圖8-12所示。圖8-12開啟后的無線網(wǎng)卡步驟4：重新上網(wǎng)現(xiàn)在無線網(wǎng)卡已經(jīng)是處于了Monitor模式了，但是現(xiàn)在主機已經(jīng)不能上網(wǎng)了，這時需要重新上網(wǎng)的操作，首先將剛剛開啟的wlan0mon停下，然后開啟network-service就可以重新上網(wǎng)了。步驟5：常用的被動式掃描工具開啟了無線網(wǎng)卡的Monitor模式之后，被動式掃描工具就可以大顯神威了。常用的被動式掃描工具如下：（1）AirPcap工具AirPcap是Windows平臺上的無線分析、嗅探與破解工具，用來捕獲并分析802.11a/b/g/n的控制、管理和數(shù)據(jù)幀。所有的AirPcap適配器工作于完全被動模式下，在這種模式下，AirPcap可以捕獲一個頻道中的所有幀，包括數(shù)據(jù)幀、控制幀和管理幀。如果多個BSS共用一個頻道，那么只要在工作距離內，AirPcap就可以捕獲這一頻道中的所有BSS的數(shù)據(jù)幀、控制幀、管理幀。AirPcap適配器在同一個時間內只能捕獲一個頻道的數(shù)據(jù)。根據(jù)適配器功能的不同，用戶可以在AirPcap控制面板或Wireshark中的AdvancedWirelessSettings對話框設定捕獲不同的頻道。AirPcap適配器可以設定捕獲任何有效的802.11無線分組。（2）KisMAC工具KisMAC是一個開源的無線應用，專為MacOS設計，它使用Monitor模式和被動掃描。（3）Kismet工具Kismet是一個基于Linux的無線網(wǎng)絡掃描程序，使用該工具可以測量周圍的無線信號，并查看所有可用的無線接入點。但在Linux操作系統(tǒng)下，使用最多的是Airodump-ng，Airodump-ng是Aircrack-ng這個強大的無線套件下捆綁的一個小組件，使用起來非常方便，只需要一條指令就可以探測周圍的無線網(wǎng)絡。在沒有開Monitor模式下，在終端輸入指令airodump-ngwlan0是可以掃描網(wǎng)絡的當前網(wǎng)絡中的無線Wi-Fi。練習及思考題思考題1：WEP機制的應用包括哪些內容?思考題2：使用Aircrack-ng破解WPA--KPSK加密無線網(wǎng)絡步驟有哪些?（五）項目考核在實訓項目考核中，要做到成績考核與評定的“標準統(tǒng)一、方法科學.過程公正、結果客觀”，在實訓成績考核與評定時，主要考核以下內容：（1）考核學生的學習和實訓態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實訓情況；（2）對相關專業(yè)的基本知識和操作技能、技巧理解和運用的程度；（3）考核學生的創(chuàng)新精神和團隊協(xié)作能力；（4）考核學生解決實際問題的綜合能力和專業(yè)實訓取得的成果。表一：項目實訓學生實際操作評分表項目名稱：___________組別：___________得分：___________項目評價內容要求分值得分實前(20分)記錄表格設計合理5及時認真5著裝符合安全操作要求5進實訓室準時5實訓中(60分)實訓操作按操作標準和注意事項規(guī)范操作20態(tài)度認真5團隊協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務，發(fā)現(xiàn)問題5并提出合理的解決方法5實訓成效按規(guī)定時間完成任務10任務產(chǎn)品符合質量標準10實訓后(20分)設備耗材使用工具或設備無損壞5耗材用量未超過指標要求5數(shù)據(jù)處理數(shù)癢據(jù)結果正確10合計100表二：項目實訓綜合評價表項目名稱：___________組別：___________得分：___________評價項目分值得分1、學習目標是否明確52、學習過程是否呈上升趨勢，不斷進步103、是否能獨立地獲取信息，資料收集是否完善104、獨立制定、實施、評價工作方案情況20表三：項目實訓報告姓名班級組別實訓任務時間實訓內容練習及思考七、實訓項目七：項目實訓局域網(wǎng)安全防護實戰(zhàn)建議教學時間：2時（一）實訓目的場地標高設計與場地平整計算實訓，學生通過給定的施工現(xiàn)場工程項目，完成場地的標高主設計與場地平整工程土方量的計算，進一步加深了解場地標高設計原則及場地土方量計算程序，拓展學生在土方工程方面的專業(yè)技能，為今后的學習、工作打下堅實的基礎。（二）實訓基本要求1.能區(qū)分不同類局域網(wǎng)防護工具2.掌握局域網(wǎng)安全防護工具靈活應用的能力。（三）實訓器材，設備和耗材工作任務所用工具和設備臺套數(shù)操作要領和注意事項局域網(wǎng)安全防護實戰(zhàn)一臺能連網(wǎng)的PC機，安裝有Windows操作系統(tǒng)，所需軟件工具1各種工具應用場景特點不同，能根據(jù)不同環(huán)境靈活使用。（四）實訓內容任務一：Web安全類局域網(wǎng)防護工具任務情景描述：Web類工具主要是通過各種掃描工具，發(fā)現(xiàn)web站點存在的各種漏洞如sql注入、XSS等，從而獲取系統(tǒng)權限，常用的工具如下：步驟1：Nmapnmap是我們首先使用的一款工具。利用此工具可以掃描站點對應的IP，已經(jīng)開啟的端口、服務、操作系統(tǒng)等信息。同時可以用