教学目标
📖 课前导入
2017年5月,WannaCry勒索病毒在全球150多个国家爆发,感染超过23万台电脑,英国医院系统瘫痪、中国大学校园网沦陷。受害者屏幕显示:"你的文件已被加密,支付300美元比特币才能解锁"。
网络安全威胁不是电影情节,它每天都在发生。作为网络工程师,了解这些威胁是保护网络安全的第一步。
🎯 本课目标:理解被动/主动攻击的区别,掌握四类恶意软件的特征,了解五种常见网络攻击原理与防御方法,认识社会工程学威胁,能用命令行做基本安全检查。
📚 一、网络安全威胁分类
🔴 被动攻击——偷偷监听
攻击者只监听不修改数据,像"隐形人"一样不留痕迹,极难检测。
- • 窃听(Eavesdropping)——在公共WiFi上抓取HTTP明文流量,获取用户名密码
- • 流量分析——不看内容,但分析"谁和谁通信、多频繁"推断机密信息
防御核心:加密!HTTPS、VPN、WPA2/3使窃听者只能看到乱码。
🟠 主动攻击——直接破坏
攻击者篡改、伪造或中断通信,会留下痕迹,可以被检测到。
- • 篡改(Tampering)——修改传输中的数据(如改转账金额)
- • 伪装(Masquerading)——冒充合法用户或服务器
- • 重放(Replay)——截获合法数据包后重新发送
- • 拒绝服务(DoS)——使服务器瘫痪、服务不可用
防御核心:认证+完整性校验+入侵检测(IDS)。
CIA三要素——网络安全的核心目标
🔒
机密性(Confidentiality)
信息不被未授权者获取
手段:加密
✅
完整性(Integrity)
信息不被篡改或破坏
手段:哈希校验、数字签名
🌐
可用性(Availability)
服务在需要时可正常访问
手段:冗余、抗DDoS
📚 二、恶意软件(Malware)
🦠 病毒(Virus)
寄生在其他程序中,需要宿主程序运行才能传播。用户打开感染文件后激活。
类比:寄生虫——必须依附宿主生存
案例:CIH病毒(1998)可破坏BIOS,使电脑无法启动
🐛 蠕虫(Worm)
独立运行,不需要宿主。通过网络漏洞自动传播,速度极快。
类比:传染病——自动在人群中扩散
案例:冲击波蠕虫(2003)利用Windows RPC漏洞,10分钟感染全网
🐴 木马(Trojan Horse)
伪装成正常软件诱骗安装,安装后开后门让攻击者远程控制。不自动传播。
类比:特洛伊木马——外表正常内藏敌人
案例:灰鸽子木马,伪装成"照片查看器"诱骗安装
🔒 勒索软件(Ransomware)
加密受害者所有文件,要求支付赎金(通常比特币)才给解密密钥。近年最猖獗的威胁。
部分勒索软件兼具蠕虫特性,可在内网自动传播
案例:WannaCry(2017)利用永恒之蓝漏洞,全球损失超80亿美元
| 类型 | 需要宿主 | 自动传播 | 传播途径 | 主要危害 |
|---|---|---|---|---|
| 病毒 | ✅ 是 | ❌ 需用户操作 | 感染的文件、U盘 | 破坏文件和系统 |
| 蠕虫 | ❌ 否 | ✅ 自动 | 网络漏洞 | 消耗资源、传播极快 |
| 木马 | ❌ 否 | ❌ 不传播 | 诱骗下载安装 | 远程控制、窃取数据 |
| 勒索软件 | ❌ 否 | 部分可以 | 邮件附件、漏洞 | 加密文件、勒索赎金 |
📚 三、常见网络攻击类型
💥 DDoS攻击(分布式拒绝服务)
攻击者控制大量"僵尸电脑"(Botnet)同时向目标发送海量请求,使其带宽/CPU/内存耗尽。
防御:CDN分流、流量清洗、SYN Cookie、速率限制。
🕵️ 中间人攻击(MITM)
攻击者插入通信双方之间,秘密截获、转发甚至篡改数据。双方都以为在直接通信。
典型场景:公共WiFi上,攻击者用ARP欺骗将自己变成"中间人",截获所有HTTP流量中的密码。
防御:HTTPS(证书验证服务器身份)、VPN隧道加密、HSTS强制HTTPS。
🎣 钓鱼攻击(Phishing)
伪造银行、邮箱等可信网站/邮件,诱骗用户输入账号密码。是当前最成功的攻击手段之一。
// 真实URL vs 钓鱼URL对比:
✅ https://www.icbc.com.cn/login
❌ https://www.lcbc.com.cn/login ← i变成了l
❌ https://icbc.com.cn.evil.com/login ← 子域名伪装
防御:仔细检查URL域名、不点可疑链接、启用多因素认证(MFA)。
💉 ARP欺骗(ARP Spoofing)
攻击者发送伪造ARP报文:"网关192.168.1.1的MAC是我的MAC",局域网流量全部经过攻击者电脑。
防御:交换机启用DAI(动态ARP检测)、绑定静态ARP、使用802.1X认证。
🔓 暴力破解(Brute Force)
程序自动尝试所有密码组合。6位纯数字密码约1秒可破,8位大小写+数字约几天,12位混合约几百年。
防御:强密码(12位+大小写+数字+符号)、限制登录失败次数、账户锁定、验证码。
💻 SQL注入(SQL Injection)
在Web表单中输入SQL语句,如在用户名框输入 admin' OR '1'='1,绕过登录验证直接进入系统。
防御:参数化查询(PreparedStatement)、输入验证、WAF(Web应用防火墙)。
🌐 ARP欺骗攻击原理图
攻击者告诉受害者"网关的MAC是我的"→ 受害者的所有上网流量先经过攻击者 → 攻击者偷看后再转发给真网关
📚 四、社会工程学攻击——最难防的威胁
攻击"人"而非"技术"
社会工程学利用人的弱点——信任、恐惧、好奇心、贪婪、权威服从——来获取信息或权限。再强的防火墙也挡不住员工把密码告诉"冒充的IT部门"。
据统计,91%的网络攻击始于一封钓鱼邮件。
📧 钓鱼邮件(Phishing Email)
"您的密码即将过期,请点击此处修改" → 链接指向伪造的登录页面
识别:检查发件人域名、悬停查看链接真实地址
📞 电话诈骗(Vishing)
"我是银行安全部门,检测到异常交易,请提供您的验证码" → 骗取验证码转走资金
识别:银行绝不会索要验证码,挂断后主动拨打官方客服核实
💾 诱饵攻击(Baiting)
在公司停车场"遗落"一个标有"2024年薪资调整方案"的U盘 → 好奇的员工捡到插入电脑 → 木马植入
防御:不使用来路不明的U盘,企业禁用USB端口
🚪 尾随(Tailgating)
"不好意思,我手里拿着东西,能帮我刷一下门禁卡吗?" → 跟着刷卡员工进入机房
防御:坚持"一人一刷"制度,对陌生人保持警惕
企业安全意识培训要点
员工需要知道
- • 不点不明链接,不开不明附件
- • 电话中绝不透露密码/验证码
- • 可疑邮件先向IT部门确认
- • 不使用来路不明的U盘/设备
企业需要做
- • 定期进行钓鱼演练测试员工
- • 强制多因素认证(MFA)
- • 邮件网关过滤钓鱼邮件
- • 制定安全事件应急响应流程
🔧 五、实践:基本安全检查命令
作为网络工程师/管理员,需要掌握一些基本的安全检查手段:
发现可疑连接怎么办?
- 1. 不要惊慌,先记录可疑进程名、连接IP和端口
- 2. 断开网络,拔网线或关WiFi,阻止数据外泄
- 3. 查杀病毒,使用杀毒软件全盘扫描
- 4. 上报IT部门,企业环境必须通知安全团队
- 5. 修改密码,所有在该电脑上登录过的账号都要改密码
📚 六、威胁与防御对照总表
| 威胁类型 | 攻击层面 | 影响的CIA | 防御措施 |
|---|---|---|---|
| 窃听 | 网络层 | 机密性 | HTTPS、VPN、WPA2/3 |
| DDoS | 网络/传输层 | 可用性 | CDN、流量清洗、速率限制 |
| 中间人 | 网络层 | 机密性+完整性 | HTTPS证书、HSTS |
| ARP欺骗 | 数据链路层 | 机密性 | DAI、静态ARP绑定 |
| 钓鱼 | 应用层/人 | 机密性 | 安全培训、MFA、邮件过滤 |
| SQL注入 | 应用层 | 完整性+机密性 | 参数化查询、WAF |
| 暴力破解 | 应用层 | 机密性 | 强密码、锁定策略、MFA |
| 勒索软件 | 系统/网络 | 全部CIA | 备份、补丁、杀毒、隔离 |
网络安全威胁与真实案例分析
通过WannaCry勒索病毒、SolarWinds供应链攻击、Twitter钓鱼事件等真实案例,深入讲解网络安全威胁的攻击手法与防范
通过WannaCry勒索病毒、SolarWinds供应链攻击、Twitter钓鱼事件等真实案例,深入讲解网络安全威胁的攻击手法与防范
✅ 课堂小测
随堂测验
第 1/7 题以下哪种恶意软件可以通过网络自动传播,不需要用户操作?
📋 本课小结
CIA三要素:机密性(加密)、完整性(校验)、可用性(冗余),是安全的核心目标。
恶意软件:病毒(需宿主)、蠕虫(自动传播最快)、木马(伪装+后门)、勒索软件(加密勒索)。
常见攻击:DDoS(瘫痪服务)、MITM(中间截获)、钓鱼(诱骗密码)、ARP欺骗(劫持流量)、SQL注入(攻击Web)。
社会工程学:91%的攻击始于钓鱼邮件,"人"是最薄弱的环节。
安全检查:用arp -a检查ARP欺骗,netstat -anb查可疑连接,防火墙状态确认。
🤔 课后思考与实践
安全检查练习
- 在自己电脑上执行
arp -a,检查网关IP是否只对应一个MAC地址。 - 执行
netstat -an,找出所有ESTABLISHED连接,看有没有不认识的外部IP和可疑端口。 - 检查Windows防火墙是否全部开启,如果关闭请开启。
思考题
- 为什么说"加密"是对抗被动攻击最有效的手段?加密能防御主动攻击吗?
- WannaCry既是勒索软件又具有蠕虫特性,这两个特性分别造成了什么后果?
- 你觉得在企业环境中,技术防御和安全意识培训哪个更重要?为什么?