局域網(wǎng)組網(wǎng)技術(shù)項(xiàng)目式教程（微課版）-實(shí)訓(xùn)指導(dǎo)手冊 項(xiàng)目八 網(wǎng)絡(luò)管理與安全防護(hù)實(shí)訓(xùn)指導(dǎo)手冊

局域網(wǎng)組網(wǎng)技術(shù)項(xiàng)目式教程實(shí)訓(xùn)指導(dǎo)手冊2023年12月前言局域網(wǎng)組網(wǎng)技術(shù)項(xiàng)目式教程實(shí)訓(xùn)是教學(xué)計(jì)劃規(guī)定的重要教學(xué)環(huán)節(jié)，是提高學(xué)生的專業(yè)素質(zhì)，培養(yǎng)學(xué)生的崗位職業(yè)能力的重要手段。通過實(shí)訓(xùn)期間的各種工種訓(xùn)練，達(dá)到如下目的：1.理論聯(lián)系實(shí)際，在實(shí)際操作中，驗(yàn)證、鞏固、深化已學(xué)的有關(guān)理論和專業(yè)知識，提高學(xué)生獨(dú)立分析問題、解決問題的心智能力，做到操作技能與心智技能并重。2.使學(xué)生獲得中小型企業(yè)網(wǎng)建設(shè)工技術(shù)和網(wǎng)絡(luò)管理的實(shí)際知識，了解書本知識和實(shí)際情況的區(qū)別和聯(lián)系：掌握網(wǎng)絡(luò)規(guī)劃準(zhǔn)備工作內(nèi)容、組建方法及防護(hù)內(nèi)容。3.開闊學(xué)生的工程技術(shù)眼界，了解我國目前網(wǎng)絡(luò)工程技術(shù)和網(wǎng)絡(luò)安全管理的現(xiàn)狀和發(fā)展?fàn)顩r。4.培養(yǎng)學(xué)生吃苦耐勞、主動學(xué)習(xí)和全面學(xué)習(xí)的觀念，培養(yǎng)學(xué)生工作中的協(xié)調(diào)配合能力，提高學(xué)生的綜合素質(zhì)。2023年12月目錄TOC\o"1-3"\h\u項(xiàng)目8網(wǎng)絡(luò)管理與安全防護(hù) 5一、實(shí)訓(xùn)項(xiàng)目一：網(wǎng)絡(luò)連通性檢測利器--ping命令實(shí)訓(xùn) 5（一）實(shí)訓(xùn)目的 5（二）實(shí)訓(xùn)基本要求 5（三）實(shí)訓(xùn)器材，設(shè)備和耗材 5（四）實(shí)訓(xùn)內(nèi)容 5（五）項(xiàng)目考核 11二、實(shí)訓(xùn)項(xiàng)目二：勒索病毒的防范實(shí)訓(xùn) 14（一）實(shí)訓(xùn)目的 14（二）實(shí)訓(xùn)基本要求 14（三）實(shí)訓(xùn)器材，設(shè)備和耗材 14（四）實(shí)訓(xùn)內(nèi)容 14（五）項(xiàng)目考核 19三、實(shí)訓(xùn)項(xiàng)目三：DDoS攻擊常見防御方法實(shí)訓(xùn) 22（一）實(shí)訓(xùn)目的 22（二）實(shí)訓(xùn)基本要求 22（三）實(shí)訓(xùn)器材，設(shè)備和耗材 22（四）實(shí)訓(xùn)內(nèi)容 22（五）項(xiàng)目考核 28四、實(shí)訓(xùn)項(xiàng)目四：CC攻擊常見防御方法實(shí)訓(xùn) 31（一）實(shí)訓(xùn)目的 31（二）實(shí)訓(xùn)基本要求 31（三）實(shí)訓(xùn)器材，設(shè)備和耗材 31（四）實(shí)訓(xùn)內(nèi)容 31（五）項(xiàng)目考核 35五、實(shí)訓(xùn)項(xiàng)目五：網(wǎng)絡(luò)安全縱深防御實(shí)訓(xùn) 38（一）實(shí)訓(xùn)目的 38（二）實(shí)訓(xùn)基本要求 38（三）實(shí)訓(xùn)器材，設(shè)備和耗材 38（四）實(shí)訓(xùn)內(nèi)容 38（五）項(xiàng)目考核 41六、實(shí)訓(xùn)項(xiàng)目六：無線網(wǎng)絡(luò)安全之掃描實(shí)訓(xùn) 44（一）實(shí)訓(xùn)目的 44（二）實(shí)訓(xùn)基本要求 44（三）實(shí)訓(xùn)器材，設(shè)備和耗材 44（四）實(shí)訓(xùn)內(nèi)容 44（五）項(xiàng)目考核 49七、實(shí)訓(xùn)項(xiàng)目七：項(xiàng)目實(shí)訓(xùn)局域網(wǎng)安全防護(hù)實(shí)戰(zhàn) 52（一）實(shí)訓(xùn)目的 52（二）實(shí)訓(xùn)基本要求 52（三）實(shí)訓(xùn)器材，設(shè)備和耗材 52（四）實(shí)訓(xùn)內(nèi)容 52（五）項(xiàng)目考核 56項(xiàng)目8網(wǎng)絡(luò)管理與安全防護(hù)一、實(shí)訓(xùn)項(xiàng)目一：網(wǎng)絡(luò)連通性檢測利器--ping命令實(shí)訓(xùn)建議教學(xué)時(shí)間：2課時(shí)（一）實(shí)訓(xùn)目的在網(wǎng)絡(luò)中ping是一個(gè)十分強(qiáng)大的TCP/IP工具，通過本次實(shí)驗(yàn)，能用ping命令檢測網(wǎng)絡(luò)的連通情況和分析網(wǎng)絡(luò)速度，能根據(jù)域名得到服務(wù)器IP，能根據(jù)ping返回的TTL值來判斷對方所使用的操作系統(tǒng)及數(shù)據(jù)包經(jīng)過的路由器數(shù)目。（二）實(shí)訓(xùn)基本要求1.熟悉基本網(wǎng)絡(luò)命令的格式以及功能；2.撰寫實(shí)驗(yàn)報(bào)告，包括命令執(zhí)行的主要結(jié)果以及簡單分析。（三）實(shí)訓(xùn)器材，設(shè)備和耗材工作任務(wù)所用工具和設(shè)備臺套數(shù)操作要領(lǐng)和注意事項(xiàng)熟悉ping命令使用一臺能連網(wǎng)的PC機(jī)，安裝有Windows操作系統(tǒng)1各個(gè)參數(shù)練習(xí)，注意多個(gè)參數(shù)配合使用，出現(xiàn)不同反饋信息的含義（四）實(shí)訓(xùn)內(nèi)容任務(wù)一：ping命令功能基本原理：Ping利用Internet控制消息協(xié)議（ICMP）在源主機(jī)和目標(biāo)主機(jī)之間交換數(shù)據(jù)包。當(dāng)執(zhí)行ping命令時(shí)，源主機(jī)發(fā)送ICMPEchoRequest數(shù)據(jù)包到目標(biāo)主機(jī)，目標(biāo)主機(jī)接收到后返回ICMPEchoReply。通過計(jì)算往返時(shí)間（Round-TripTime，RTT），ping命令可以測量數(shù)據(jù)包從源主機(jī)發(fā)送到目標(biāo)主機(jī)再返回的時(shí)間，從而評估網(wǎng)絡(luò)的性能和穩(wěn)定性。基本測試步驟：步驟1：顯示ping命令常用參數(shù)ping命令參數(shù)很多，想要顯示所有參數(shù)，打開命令行窗口，輸入ping/?命令，如圖8-1所示：圖8-1ping命令參數(shù)步驟2：在命令行窗口，輸入ping。這是一個(gè)診斷或回環(huán)地址，如果你得到一個(gè)成功的ping返回，則可以認(rèn)定你的IP棧是被初始化過的。如果失敗，則說明你的IP棧有問題，需要重新安裝TCP/IP。步驟3：在命令行窗口，輸入ping本主機(jī)的IP地址。如果成功，那么可以說明你的網(wǎng)絡(luò)接口卡(NIC)是功能正常的。如果失敗，則表明NIC卡上存在問題。這一步并不能說明網(wǎng)線已經(jīng)連接到NIC上，它只能說明主機(jī)上的IP地址?？梢耘c這個(gè)NIC進(jìn)行通信。步驟4：在命令行窗口，輸入ping默認(rèn)網(wǎng)關(guān)(路由器)。如果ping正常，表明NIC已經(jīng)連接到網(wǎng)絡(luò)并且可以與本地網(wǎng)絡(luò)進(jìn)行通信。如果失敗，則表明存在一個(gè)本地物理網(wǎng)絡(luò)問題，這個(gè)問題可能出現(xiàn)在NIC到路由器之間的任何一個(gè)位置上。步驟5：如果步驟1到3都是成功的，嘗試ping一下遠(yuǎn)端服務(wù)器。如果正常，則表明你可以在本地主機(jī)與遠(yuǎn)端服務(wù)器之間進(jìn)行通信。同時(shí)，你也可以確信遠(yuǎn)端的物理網(wǎng)絡(luò)也是正常的。如果ping遠(yuǎn)端服務(wù)器失敗，那么你所面對的將是某些遠(yuǎn)程物理網(wǎng)絡(luò)的問題。這時(shí)，你需要趕到服務(wù)器的那邊，并執(zhí)行步驟1到3的測試，直到找出癥結(jié)所在。任務(wù)二：ping命令常用測試方法ping命令主要作用：用來檢測網(wǎng)絡(luò)的連通情況和分析網(wǎng)絡(luò)速度；根據(jù)域名得到服務(wù)器IP；根據(jù)ping返回的TTL值來判斷對方所使用的操作系統(tǒng)及數(shù)據(jù)包經(jīng)過路由器數(shù)量。步驟1：基本連通性測試：ping<目標(biāo)IP或域名>，用于檢測是否能夠與目標(biāo)主機(jī)建立基本的網(wǎng)絡(luò)連接，例如：ping，如圖8-2所示：圖8-2基本連通性測試圖2中直接pingip地址或網(wǎng)關(guān)，ping會顯示出以上數(shù)據(jù)，bytes=32，time<1ms，TTL=128，它們的含義分別是：bytes值：數(shù)據(jù)包大小。time值：響應(yīng)時(shí)間，這個(gè)時(shí)間越小，說明連接這個(gè)地址速度越快。TTL值：TimeToLive,表示DNS記錄在DNS服務(wù)器上存在的時(shí)間，它是IP協(xié)議包的一個(gè)值，告訴路由器該數(shù)據(jù)包何時(shí)需要被丟棄。可以通過Ping返回的TTL值大小，粗略地判斷目標(biāo)系統(tǒng)類型是Windows系列還是UNIX/Linux系列。因此一般TTL值：100~130ms之間，Windows系統(tǒng)；240~255ms之間，UNIX/Linux系統(tǒng)。步驟2：指定數(shù)據(jù)包數(shù)量：ping-n<次數(shù)><目標(biāo)>，通過指定發(fā)送的ICMPEchoRequest次數(shù)，可以進(jìn)行有限次數(shù)的ping測試。在默認(rèn)情況下，一般發(fā)送四個(gè)數(shù)據(jù)包，通過這個(gè)命令可以自己定義發(fā)送的個(gè)數(shù)，對衡量網(wǎng)絡(luò)速度很有幫助，比如想測試發(fā)送8個(gè)數(shù)據(jù)包的返回的平均時(shí)間、最快時(shí)間、最慢時(shí)間，輸入命令ping-n8，結(jié)果如圖8-3所示：圖8-3指定數(shù)據(jù)包數(shù)量從圖3給發(fā)送8個(gè)數(shù)據(jù)包的過程當(dāng)中，返回了8個(gè)，沒有丟失，這8個(gè)數(shù)據(jù)包當(dāng)中返回速度最快為24ms，最慢為106ms，平均速度為56ms。說明當(dāng)前網(wǎng)絡(luò)良好。如果對于一些不好的網(wǎng)絡(luò)，比如監(jiān)控系統(tǒng)中非?？D，這樣測試，返回的結(jié)果可能會顯示出丟失出一部分，如果丟失的比較多的話，那么就說明網(wǎng)絡(luò)不好，可以很直觀的判斷出網(wǎng)絡(luò)的情況。步驟3：指定數(shù)據(jù)包大?。簆ing-l<大小><目標(biāo)>，用于測試不同大小的數(shù)據(jù)包對網(wǎng)絡(luò)的影響。發(fā)送size指定大小的到目標(biāo)主機(jī)的數(shù)據(jù)包。在默認(rèn)的情況下Windows的ping發(fā)送的數(shù)據(jù)包大小為32byte，最大能發(fā)送65500byte。當(dāng)一次發(fā)送的數(shù)據(jù)包大于或等于65500byte時(shí)，將可能導(dǎo)致接收方計(jì)算機(jī)宕機(jī)。所以微軟限制了這一數(shù)值；這個(gè)參數(shù)配合其它參數(shù)以后危害非常強(qiáng)大，比如攻擊者可以結(jié)合-t參數(shù)實(shí)施DOS攻擊。（所以它具有危險(xiǎn)性，不要輕易向別人計(jì)算機(jī)使用）。例如：ping-l65500-t

6會連續(xù)對IP地址執(zhí)行ping命令，直到被用戶以Ctrl+C中斷。這樣它就會不停的向6計(jì)算機(jī)發(fā)送大小為65500byte的數(shù)據(jù)包，如果你只有一臺計(jì)算機(jī)也許沒有什么效果，但如果有很多計(jì)算機(jī)那么就可以使對方完全癱瘓，網(wǎng)絡(luò)嚴(yán)重堵塞，由此可見威力非同小可。步驟4：記錄經(jīng)過設(shè)備的IP地址：ping-rcount，這個(gè)命令在“記錄路由”字段中記錄傳出和返回?cái)?shù)據(jù)包的路由，探測經(jīng)過的路由個(gè)數(shù)，但最多只能跟蹤到9個(gè)路由。例如ping-n1-r95（發(fā)送一個(gè)數(shù)據(jù)包，最多記錄9個(gè)路由），如圖8-4所示，將經(jīng)過9個(gè)路由都顯示出來了，也就是說可以跟蹤ip地址所經(jīng)過的9個(gè)路由，在檢查故障時(shí)可以快速定位。。圖8-4記錄經(jīng)過設(shè)備的IP地址任務(wù)三：批量ping多個(gè)IP地址對于一個(gè)網(wǎng)段ip地址眾多，如果單個(gè)檢測實(shí)在麻煩，可以直接批量ping網(wǎng)段檢測，那個(gè)ip地址出了問題，一目了然。步驟1：ping一個(gè)網(wǎng)段，在命令行窗口輸入：for/L%Din(1,1,255)doping10.168.1.%D，如圖8-5所示：圖8-5ping一個(gè)網(wǎng)段當(dāng)輸入批量命令后，那么它就自動把網(wǎng)段內(nèi)所有的ip地址都ping完為止。這段“for/L%Din(1,1,255)doping10.168.1.%D”代碼中，(1,1,255)就是網(wǎng)段起與始，就是檢測網(wǎng)段到55之間的所有的ip地址，每次逐增1，從1到255這255個(gè)ip檢測完為止。步驟2：ping網(wǎng)段升級，步驟1的命令雖然能批量ping地址，但是代碼在命令行窗口顯示數(shù)量多的時(shí)候看起來也很麻煩，那么再升級一下，用下面的代碼：for/L%Din(1,1,255)doping-n10.168.1.%D>>a.txt，這樣就會把結(jié)果導(dǎo)入的a.txt文件中，全部IP檢查完成后打開a.txt搜索“TTL=”包含它的就是通的地址，沒有包含“TTL=”的地址就是不通的，如圖8-6所示：圖8-6ping網(wǎng)段升級說明：ip地址是變的，填需要測的ip網(wǎng)段就行，a.txt也是變的，可以自已設(shè)置名稱。任務(wù)四：不同網(wǎng)絡(luò)場景的反饋信息在Windows系統(tǒng)下，執(zhí)行ping命令時(shí)會獲得不同的反饋信息，這些信息提供了關(guān)于網(wǎng)絡(luò)狀態(tài)和可能問題的有用線索。以下是一些常見的ping命令反饋信息及其可能的含義：1正常響應(yīng)：反饋信息：成功收到ICMPEchoReply?？赡軉栴}：網(wǎng)絡(luò)通信正常，目標(biāo)主機(jī)能夠響應(yīng)。2請求超時(shí)：反饋信息："RequestTimedOut"?？赡軉栴}：目標(biāo)主機(jī)未能在規(guī)定時(shí)間內(nèi)響應(yīng)，可能由于網(wǎng)絡(luò)擁塞、路由問題（遠(yuǎn)程主機(jī)沒有回程路由）、或目標(biāo)主機(jī)配置防火墻導(dǎo)致。3目標(biāo)不可達(dá)：反饋信息："DestinationHostUnreachable"?？赡軉栴}：無法與目標(biāo)主機(jī)建立網(wǎng)絡(luò)連接，可能是由于目標(biāo)主機(jī)關(guān)閉或故障、路由問題或防火墻攔截。4網(wǎng)絡(luò)不可達(dá)：反饋信息："DestinationNetworkUnreachable"?？赡軉栴}：無法到達(dá)目標(biāo)網(wǎng)絡(luò)，可能是由于網(wǎng)絡(luò)配置錯(cuò)誤、路由問題（沒有到遠(yuǎn)程主機(jī)的路由信息）或防火墻設(shè)置引起。5端口不可達(dá)：反饋信息："DestinationPortUnreachable"?？赡軉栴}：目標(biāo)主機(jī)存在，但指定的端口不可用，可能是由于服務(wù)未啟動或防火墻過濾。6傳輸失?。悍答佇畔ⅲ?TransmitFailed,GeneralFailure"?？赡軉栴}：發(fā)送數(shù)據(jù)包時(shí)發(fā)生了一般性失敗，可能是由于網(wǎng)絡(luò)驅(qū)動程序、硬件問題或權(quán)限不足。7TTL超時(shí)：反饋信息："TTLExpiredinTransit"?？赡軉栴}：數(shù)據(jù)包在傳輸中達(dá)到了TTL（TimeToLive）的最大值，可能是由于網(wǎng)絡(luò)環(huán)路或路由問題引起。8網(wǎng)絡(luò)繁忙：反饋信息："Pingrequestcouldnotfindhost"或"Pingrequesttimedoutbecausethehostisdown."可能問題：目標(biāo)主機(jī)未響應(yīng)，可能是因?yàn)榫W(wǎng)絡(luò)負(fù)載過高、目標(biāo)主機(jī)故障或路由問題。練習(xí)及思考題思考題1：哪些網(wǎng)絡(luò)命令可以查看一個(gè)域名對應(yīng)的IP地址是什么?思考題2：如果一臺主機(jī)不能上網(wǎng)，試分析可能的原因有哪些?（五）項(xiàng)目考核在實(shí)訓(xùn)項(xiàng)目考核中，要做到成績考核與評定的“標(biāo)準(zhǔn)統(tǒng)一、方法科學(xué).過程公正、結(jié)果客觀”，在實(shí)訓(xùn)成績考核與評定時(shí)，主要考核以下內(nèi)容：（1）考核學(xué)生的學(xué)習(xí)和實(shí)訓(xùn)態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實(shí)訓(xùn)情況；（2）對相關(guān)專業(yè)的基本知識和操作技能、技巧理解和運(yùn)用的程度；（3）考核學(xué)生的創(chuàng)新精神和團(tuán)隊(duì)協(xié)作能力；（4）考核學(xué)生解決實(shí)際問題的綜合能力和專業(yè)實(shí)訓(xùn)取得的成果。表一：項(xiàng)目實(shí)訓(xùn)學(xué)生實(shí)際操作評分表項(xiàng)目名稱：___________組別：___________得分：___________項(xiàng)目評價(jià)內(nèi)容要求分值得分實(shí)前(20分)記錄表格設(shè)計(jì)合理5及時(shí)認(rèn)真5著裝符合安全操作要求5進(jìn)實(shí)訓(xùn)室準(zhǔn)時(shí)5實(shí)訓(xùn)中(60分)實(shí)訓(xùn)操作按操作標(biāo)準(zhǔn)和注意事項(xiàng)規(guī)范操作20態(tài)度認(rèn)真5團(tuán)隊(duì)協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務(wù)，發(fā)現(xiàn)問題5并提出合理的解決方法5實(shí)訓(xùn)成效按規(guī)定時(shí)間完成任務(wù)10任務(wù)產(chǎn)品符合質(zhì)量標(biāo)準(zhǔn)10實(shí)訓(xùn)后(20分)設(shè)備耗材使用工具或設(shè)備無損壞5耗材用量未超過指標(biāo)要求5數(shù)據(jù)處理數(shù)癢據(jù)結(jié)果正確10合計(jì)100表二：項(xiàng)目實(shí)訓(xùn)綜合評價(jià)表項(xiàng)目名稱：___________組別：___________得分：___________評價(jià)項(xiàng)目分值得分1、學(xué)習(xí)目標(biāo)是否明確52、學(xué)習(xí)過程是否呈上升趨勢，不斷進(jìn)步103、是否能獨(dú)立地獲取信息，資料收集是否完善104、獨(dú)立制定、實(shí)施、評價(jià)工作方案情況20表三：項(xiàng)目實(shí)訓(xùn)報(bào)告姓名班級組別實(shí)訓(xùn)任務(wù)時(shí)間實(shí)訓(xùn)內(nèi)容練習(xí)及思考二、實(shí)訓(xùn)項(xiàng)目二：勒索病毒的防范實(shí)訓(xùn)建議教學(xué)時(shí)間：2課時(shí)（一）實(shí)訓(xùn)目的勒索病毒是近年來增長迅速且危害巨大的網(wǎng)絡(luò)安全威脅，它可以通過各種方式進(jìn)行攻擊，包括通過漏洞利用、電子郵件、程序木馬、網(wǎng)絡(luò)下載等方式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將會給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進(jìn)行加密并勒索高額贖金，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。因此，防范勒索病毒非常重要。通過實(shí)訓(xùn)進(jìn)一步加深學(xué)生對病毒理解，拓展學(xué)生網(wǎng)絡(luò)安全管理方面的專業(yè)技能，為今后的學(xué)習(xí)、工作打下堅(jiān)實(shí)的基礎(chǔ)。（二）實(shí)訓(xùn)基本要求1.了解勒索病毒傳播途徑。2.掌握勒索病毒應(yīng)急處置流程。（三）實(shí)訓(xùn)器材，設(shè)備和耗材工作任務(wù)所用工具和設(shè)備臺套數(shù)操作要領(lǐng)和注意事項(xiàng)勒索病毒的防范一臺能連網(wǎng)的PC機(jī)，安裝有Windows操作系統(tǒng)1不同勒索病毒表現(xiàn)不一樣，處理方式也有差別（四）實(shí)訓(xùn)內(nèi)容任務(wù)一：勒索病毒表現(xiàn)如果計(jì)算機(jī)出現(xiàn)了以下特征，可表明已經(jīng)中了勒索病毒：（1）電腦桌面被篡改服務(wù)器被感染勒索病毒后，最明顯的特征是電腦桌面發(fā)生明顯變化，即：桌面通常會出現(xiàn)新的文本文件或網(wǎng)頁文件，這些文件用來說明如何解密的信息，同時(shí)桌面上顯示勒索提示信息及解密聯(lián)系方式。下面為電腦感染勒索病毒后，典型的桌面發(fā)生變化的示意圖，如圖8-7所示。圖8-7電腦桌面被篡改示意圖（2）文件后綴被篡改電腦感染勒索病毒后，另外一個(gè)典型特征是文件后綴被篡改，如圖8-8所示。圖8-8文件后綴被篡改示意圖任務(wù)二：勒索病毒傳播途徑（1）利用安全漏洞傳播攻擊者利用弱口令、遠(yuǎn)程代碼執(zhí)行等網(wǎng)絡(luò)產(chǎn)品安全漏洞（這些漏洞多是已公開且已發(fā)布補(bǔ)丁的漏洞，且未及時(shí)修復(fù)的），攻擊入侵用戶內(nèi)部網(wǎng)絡(luò)，獲取管理員權(quán)限，進(jìn)而主動傳播勒索病毒。（2）利用釣魚郵件傳播攻擊者將勒索病毒內(nèi)嵌至釣魚郵件的文檔、圖片等附件中，或?qū)⒗账鞑《緪阂怄溄訉懭脶烎~郵件正文中，通過網(wǎng)絡(luò)釣魚攻擊傳播勒索病毒。一旦用戶打開或點(diǎn)擊，病毒就會自動加載、安裝，進(jìn)而威脅整個(gè)網(wǎng)絡(luò)安全。（3）利用網(wǎng)站掛馬傳播攻擊者通過網(wǎng)絡(luò)攻擊網(wǎng)站，以在網(wǎng)站植入惡意代碼的方式掛馬，或通過主動搭建包含惡意代碼的網(wǎng)站，誘導(dǎo)用戶訪問網(wǎng)站并觸發(fā)惡意代碼，劫持用戶當(dāng)前訪問頁面至勒索病毒下載鏈接并執(zhí)行，進(jìn)而向用戶設(shè)備植入勒索病毒。（4）利用移動介質(zhì)傳播攻擊者通過隱藏U盤、移動硬盤等移動存儲介質(zhì)原有文件，創(chuàng)建與移動存儲介質(zhì)盤符、圖標(biāo)等相同的快捷方式，一旦用戶點(diǎn)擊，將自動運(yùn)行勒索病毒，或運(yùn)行專門用于收集和回傳設(shè)備信息的木馬程序，便于未來實(shí)施針對性的勒索。（5）利用軟件供應(yīng)鏈傳播攻擊者利用軟件供應(yīng)商與軟件用戶間的信任關(guān)系，通過攻擊入侵軟件供應(yīng)商相關(guān)服務(wù)器設(shè)備，利用軟件供應(yīng)鏈分發(fā)、更新等機(jī)制，在合法軟件正常傳播、升級等過程中，對合法軟件進(jìn)行劫持或篡改，規(guī)避用戶網(wǎng)絡(luò)安全防護(hù)機(jī)制，傳播勒索病毒。（6）利用遠(yuǎn)程桌面入侵傳播攻擊者通常利用弱口令、暴力破解等方式獲取攻擊目標(biāo)服務(wù)器遠(yuǎn)程登錄用戶名和密碼，進(jìn)而通過遠(yuǎn)程桌面協(xié)議登錄服務(wù)器并植入勒索病毒。同時(shí)，攻擊者一旦成功登錄服務(wù)器，獲得服務(wù)器控制權(quán)限，可以服務(wù)器為攻擊跳板，在用戶內(nèi)部網(wǎng)絡(luò)進(jìn)一步傳播勒索病毒。任務(wù)三：勒索病毒應(yīng)急處置流程步驟一：檢測階段如何發(fā)現(xiàn)勒索病毒，可通過如下兩個(gè)場景進(jìn)行識別：場景一:感染但未加密從攻擊者滲透進(jìn)入內(nèi)部網(wǎng)絡(luò)的某一臺主機(jī)到執(zhí)行加密行為往往有一段時(shí)間，如果在這段時(shí)間能夠做出響應(yīng)，完全可以避免勒索事件的發(fā)生。如果有以下情況，可能是外于感染未加密狀態(tài):（1）監(jiān)測設(shè)備告警如果使用了監(jiān)測系統(tǒng)進(jìn)行流量分析、威脅監(jiān)測，系統(tǒng)產(chǎn)生大量告警日志，例如“SMB遠(yuǎn)程溢出攻擊”，"弱口令爆破"等，可能是病毒在嘗試擴(kuò)散。（2）資源占用異常病毒會偽裝成系統(tǒng)程序，釋放攻擊包、掃描局域網(wǎng)絡(luò)445端口等占用大量系統(tǒng)資源，當(dāng)發(fā)現(xiàn)某個(gè)疑似系統(tǒng)進(jìn)程的進(jìn)程在長期占用CPU或內(nèi)存，有可能是感染病毒。場景二:感染已加密如果有以下情況，可能是處于感染且已加密狀態(tài)：（1）統(tǒng)一的異常后綴勤索病毒執(zhí)行加密程席后會加密特定類型的文件，不同的勒索病毒會加密幾十到幾百種類型的文件，基本都會包括常見的文檔、圖片、數(shù)據(jù)庫文件。當(dāng)文件夾下文件變成如下統(tǒng)一異常不可用后綴，就是已經(jīng)被加密了。（2）勤索信或桌面被算改勒索病毒加密文件的最終目的是索要贖金，所以會在系統(tǒng)明顯位置如桌面上留下文件提示，或?qū)⒗账鲌D片更改為桌面。勒索信絕大多數(shù)為英文，引導(dǎo)被勒索的用戶交贖金步驟二：抑制階段（1）發(fā)現(xiàn)勒索病毒后如何進(jìn)行隔離采取可行措施進(jìn)行隔離，避免影響其它主機(jī)（如斷網(wǎng)隔離）通過邊界控制設(shè)備，防止網(wǎng)終區(qū)域間相互影響（2）防止勤索病毒擴(kuò)散采取及時(shí)的補(bǔ)救加固措施（安全加固）相關(guān)漏洞的掃描修補(bǔ)與跟蹤配置核查步驟三：處置階段信息收集：IT管理人員截圖取證主機(jī)中的勒索信息文件，截圖取證被加密的時(shí)間和文件后綴名，檢查服務(wù)器開放端口情況、補(bǔ)丁更新情況，并截圖取證，檢查服務(wù)器當(dāng)日的安全日志，截圖取證或?qū)С霎?dāng)天日志步驟四：恢復(fù)階段業(yè)務(wù)恢復(fù)：從備份中恢復(fù)損壞的數(shù)據(jù)，調(diào)整可能影響業(yè)務(wù)正常運(yùn)轉(zhuǎn)的策略。文件解密:付費(fèi)風(fēng)險(xiǎn)，部分中招主機(jī)可能包含關(guān)鍵信息，企業(yè)處于業(yè)務(wù)考慮可能會考慮通過比特幣付款，但不能確認(rèn)付款可以恢復(fù)數(shù)據(jù)，建議企業(yè)慎重考慮；解密工具:可查看安全廣商已發(fā)布部分勒索病毒的解密工具。步驟五：安全加固通常應(yīng)從如下方面進(jìn)行加固：多數(shù)勒索軟件會利用RDP(遠(yuǎn)程桌面協(xié)議)暴力破解傳播，在不影響業(yè)務(wù)的前提下避免3389端口對外開放。利用IPS、防火墻等設(shè)備對03389端口進(jìn)行防護(hù)開啟windows自身的防火墻盡量關(guān)閉3389、445、139、135等不用的高危端口在計(jì)算機(jī)中配置賬戶鎖定策略，連續(xù)登陸失敗即鎖定賬戶要求每臺服務(wù)器設(shè)置唯一口令，且禁止設(shè)置弱口令(復(fù)雜度要求采用大小寫字母、數(shù)字、特殊符號混合)對員工進(jìn)行安全意識培訓(xùn)，避免打開陌生郵件的附件、下載破解版軟件和運(yùn)行來源不明的程序定時(shí)對重要數(shù)據(jù)進(jìn)行異地備份，防止數(shù)據(jù)破壞和丟失及時(shí)更新系統(tǒng)及應(yīng)用版本，及時(shí)打漏洞補(bǔ)丁及時(shí)安裝防病毒軟件，并更新到最新的病毒庫和引警定時(shí)通過掃描器做專項(xiàng)口令排查，可排查通用口令和弱口令任務(wù)四：部分公開的勒索相關(guān)解密工具公開的勒索病毒相關(guān)解密工具(FreeRansomwareDecryptionTools)，可供應(yīng)急查詢使用：（1）kasperskyFreeRansomwareDecryptors-KasperskyLab/（2）avastFreeRansomwareDecryptionToolsUnlockYourFiles|Avast/ransomware-decryption-tools（3）avgFreeRansomwareDecryptionToolsUnlockYourFiles|AVG/en-us/ransomware-decryption-tools（4）NoMoreRansomTheNoMoreRansomProiect/en/decryption-tools.htm（5）BitdefenderFreeTools-BitdefenderLabs/category/free-tools/（6）MalwareHunterIDRansomware/index.php（7）McAfeeMcAfeeRansomwareRecover(Mr2)McAfeeFreeToolshttos:///enterprise/en-us/downloads/free-tools/ransomware-decryption.htm（8）TrendMicroUsingtheTrendMicroRansomwareFileDecryptor練習(xí)及思考題思考題1：常見的勒索病毒有哪些?思考題2：勒索病毒發(fā)展趨勢是怎樣的?（五）項(xiàng)目考核在實(shí)訓(xùn)項(xiàng)目考核中，要做到成績考核與評定的“標(biāo)準(zhǔn)統(tǒng)一、方法科學(xué).過程公正、結(jié)果客觀”，在實(shí)訓(xùn)成績考核與評定時(shí)，主要考核以下內(nèi)容：（1）考核學(xué)生的學(xué)習(xí)和實(shí)訓(xùn)態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實(shí)訓(xùn)情況；（2）對相關(guān)專業(yè)的基本知識和操作技能、技巧理解和運(yùn)用的程度；（3）考核學(xué)生的創(chuàng)新精神和團(tuán)隊(duì)協(xié)作能力；（4）考核學(xué)生解決實(shí)際問題的綜合能力和專業(yè)實(shí)訓(xùn)取得的成果。表一：項(xiàng)目實(shí)訓(xùn)學(xué)生實(shí)際操作評分表項(xiàng)目名稱：___________組別：___________得分：___________項(xiàng)目評價(jià)內(nèi)容要求分值得分實(shí)前(20分)記錄表格設(shè)計(jì)合理5及時(shí)認(rèn)真5著裝符合安全操作要求5進(jìn)實(shí)訓(xùn)室準(zhǔn)時(shí)5實(shí)訓(xùn)中(60分)實(shí)訓(xùn)操作按操作標(biāo)準(zhǔn)和注意事項(xiàng)規(guī)范操作20態(tài)度認(rèn)真5團(tuán)隊(duì)協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務(wù)，發(fā)現(xiàn)問題5并提出合理的解決方法5實(shí)訓(xùn)成效按規(guī)定時(shí)間完成任務(wù)10任務(wù)產(chǎn)品符合質(zhì)量標(biāo)準(zhǔn)10實(shí)訓(xùn)后(20分)設(shè)備耗材使用工具或設(shè)備無損壞5耗材用量未超過指標(biāo)要求5數(shù)據(jù)處理數(shù)癢據(jù)結(jié)果正確10合計(jì)100表二：項(xiàng)目實(shí)訓(xùn)綜合評價(jià)表項(xiàng)目名稱：___________組別：___________得分：___________評價(jià)項(xiàng)目分值得分1、學(xué)習(xí)目標(biāo)是否明確52、學(xué)習(xí)過程是否呈上升趨勢，不斷進(jìn)步103、是否能獨(dú)立地獲取信息，資料收集是否完善104、獨(dú)立制定、實(shí)施、評價(jià)工作方案情況20表三：項(xiàng)目實(shí)訓(xùn)報(bào)告姓名班級組別實(shí)訓(xùn)任務(wù)時(shí)間實(shí)訓(xùn)內(nèi)容練習(xí)及思考三、實(shí)訓(xùn)項(xiàng)目三：DDoS攻擊常見防御方法實(shí)訓(xùn)建議教學(xué)時(shí)間：2時(shí)（一）實(shí)訓(xùn)目的DDoS是一種耗盡攻擊目標(biāo)的系統(tǒng)資源導(dǎo)致其無法響應(yīng)正常的服務(wù)請求的攻擊方式，DDoS的防護(hù)系統(tǒng)，本質(zhì)上是一個(gè)基于資源較量和規(guī)則過濾的智能化系統(tǒng)。面對DDoS攻擊，掌握常見的防御方式有哪些。（二）實(shí)訓(xùn)基本要求1.熟練識別DDoS攻擊類型。2.靈活掌握DDoS攻擊常見防御方法（三）實(shí)訓(xùn)器材，設(shè)備和耗材工作任務(wù)所用工具和設(shè)備臺套數(shù)操作要領(lǐng)和注意事項(xiàng)DDoS攻擊常見防御方法一臺能連網(wǎng)的PC機(jī)，安裝有Windows操作系統(tǒng)1從不能側(cè)面進(jìn)行DDOS防御（四）實(shí)訓(xùn)內(nèi)容任務(wù)一：DDOS攻擊防御方法任務(wù)情景描述：DDoS攻擊可以使企業(yè)完全宕機(jī)數(shù)小時(shí)以上，而宕機(jī)的后果可能很嚴(yán)重，各種規(guī)模的企業(yè)和政府都可能受到影響。因此幾乎每個(gè)有在線業(yè)務(wù)的企業(yè)都需要衡量其在網(wǎng)站防護(hù)上面所需要的花費(fèi)及其投資回報(bào)率，怎樣用最合理的成本來進(jìn)行最大化的攻擊防護(hù)是每個(gè)企業(yè)需要考慮的很重要的問題。步驟1：建立多層DDoS防護(hù)體系當(dāng)前的DDoS攻擊模式已經(jīng)與5-10年前有很大的不同。早期的DDoS攻擊主要集中在第3層或第4層（協(xié)議和傳輸層）的容量攻擊。如今DDoS攻擊有許多不同的類型，每種類型都針對不同的層（網(wǎng)絡(luò)層、傳輸層、會話層、應(yīng)用層）或多層攻擊組合。此外，攻擊者正在尋找使網(wǎng)站無法訪問合法流量的新方法和利用漏洞的致命方法，從而策劃高度復(fù)雜的攻擊。在這種情況下，無法通過簡單地增加網(wǎng)絡(luò)帶寬或使用傳統(tǒng)防火墻來阻止DDoS攻擊。您需要一個(gè)全面的、多模塊的、多層次的DDoS防護(hù)方案來規(guī)避各種攻擊，包括應(yīng)用層DDoS攻擊。因此解決方案必須具有可擴(kuò)展性，并具有內(nèi)置冗余、流量監(jiān)控功能、業(yè)務(wù)邏輯缺陷檢測和漏洞管理功能。步驟2：避免成為肉雞攻擊者使用的一種常見策略是DDoS僵尸網(wǎng)絡(luò)，這是一個(gè)由遠(yuǎn)程控制的受感染設(shè)備組成的網(wǎng)絡(luò)，可向目標(biāo)發(fā)送大量流量。假設(shè)機(jī)器因DDoS攻擊而關(guān)閉，可能系統(tǒng)會遭到破壞并被用作肉雞。為了避免成為肉雞，必須做好對應(yīng)的防范如下：設(shè)備和軟件保持最新；使用強(qiáng)而獨(dú)特的密碼；小心可疑的電子郵件和附件；使用信譽(yù)良好的反惡意軟件解決方案；使用信譽(yù)良好的VPN。步驟3：識別攻擊類型通過了解每種攻擊類型的特征并快速識別它們，DDoS保護(hù)程序可以實(shí)時(shí)響應(yīng)，在攻擊造成重大損害之前有效地緩解攻擊。識別攻擊類型允許更有針對性和有效的防御機(jī)制，例如過濾特定流量或阻止惡意IP地址。此外及早識別攻擊類型有助于預(yù)測和預(yù)防未來的攻擊并改善整體安全態(tài)勢，因此在攻擊者發(fā)動攻擊之前就識別攻擊類型的能力是DDoS保護(hù)程序不可或缺的一部分。一般來說局域網(wǎng)可能會遇到三種常見的DDoS攻擊類型：a.應(yīng)用層（L7）攻擊或HTTP泛洪攻擊這種應(yīng)用層攻擊針對具有來自多個(gè)來源的請求的應(yīng)用程序。此類攻擊會生成大量POST、GET或HTTP請求，導(dǎo)致服務(wù)停機(jī)數(shù)小時(shí)至數(shù)周不等。由于成本低且易于操作，應(yīng)用層攻擊被廣泛用于電子商務(wù)、銀行和創(chuàng)業(yè)網(wǎng)站等。b.UDP放大攻擊攻擊者使用開放的NTP請求流量以阻塞目標(biāo)服務(wù)器或網(wǎng)絡(luò)。L3/L4（網(wǎng)絡(luò)或傳輸）上的這種流量隨著有效負(fù)載流量而增強(qiáng)，并且與請求大小相比是巨大的，因此會使服務(wù)不堪重負(fù)而宕機(jī)。c.DNS泛洪攻擊DNS泛洪是針對將域名轉(zhuǎn)換為IP地址的DNS（域名系統(tǒng)）服務(wù)器的DDoS攻擊。這種攻擊旨在通過大流量淹沒DNS服務(wù)器，使合法用戶無法訪問目標(biāo)網(wǎng)站或在線服務(wù)。步驟4：創(chuàng)建DDoS攻擊威脅模型DDoS攻擊威脅模型是一種結(jié)構(gòu)化方法，用于識別和分析DDoS攻擊給您的在線服務(wù)或網(wǎng)站帶來的潛在風(fēng)險(xiǎn)。大多數(shù)互聯(lián)網(wǎng)企業(yè)都在努力處理網(wǎng)絡(luò)資源庫存，以跟上不斷增長的增長和客戶需求。新的門戶網(wǎng)站、支付網(wǎng)關(guān)、應(yīng)用系統(tǒng)、營銷領(lǐng)域和其他資源經(jīng)常被不斷創(chuàng)建和淘汰。確定想要保護(hù)的資產(chǎn)——?jiǎng)?chuàng)建一個(gè)數(shù)據(jù)庫，其中包含想要防止DDoS攻擊的所有Web資產(chǎn)，作為清單。它應(yīng)該包含網(wǎng)絡(luò)詳細(xì)信息、正在使用的協(xié)議、域、應(yīng)用程序的數(shù)量、它們的使用、最后更新的版本等。定義潛在的攻擊者——定義可能以資產(chǎn)為目標(biāo)的潛在攻擊者，例如網(wǎng)絡(luò)黑客、競爭對手或民族國家行為者。確定攻擊向量——確定攻擊者可以用來發(fā)起DDoS攻擊的各種攻擊向量，如UDP泛洪、SYN泛洪或HTTP泛洪。確定攻擊面——確定資產(chǎn)的攻擊面，包括網(wǎng)絡(luò)拓?fù)?、硬件基礎(chǔ)設(shè)施和軟件堆棧。評估風(fēng)險(xiǎn)級別——通過評估攻擊發(fā)生的概率、攻擊的潛在影響以及檢測和緩解攻擊的可能性來評估每個(gè)攻擊向量的風(fēng)險(xiǎn)級別。步驟5：設(shè)置網(wǎng)絡(luò)資源優(yōu)先級所有的網(wǎng)絡(luò)資源都是平等的還是希望首先保護(hù)哪些資源？從指定Web資源的優(yōu)先級和重要性開始。例如以業(yè)務(wù)和數(shù)據(jù)為中心的Web資產(chǎn)應(yīng)置于具有24h*7ddDDoS關(guān)鍵保護(hù)之下。比如可以設(shè)置三個(gè)等級的網(wǎng)絡(luò)資源：關(guān)鍵：放置所有可能危及商業(yè)交易或您的聲譽(yù)的資產(chǎn)，黑客通常有更高的動機(jī)首先針對這些資源。高級：此等級應(yīng)包括可能妨礙日常業(yè)務(wù)運(yùn)營的Web資產(chǎn)。正常：此處包含其他所有內(nèi)容。廢置：可以為不再使用的域、網(wǎng)絡(luò)、應(yīng)用程序和其他服務(wù)創(chuàng)建新的分類并盡快將其移出業(yè)務(wù)運(yùn)營網(wǎng)絡(luò)。步驟6：減少攻擊面暴露通過減少暴露給攻擊者的面，可以最大限度地減少他們編排DDoS攻擊的范圍/選項(xiàng)。因此，請保護(hù)您的關(guān)鍵資產(chǎn)、應(yīng)用程序和其他資源、端口、協(xié)議、服務(wù)器和其他入口點(diǎn)，以免直接暴露給攻擊者。有許多策略可用于最小化攻擊面暴露：a.您可以在網(wǎng)絡(luò)中分離和分配資產(chǎn)，使其更難成為目標(biāo)。例如，您可以將Web服務(wù)器放在公共子網(wǎng)中，但底層數(shù)據(jù)庫服務(wù)器應(yīng)位于私有子網(wǎng)中。此外您可以限制從您的Web服務(wù)器訪問數(shù)據(jù)庫服務(wù)器，而不是其他主機(jī)。b.對于可通過Internet訪問的站點(diǎn)，您也可以通過限制訪問用戶所在國家/地區(qū)的流量來減少表面積。c.利用負(fù)載均衡器保護(hù)Web服務(wù)器和計(jì)算資源免受暴露，方法是將它們置于其后。d.通過刪除任何不相關(guān)/不相關(guān)的服務(wù)、不必要的功能、遺留系統(tǒng)/流程等，保持應(yīng)用程序/網(wǎng)站清潔，攻擊者經(jīng)常利用這些作為切入點(diǎn)。步驟7：強(qiáng)化網(wǎng)絡(luò)架構(gòu)鍵的DDoS保護(hù)最佳實(shí)踐之一是使基礎(chǔ)設(shè)施和網(wǎng)絡(luò)能夠處理任何雷鳴般的浪涌或流量突然激增。通常建議購買更多帶寬作為一種選擇。然而，因?yàn)榫薮蟮某杀緦?dǎo)致這不是一個(gè)實(shí)用的解決方案。建議加入彈性的CDN服務(wù)來幫助利用全球分散的網(wǎng)絡(luò)并構(gòu)建能夠處理突發(fā)流量高峰的冗余資源。步驟8：了解警告標(biāo)志DDoS攻擊包括一些很明顯的網(wǎng)絡(luò)癥狀。比如一些常見的DDoS攻擊癥狀是Internet上的連接不穩(wěn)定、網(wǎng)站間歇性關(guān)閉和Internet斷開連接。如果這些問題比較嚴(yán)重和持續(xù)時(shí)間較長，則網(wǎng)絡(luò)很可能受到DDoS攻擊，必須采取適當(dāng)?shù)腄DoS攻擊防范措施。以下是您可能受到分布式拒絕服務(wù)(DDoS)攻擊的一些警告信號：異常高的流量；緩慢或無響應(yīng)的網(wǎng)站；網(wǎng)絡(luò)連接問題；不尋常的交通模式；意外的服務(wù)器錯(cuò)誤；資源使用異常激增。步驟9：黑洞路由黑洞路由是一種用于通過在惡意流量到達(dá)目標(biāo)網(wǎng)絡(luò)或服務(wù)器之前丟棄惡意流量來防止分布式拒絕服務(wù)（DDoS）攻擊的技術(shù)。這涉及到將路由器或交換機(jī)配置為將流量發(fā)送到一個(gè)空接口，即“黑洞”，從而有效地減少流量。黑洞路由通常用于阻止來自被識別為攻擊源的特定IP地址或子網(wǎng)的流量。雖然黑洞路由是一種被動措施，但它可以有效地減輕DDoS攻擊的影響。但需要注意的是，黑洞路由應(yīng)與其他主動步驟一起使用，以防止DDoS攻擊。步驟10：速率限制速率限制是一種用于通過限制發(fā)送到網(wǎng)絡(luò)或服務(wù)器的流量來防止分布式拒絕服務(wù)（DDoS）攻擊的技術(shù)。這涉及到限制在指定的時(shí)間范圍內(nèi)可以進(jìn)行的請求或連接的數(shù)量。當(dāng)達(dá)到限制時(shí)，多余的流量會被丟棄或延遲。速率限制可以在各種級別上實(shí)現(xiàn)，例如在網(wǎng)絡(luò)、應(yīng)用程序或DNS層上。通過限制可以發(fā)送到網(wǎng)絡(luò)或服務(wù)器的流量，速率限制有助于防止可能導(dǎo)致DDoS攻擊的資源過載。但是謹(jǐn)慎配置速率限制以避免阻塞合法流量是很重要的?；诘乩淼脑L問限制、基于信譽(yù)評分的訪問限制等基于實(shí)時(shí)見解的措施在預(yù)防DDoS攻擊方面發(fā)揮了很大作用。步驟11：日志監(jiān)測與分析如何通過日志監(jiān)控來阻止DDoS攻擊?？焖贆z測威脅是DDoS保護(hù)的最佳做法之一，因?yàn)樗鼈兲峁┝擞嘘P(guān)網(wǎng)絡(luò)流量的數(shù)據(jù)和統(tǒng)計(jì)數(shù)據(jù)。日志文件包含具有充足信息的數(shù)據(jù)，可有效地實(shí)時(shí)檢測威脅。使用日志分析工具檢測DDoS威脅還有其他好處，如使DDoS補(bǔ)救過程快速而簡單。在列出網(wǎng)站時(shí)，流量統(tǒng)計(jì)數(shù)據(jù)會顯示流量激增的日期和時(shí)間，以及哪些服務(wù)器受到了攻擊的影響。日志分析可以通過預(yù)先通知不需要的事件的狀態(tài)來減少故障排除時(shí)間，從而為您節(jié)省時(shí)間。一些智能日志管理工具還提供了快速補(bǔ)救和減輕成功DDoS攻擊造成的損害所需的信息步驟12：制定DDoS抵御計(jì)劃抵御DDoS攻擊并不會限制預(yù)防和緩解，由于DDoS攻擊旨在關(guān)閉完整操作，因此大多數(shù)DDoS保護(hù)技術(shù)都與打擊攻擊有關(guān)。將災(zāi)難恢復(fù)規(guī)劃實(shí)踐作為定期運(yùn)營維護(hù)的一部分，該計(jì)劃應(yīng)側(cè)重于技術(shù)能力和全面的計(jì)劃，該計(jì)劃概述了如何在成功的DDoS攻擊的壓力下確保業(yè)務(wù)連續(xù)性。災(zāi)難恢復(fù)站點(diǎn)必須是恢復(fù)計(jì)劃的一部分。作為臨時(shí)站點(diǎn)的DR站點(diǎn)應(yīng)具有您的數(shù)據(jù)的當(dāng)前備份。恢復(fù)計(jì)劃還應(yīng)包括關(guān)鍵細(xì)節(jié)，如恢復(fù)方法、關(guān)鍵數(shù)據(jù)備份的維護(hù)位置以及誰負(fù)責(zé)哪些任務(wù)。步驟13：獲取DDoS防護(hù)工具幫助檢測和保護(hù)關(guān)鍵網(wǎng)絡(luò)資源免受DDoS攻擊的工具。這些工具屬于不同的類別——檢測和緩解。攻擊檢測：無論攻擊的層次如何，緩解措施都取決于在虛假流量激增造成嚴(yán)重破壞之前檢測到它們的能力。大多數(shù)DDoS保護(hù)工具都依賴于簽名和源詳細(xì)信息來警告。它們依賴于達(dá)到臨界質(zhì)量的流量，這會影響服務(wù)的可用性。然而，僅檢測是不夠的，需要手動干預(yù)來查看數(shù)據(jù)并應(yīng)用保護(hù)規(guī)則。自動緩解：DDoS保護(hù)是否可以自動化？許多防DDoS解決方案基于預(yù)先配置的規(guī)則和策略來引導(dǎo)或阻止虛假流量。雖然在應(yīng)用程序或網(wǎng)絡(luò)層上自動過濾不良流量是可取的，但攻擊者已經(jīng)找到了擊敗這些策略的新方法，尤其是在應(yīng)用程序?qū)?。步驟14：降低對傳統(tǒng)防火墻的依賴盡管傳統(tǒng)防火墻具有內(nèi)置的抗DDoS功能，但它們只有一種DDoS阻止方法——閾值做法，即在達(dá)到最大閾值限制時(shí)阻止特定端口，所以傳統(tǒng)防火墻在DDoS保護(hù)中經(jīng)常失敗。步驟15：部署Web應(yīng)用程序防火墻Web應(yīng)用程序防火墻（WAF）是抵御所有DDoS攻擊的絕佳防御措施。它阻止惡意流量試圖阻止應(yīng)用程序中的漏洞。WAF通過安全專家的全天候監(jiān)控支持DDoS保護(hù)解決方案，以識別虛假流量激增并在不影響合法流量的情況下阻止它們?？梢栽诨ヂ?lián)網(wǎng)和原始服務(wù)器之間放置WAF。WAF可以充當(dāng)反向代理，通過讓客戶端在到達(dá)服務(wù)器之前通過它們來保護(hù)服務(wù)器不被暴露。使用WAF，您可以快速實(shí)現(xiàn)自定義規(guī)則以應(yīng)對攻擊并減輕攻擊，從而使流量在到達(dá)服務(wù)器之前就被丟棄，從而從服務(wù)器上卸載。練習(xí)及思考題思考題1：DDOS常見的類型有哪些？思考題2：然后判斷是否被DDoS攻擊？（五）項(xiàng)目考核在實(shí)訓(xùn)項(xiàng)目考核中，要做到成績考核與評定的“標(biāo)準(zhǔn)統(tǒng)一、方法科學(xué).過程公正、結(jié)果客觀”，在實(shí)訓(xùn)成績考核與評定時(shí)，主要考核以下內(nèi)容：（1）考核學(xué)生的學(xué)習(xí)和實(shí)訓(xùn)態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實(shí)訓(xùn)情況；（2）對相關(guān)專業(yè)的基本知識和操作技能、技巧理解和運(yùn)用的程度；（3）考核學(xué)生的創(chuàng)新精神和團(tuán)隊(duì)協(xié)作能力；（4）考核學(xué)生解決實(shí)際問題的綜合能力和專業(yè)實(shí)訓(xùn)取得的成果。表一：項(xiàng)目實(shí)訓(xùn)學(xué)生實(shí)際操作評分表項(xiàng)目名稱：___________組別：___________得分：___________項(xiàng)目評價(jià)內(nèi)容要求分值得分實(shí)前(20分)記錄表格設(shè)計(jì)合理5及時(shí)認(rèn)真5著裝符合安全操作要求5進(jìn)實(shí)訓(xùn)室準(zhǔn)時(shí)5實(shí)訓(xùn)中(60分)實(shí)訓(xùn)操作按操作標(biāo)準(zhǔn)和注意事項(xiàng)規(guī)范操作20態(tài)度認(rèn)真5團(tuán)隊(duì)協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務(wù)，發(fā)現(xiàn)問題5并提出合理的解決方法5實(shí)訓(xùn)成效按規(guī)定時(shí)間完成任務(wù)10任務(wù)產(chǎn)品符合質(zhì)量標(biāo)準(zhǔn)10實(shí)訓(xùn)后(20分)設(shè)備耗材使用工具或設(shè)備無損壞5耗材用量未超過指標(biāo)要求5數(shù)據(jù)處理數(shù)癢據(jù)結(jié)果正確10合計(jì)100表二：項(xiàng)目實(shí)訓(xùn)綜合評價(jià)表項(xiàng)目名稱：___________組別：___________得分：___________評價(jià)項(xiàng)目分值得分1、學(xué)習(xí)目標(biāo)是否明確52、學(xué)習(xí)過程是否呈上升趨勢，不斷進(jìn)步103、是否能獨(dú)立地獲取信息，資料收集是否完善104、獨(dú)立制定、實(shí)施、評價(jià)工作方案情況20表三：項(xiàng)目實(shí)訓(xùn)報(bào)告姓名班級組別實(shí)訓(xùn)任務(wù)時(shí)間實(shí)訓(xùn)內(nèi)容練習(xí)及思考四、實(shí)訓(xùn)項(xiàng)目四：CC攻擊常見防御方法實(shí)訓(xùn)建議教學(xué)時(shí)間：2時(shí)（一）實(shí)訓(xùn)目的通過該實(shí)驗(yàn)了解CC攻擊的原理，掌握CC攻擊的基本方法和思路，能夠理解整個(gè)過程。（二）實(shí)訓(xùn)基本要求1.熟悉CC攻擊癥狀。2.掌握CC攻擊防御方法。（三）實(shí)訓(xùn)器材，設(shè)備和耗材工作任務(wù)所用工具和設(shè)備臺套數(shù)操作要領(lǐng)和注意事項(xiàng)CC攻擊常見防御方法一臺能連網(wǎng)的PC機(jī)，安裝有Windows操作系統(tǒng)1可以用多個(gè)方法確定CC攻擊癥狀，多管齊下有效防范CC攻擊（四）實(shí)訓(xùn)內(nèi)容任務(wù)一：CC攻擊癥狀CC攻擊有一定的隱蔽性，那如何確定服務(wù)器正在遭受或者曾經(jīng)遭受CC攻擊呢？我們可以通過以下三個(gè)方法來確定。（1）命令行法一般遭受CC攻擊時(shí)，Web服務(wù)器會出現(xiàn)80端口對外關(guān)閉的現(xiàn)象，因?yàn)檫@個(gè)端口已經(jīng)被大量的垃圾數(shù)據(jù)堵塞了正常的連接被中止了。我們可以通過在命令行下輸入命令netstat-an來查看，如果看到類似如下有大量顯示雷同的連接記錄基本就可以被CC攻擊了：TCP:80:2205SYN_RECEIVED4TCP:80:2205SYN_RECEIVED4TCP:80:2205SYN_RECEIVED4TCP:80:2205SYN_RECEIVED4TCP:80:2205SYN_RECEIVED4……其中“”就是被用來代理攻擊的主機(jī)的IP，“SYN_RECEIVED”是TCP連接狀態(tài)標(biāo)志，意思是“正在處于連接的初始同步狀態(tài)”，表明無法建立握手應(yīng)答處于等待狀態(tài)。這就是攻擊的特征，一般情況下這樣的記錄一般都會有很多條，表示來自不同的代理IP的攻擊。（2）批處理法上述方法需要手工輸入命令且如果Web服務(wù)器IP連接太多看起來比較費(fèi)勁，我們可以建立一個(gè)批處理文件，通過該腳本代碼確定是否存在CC攻擊。打開記事本鍵入如下代碼保存為CC.bat：@echoofftime/t>>stat-n-ptcp|find“:80″>>Log.lognotepadlog.logexit上面的腳本的含義是篩選出當(dāng)前所有的到80端口的連接。當(dāng)我們感覺服務(wù)器異常是就可以雙擊運(yùn)行該批處理文件，然后在打開的log.log文件中查看所有的連接。如果同一個(gè)IP有比較多的到服務(wù)器的連接，那就基本可以確定該IP正在對服務(wù)器進(jìn)行CC攻擊。（3）查看系統(tǒng)日志上面的兩種方法有個(gè)弊端，只可以查看當(dāng)前的CC攻擊，對于確定Web服務(wù)器之前是否遭受CC攻擊就無能為力了，此時(shí)我們可以通過Web日志來查，因?yàn)閃eb日志忠實(shí)地記錄了所有IP訪問Web資源的情況。通過查看日志我們可以Web服務(wù)器之前是否遭受CC攻擊，并確定攻擊者的IP然后采取進(jìn)一步的措施。Web日志一般在C:\WINDOWS\system32\LogFiles\HTTPERR目錄下，該目錄下用類似httperr1.log的日志文件，這個(gè)文件就是記錄Web訪問錯(cuò)誤的記錄。管理員可以依據(jù)日志時(shí)間屬性選擇相應(yīng)的日志打開進(jìn)行分析是否Web被CC攻擊了。默認(rèn)情況下，Web日志記錄的項(xiàng)并不是很多，可以通過IIS進(jìn)行設(shè)置，讓W(xué)eb日志記錄更多的項(xiàng)以便進(jìn)行安全分析。其操作步驟是：“開始→管理工具”打開“Internet信息服務(wù)器”，展開左側(cè)的項(xiàng)定位到到相應(yīng)的Web站點(diǎn)，然后右鍵點(diǎn)擊選擇“屬性”打開站點(diǎn)屬性窗口，在“網(wǎng)站”選項(xiàng)卡下點(diǎn)擊“屬性”按鈕，在“日志記錄屬性”窗口的“高級”選項(xiàng)卡下可以勾選相應(yīng)的“擴(kuò)展屬性”，以便讓W(xué)eb日志進(jìn)行記錄。比如其中的“發(fā)送的字節(jié)數(shù)”、“接收的字節(jié)數(shù)”、“所用時(shí)間”這三項(xiàng)默認(rèn)是沒有選中的，但在記錄判斷CC攻擊中是非常有用的，可以勾選。另外，如果你對安全的要求比較高，可以在“常規(guī)”選項(xiàng)卡下對“新日志計(jì)劃”進(jìn)行設(shè)置，讓其“每小時(shí)”或者“每一天”進(jìn)行記錄。為了便于日后進(jìn)行分析時(shí)好確定時(shí)間可以勾選“文件命名和創(chuàng)建使用當(dāng)?shù)貢r(shí)間”。任務(wù)二：CC攻擊防御方法確定Web服務(wù)器正在或者曾經(jīng)遭受CC攻擊，那如何進(jìn)行有效的防范呢?（1）更改Web端口一般情況下Web服務(wù)器通過80端口對外提供服務(wù)，因此攻擊者實(shí)施攻擊就以默認(rèn)的80端口進(jìn)行攻擊，所以，我們可以修改Web端口達(dá)到防CC攻擊的目的。運(yùn)行IIS管理器，定位到相應(yīng)站點(diǎn)，打開站點(diǎn)“屬性”面板，在“網(wǎng)站標(biāo)識”下有個(gè)TCP端口默認(rèn)為80，我們修改為其他的端口就可以了。（2）取消域名綁定一般cc攻擊都是針對網(wǎng)站的域名進(jìn)行攻擊，比如網(wǎng)站域名是“”，那么攻擊者就在攻擊工具中設(shè)定攻擊對象為該域名然后實(shí)施攻擊。對于這樣的攻擊措施是在IIS上取消這個(gè)域名的綁定，讓CC攻擊失去目標(biāo)。具體操作步驟是：打開“IIS管理器”定位到具體站點(diǎn)右鍵“屬性”打開該站點(diǎn)的屬性面板，點(diǎn)擊IP地址右側(cè)的“高級”按鈕，選擇該域名項(xiàng)進(jìn)行編輯，將“主機(jī)頭值”刪除或者改為其它的值(域名)。經(jīng)過模擬測試，取消域名綁定后Web服務(wù)器的CPU馬上恢復(fù)正常狀態(tài)，通過IP進(jìn)行訪問連接一切正常。但是不足之處也很明顯，取消或者更改域名對于別人的訪問帶來了不變，另外，對于針對IP的CC攻擊它是無效的，就算更換域名攻擊者發(fā)現(xiàn)之后，他也會對新域名實(shí)施攻擊。（3）域名欺騙解析如果發(fā)現(xiàn)針對域名的CC攻擊，可以把被攻擊的域名解析到這個(gè)地址上。是本地回環(huán)IP是用來進(jìn)行網(wǎng)絡(luò)測試的，如果把被攻擊的域名解析到這個(gè)IP上，就可以實(shí)現(xiàn)攻擊者自己攻擊自己的目的，這樣再多的肉雞或者代理也會宕機(jī)，讓其自作自受。另外，當(dāng)Web服務(wù)器遭受CC攻擊時(shí)，把被攻擊的域名解析到國家有權(quán)威的政府網(wǎng)站或者是網(wǎng)警的網(wǎng)站，讓其網(wǎng)警來處理他們。（4）組策略封閉IP段首先打開組策略控制臺，點(diǎn)擊開始--運(yùn)行g(shù)pedit.msc，打開本地組策略編輯器，在左側(cè)依次展開“計(jì)算機(jī)配置”--“Windows設(shè)置”--“安全設(shè)置”--“IP安全策略，在本地計(jì)算機(jī)”。然后新建IP安全策略，在窗口右側(cè)空白處，點(diǎn)擊右鍵，選擇“創(chuàng)建IP安全策略”，點(diǎn)擊下一步，名稱隨便寫，如輸入阻止，然后一直點(diǎn)下一步，出現(xiàn)提示點(diǎn)是，一直到完成，這個(gè)時(shí)候就創(chuàng)建了一個(gè)名為“阻止”的策略了。最后設(shè)置要封禁的IP地址，阻止屬性窗口點(diǎn)擊添加，選擇默認(rèn)設(shè)置，所有網(wǎng)絡(luò)連接，添加IP篩選器，采用默認(rèn)即可，在源地址中選擇“一個(gè)特定的P地址或網(wǎng)段”，在!P地址或子網(wǎng)中輸入你封禁的IP地址，目標(biāo)地址選擇“我的IP地址”，協(xié)議類型為任意，最后點(diǎn)“阻止”這個(gè)策略，右鍵，指派，到這里為止我們就已經(jīng)阻止了設(shè)置的網(wǎng)段了。（5）IIS屏蔽IP通過命令或在查看日志發(fā)現(xiàn)了CC攻擊的源IP，就可以在IIS中設(shè)置屏蔽該IP對Web站點(diǎn)的訪問，從而達(dá)到防范IIS攻擊的目的。在相應(yīng)站點(diǎn)的“屬性”面板中，點(diǎn)擊“目錄安全性”選項(xiàng)卡，點(diǎn)擊“IP地址和域名現(xiàn)在”下的“編輯”按鈕打開設(shè)置對話框。在此窗口中我們可以設(shè)置“授權(quán)訪問”也就是“白名單”，也可以設(shè)置“拒絕訪問”即“黑名單”。比如我們可以將攻擊者的IP添加到“拒絕訪問”列表中，就屏蔽了該IP對于Web的訪問。練習(xí)及思考題思考題1：了解cc攻擊和ddos攻擊區(qū)別？思考題2：cc攻擊是針對什么協(xié)議？（五）項(xiàng)目考核在實(shí)訓(xùn)項(xiàng)目考核中，要做到成績考核與評定的“標(biāo)準(zhǔn)統(tǒng)一、方法科學(xué).過程公正、結(jié)果客觀”，在實(shí)訓(xùn)成績考核與評定時(shí)，主要考核以下內(nèi)容：（1）考核學(xué)生的學(xué)習(xí)和實(shí)訓(xùn)態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實(shí)訓(xùn)情況；（2）對相關(guān)專業(yè)的基本知識和操作技能、技巧理解和運(yùn)用的程度；（3）考核學(xué)生的創(chuàng)新精神和團(tuán)隊(duì)協(xié)作能力；（4）考核學(xué)生解決實(shí)際問題的綜合能力和專業(yè)實(shí)訓(xùn)取得的成果。表一：項(xiàng)目實(shí)訓(xùn)學(xué)生實(shí)際操作評分表項(xiàng)目名稱：___________組別：___________得分：___________項(xiàng)目評價(jià)內(nèi)容要求分值得分實(shí)前(20分)記錄表格設(shè)計(jì)合理5及時(shí)認(rèn)真5著裝符合安全操作要求5進(jìn)實(shí)訓(xùn)室準(zhǔn)時(shí)5實(shí)訓(xùn)中(60分)實(shí)訓(xùn)操作按操作標(biāo)準(zhǔn)和注意事項(xiàng)規(guī)范操作20態(tài)度認(rèn)真5團(tuán)隊(duì)協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務(wù)，發(fā)現(xiàn)問題5并提出合理的解決方法5實(shí)訓(xùn)成效按規(guī)定時(shí)間完成任務(wù)10任務(wù)產(chǎn)品符合質(zhì)量標(biāo)準(zhǔn)10實(shí)訓(xùn)后(20分)設(shè)備耗材使用工具或設(shè)備無損壞5耗材用量未超過指標(biāo)要求5數(shù)據(jù)處理數(shù)據(jù)結(jié)果正確10合計(jì)100表二：項(xiàng)目實(shí)訓(xùn)綜合評價(jià)表項(xiàng)目名稱：___________組別：___________得分：___________評價(jià)項(xiàng)目分值得分1、學(xué)習(xí)目標(biāo)是否明確52、學(xué)習(xí)過程是否呈上升趨勢，不斷進(jìn)步103、是否能獨(dú)立地獲取信息，資料收集是否完善104、獨(dú)立制定、實(shí)施、評價(jià)工作方案情況20表三：項(xiàng)目實(shí)訓(xùn)報(bào)告姓名班級組別實(shí)訓(xùn)任務(wù)時(shí)間實(shí)訓(xùn)內(nèi)容練習(xí)及思考五、實(shí)訓(xùn)項(xiàng)目五：網(wǎng)絡(luò)安全縱深防御實(shí)訓(xùn)建議教學(xué)時(shí)間：2時(shí)（一）實(shí)訓(xùn)目的網(wǎng)絡(luò)安全縱深防御4個(gè)技術(shù)焦點(diǎn)區(qū)域是一個(gè)逐層遞進(jìn)的關(guān)系，從而形成一種縱深防御系統(tǒng)。因此，4個(gè)方面的應(yīng)用充分貫徹了縱深防御的思想，對整個(gè)信息系統(tǒng)的各個(gè)區(qū)域、各個(gè)層次，甚至在每一個(gè)層次內(nèi)部都部署了信息安全設(shè)備和安全機(jī)制，保證訪問者對每一個(gè)系統(tǒng)組件進(jìn)行訪問時(shí)都受到保障機(jī)制的監(jiān)視和檢測，以實(shí)現(xiàn)系統(tǒng)全方位的充分防御。（二）實(shí)訓(xùn)基本要求1.了解縱深防御體系遵循的原則。2.熟悉構(gòu)建縱深防御體系考慮的因素。3.掌握構(gòu)建縱深防御體系過程。（三）實(shí)訓(xùn)器材，設(shè)備和耗材工作任務(wù)所用工具和設(shè)備臺套數(shù)操作要領(lǐng)和注意事項(xiàng)網(wǎng)絡(luò)安全縱深防御一臺能連網(wǎng)的PC機(jī)，安裝有Windows操作系統(tǒng)1了解原則，考慮各種因素，進(jìn)行有效防御（四）實(shí)訓(xùn)內(nèi)容任務(wù)一：了解縱深防御體系遵循的原則任務(wù)情景描述：給定施工現(xiàn)場等高線，根據(jù)實(shí)際施工圖紙，收集并歸納相應(yīng)工程信息。主要包括項(xiàng)目的基本情況、標(biāo)高、場地用途及地質(zhì)資料，根據(jù)相關(guān)信息編寫整個(gè)計(jì)算過程。步驟1：多處設(shè)防：把網(wǎng)絡(luò)與基礎(chǔ)設(shè)施、飛地邊界、計(jì)算環(huán)境和支撐性基礎(chǔ)設(shè)施列為重點(diǎn)防護(hù)區(qū)域，實(shí)際中涉及路由器、防火墻、VPN、服務(wù)器、PC和應(yīng)用軟件等的保護(hù)。本地計(jì)算環(huán)境的防護(hù)以服務(wù)器和工作站為重點(diǎn)，屬于核心地帶。步驟2：分層防護(hù)：按照分層的網(wǎng)絡(luò)體系結(jié)構(gòu)，美軍對安全威脅充分分析評估，然后分層部署防護(hù)和檢測機(jī)制措施，形成梯次配置，提升攻擊被檢測出率，提高攻擊成本降低成功率。美海軍構(gòu)建起了以主機(jī)、局域網(wǎng)、廣域網(wǎng)、GIG、DoD-GIG網(wǎng)等五個(gè)設(shè)防區(qū)域，綜合運(yùn)用IPS、防火墻、XDR等分層措施實(shí)施防御。步驟3：細(xì)化標(biāo)準(zhǔn)：美DoD劃分了初、中、高三個(gè)強(qiáng)度等級，認(rèn)為縱深防御方案應(yīng)依據(jù)系統(tǒng)的重要性等級選取措施，如高等級的安全服務(wù)機(jī)制應(yīng)具備最嚴(yán)格的防護(hù)和最強(qiáng)的對抗措施，高等級安全方案必須達(dá)到要求：采用1類密碼用于加密和訪問控制，對稱密碼采用密鑰管理創(chuàng)建、控制和分發(fā)，非對稱密碼使用5類PKI認(rèn)證和硬件安全標(biāo)識保護(hù)私有密鑰和加密算法，所有產(chǎn)品均需通過國安部門認(rèn)證。任務(wù)二：熟悉構(gòu)建縱深防御體系考慮的因素步驟1：空間因素安全能力融入云、網(wǎng)、邊、端和用，邊指靠近用戶側(cè)的安全網(wǎng)關(guān)或資源池，端指部署在用戶終端或服務(wù)器上的安全能力，用指業(yè)務(wù)系統(tǒng)防護(hù)。構(gòu)建需要充分考慮覆蓋云網(wǎng)邊端用的安全和資源能力，才能構(gòu)筑起完整的縱深防御體系。步驟2：時(shí)間因素以IPDRR為例，Identify指識別安全需求，包括優(yōu)先級、風(fēng)險(xiǎn)識別、影響評估和資源優(yōu)先級劃分；Protect指保證業(yè)務(wù)連續(xù)性，防御機(jī)制能夠自動運(yùn)行；Detect指及時(shí)監(jiān)測發(fā)現(xiàn)攻擊，監(jiān)控業(yè)務(wù)和保護(hù)措施是否正常運(yùn)行；Respond指響應(yīng)和處理事件，包括事件調(diào)查、評估損害、收集證據(jù)、報(bào)告事件和應(yīng)急處置；Recover指恢復(fù)系統(tǒng)和修復(fù)漏洞，查找原因，開展預(yù)防和修復(fù)。步驟3：數(shù)據(jù)因素?cái)?shù)據(jù)安全作為獨(dú)立的安全要素日益凸顯，數(shù)據(jù)流通分為自身安全、活動安全和環(huán)境安全等三層面。自身安全需要對數(shù)據(jù)分類定級，活動安全則需提供全生命周期的防護(hù)、審計(jì)、溯源和運(yùn)營，構(gòu)建以數(shù)據(jù)為中心的可信流通環(huán)境。環(huán)境安全應(yīng)具備靜態(tài)防護(hù)能力，如授權(quán)、感知、防護(hù)等。任務(wù)三：構(gòu)建縱深防御體系過程基于網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、區(qū)域邊界、計(jì)算環(huán)境、支撐性基礎(chǔ)設(shè)施4個(gè)焦點(diǎn)領(lǐng)域，結(jié)合縱深防御的思想進(jìn)行信息安全防御，從而形成保障框架。步驟1：保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施網(wǎng)絡(luò)和其他基礎(chǔ)設(shè)施是信息系統(tǒng)及業(yè)務(wù)的支撐，是整個(gè)信息系統(tǒng)安全的基礎(chǔ)。應(yīng)采取措施確保網(wǎng)絡(luò)和基礎(chǔ)設(shè)施能穩(wěn)定可靠運(yùn)行，不會因故障和外界影響導(dǎo)致服務(wù)的中斷或數(shù)據(jù)延遲，確保在網(wǎng)絡(luò)中進(jìn)行傳輸?shù)墓驳?、私人的信息能正確地被接收者獲取，不會導(dǎo)致未受權(quán)的訪問、更改等。保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施防護(hù)措施包括但并不限于以下方式：合理規(guī)劃以確保骨干網(wǎng)可用性。使用安全的技術(shù)架構(gòu)，例如在使用無線網(wǎng)絡(luò)時(shí)考慮安全的技術(shù)架構(gòu)。使用冗余設(shè)備提高可用性。使用虛擬專網(wǎng)(VPN)保護(hù)通信。步驟2：保護(hù)區(qū)域邊界信息系統(tǒng)根據(jù)業(yè)務(wù)、管理方式和安全等級的不同，通?？梢詣澐譃槎鄠€(gè)區(qū)域，這些區(qū)或多或少都有與其他區(qū)域相連接的邊界。保護(hù)區(qū)域邊界關(guān)注的是如何對進(jìn)出這些區(qū)域邊界的數(shù)據(jù)流進(jìn)行有效的控制與監(jiān)視。要合理地將信息系統(tǒng)根據(jù)業(yè)務(wù)、管理方式和安全等級劃分不同的安全區(qū)域，并明確定義不同網(wǎng)絡(luò)區(qū)域間需要哪些數(shù)據(jù)傳遞。在此基礎(chǔ)上采取措施對數(shù)據(jù)進(jìn)行控制與監(jiān)視。通常采取的措施包括但并不限于以下方式：在區(qū)域邊界設(shè)置身份認(rèn)證和訪問控制措施，例如部署防火墻對來訪者進(jìn)行身份認(rèn)證。在區(qū)域邊界部署人侵檢測系統(tǒng)以發(fā)現(xiàn)針對安全區(qū)域內(nèi)的攻擊行為。在區(qū)域邊界部署防病毒網(wǎng)關(guān)以發(fā)現(xiàn)并過濾數(shù)據(jù)中的惡意代碼。使用VPN設(shè)備以確保安全的接人。部署抗拒絕服務(wù)攻擊設(shè)備以應(yīng)對拒絕服務(wù)攻擊。流量管理、行為管理等其他措施。步驟3：保護(hù)計(jì)算環(huán)境計(jì)算環(huán)境指信息系統(tǒng)中的服務(wù)器、客戶機(jī)及其中安裝的操作系統(tǒng)、應(yīng)用軟件等。保護(hù)計(jì)算環(huán)境通常采用身份鑒別、訪問控制、加密等一系列技術(shù)以確保計(jì)算環(huán)境內(nèi)的數(shù)據(jù)保密性、完整性、可用性、不可否認(rèn)性等。保護(hù)計(jì)算環(huán)境的措施包括但并不限于以下方式：安裝并使用安全的操作系統(tǒng)和應(yīng)用軟件。在服務(wù)器上部署主機(jī)入侵檢測系統(tǒng)、防病毒軟件及其他安全防護(hù)軟件。定期對系統(tǒng)進(jìn)行漏洞掃描或者補(bǔ)丁加固，以避免系統(tǒng)脆弱性。定期對系統(tǒng)進(jìn)行安全配置檢查，確保最優(yōu)配置。部署或配置對文件的完整性保護(hù)。定期對系統(tǒng)和數(shù)據(jù)進(jìn)行備份等。步驟4：支撐性基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施是提供安全服務(wù)的基礎(chǔ)設(shè)施及與之相關(guān)的一系列活動的綜合體。有兩種類型的支撐性基礎(chǔ)設(shè)施：密鑰管理基礎(chǔ)設(shè)施(KMI)/公鑰基礎(chǔ)設(shè)施(PKI)和檢測與響應(yīng)。KMI/PKI：提供支持密鑰、授權(quán)和證書管理的密碼基礎(chǔ)設(shè)施并能實(shí)現(xiàn)使用網(wǎng)絡(luò)服務(wù)人員確實(shí)的身份識別。檢測與響應(yīng)：提供入侵檢測、報(bào)告、分析、評估和響應(yīng)基礎(chǔ)設(shè)施，它能迅速檢測和響應(yīng)入侵、異常事件并提供運(yùn)行狀態(tài)的情況。練習(xí)及思考題思考題1：網(wǎng)絡(luò)安全縱深防御的價(jià)值有哪些？思考題2：網(wǎng)絡(luò)安全縱深防御五個(gè)狀態(tài)有哪些？（五）項(xiàng)目考核在實(shí)訓(xùn)項(xiàng)目考核中，要做到成績考核與評定的“標(biāo)準(zhǔn)統(tǒng)一、方法科學(xué).過程公正、結(jié)果客觀”，在實(shí)訓(xùn)成績考核與評定時(shí)，主要考核以下內(nèi)容：（1）考核學(xué)生的學(xué)習(xí)和實(shí)訓(xùn)態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實(shí)訓(xùn)情況；（2）對相關(guān)專業(yè)的基本知識和操作技能、技巧理解和運(yùn)用的程度；（3）考核學(xué)生的創(chuàng)新精神和團(tuán)隊(duì)協(xié)作能力；（4）考核學(xué)生解決實(shí)際問題的綜合能力和專業(yè)實(shí)訓(xùn)取得的成果。表一：項(xiàng)目實(shí)訓(xùn)學(xué)生實(shí)際操作評分表項(xiàng)目名稱：___________組別：___________得分：___________項(xiàng)目評價(jià)內(nèi)容要求分值得分實(shí)前(20分)記錄表格設(shè)計(jì)合理5及時(shí)認(rèn)真5著裝符合安全操作要求5進(jìn)實(shí)訓(xùn)室準(zhǔn)時(shí)5實(shí)訓(xùn)中(60分)實(shí)訓(xùn)操作按操作標(biāo)準(zhǔn)和注意事項(xiàng)規(guī)范操作20態(tài)度認(rèn)真5團(tuán)隊(duì)協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務(wù)，發(fā)現(xiàn)問題5并提出合理的解決方法5實(shí)訓(xùn)成效按規(guī)定時(shí)間完成任務(wù)10任務(wù)產(chǎn)品符合質(zhì)量標(biāo)準(zhǔn)10實(shí)訓(xùn)后(20分)設(shè)備耗材使用工具或設(shè)備無損壞5耗材用量未超過指標(biāo)要求5數(shù)據(jù)處理數(shù)癢據(jù)結(jié)果正確10合計(jì)100表二：項(xiàng)目實(shí)訓(xùn)綜合評價(jià)表項(xiàng)目名稱：___________組別：___________得分：___________評價(jià)項(xiàng)目分值得分1、學(xué)習(xí)目標(biāo)是否明確52、學(xué)習(xí)過程是否呈上升趨勢，不斷進(jìn)步103、是否能獨(dú)立地獲取信息，資料收集是否完善104、獨(dú)立制定、實(shí)施、評價(jià)工作方案情況20表三：項(xiàng)目實(shí)訓(xùn)報(bào)告姓名班級組別實(shí)訓(xùn)任務(wù)時(shí)間實(shí)訓(xùn)內(nèi)容練習(xí)及思考六、實(shí)訓(xùn)項(xiàng)目六：無線網(wǎng)絡(luò)安全之掃描實(shí)訓(xùn)建議教學(xué)時(shí)間：2時(shí)（一）實(shí)訓(xùn)目的無線網(wǎng)絡(luò)是黑客最經(jīng)常攻擊的目標(biāo)，一旦黑客成功入侵了無線網(wǎng)絡(luò)，造成的危害極大。要入侵一個(gè)網(wǎng)絡(luò)，首先需要進(jìn)行網(wǎng)絡(luò)掃描，查看附近的無線網(wǎng)絡(luò)，然后找準(zhǔn)目標(biāo)進(jìn)行一系列的攻擊手段。（二）實(shí)訓(xùn)基本要求1.了解無線網(wǎng)絡(luò)安全兩種掃描方式。2.掌握監(jiān)聽模式下掃描過程。（三）實(shí)訓(xùn)器材，設(shè)備和耗材工作任務(wù)所用工具和設(shè)備臺套數(shù)操作要領(lǐng)和注意事項(xiàng)無線網(wǎng)絡(luò)安全掃描裝有無線網(wǎng)卡的筆記本，路由器，所需工具軟件1無線網(wǎng)卡可以工作在多種模式之下，工具也很多。（四）實(shí)訓(xùn)內(nèi)容掃描網(wǎng)絡(luò)的工具分為主動式和被動式，主動式掃描是指向目標(biāo)主機(jī)發(fā)送“探測請求”數(shù)據(jù)分組，而被動式掃描相對主動式掃描來說更有優(yōu)勢，被動式掃描一般是在特定的信道上監(jiān)聽無線信號發(fā)送的任意數(shù)據(jù)分組，進(jìn)行進(jìn)一步分析。任務(wù)一：主動式掃描主動式掃描工具通常會周期性地發(fā)出一些探測請求數(shù)據(jù)分組。而客戶端在查找網(wǎng)絡(luò)的時(shí)候，也會發(fā)送探測請求的數(shù)據(jù)分組，探測請求既能讓客戶端尋找一個(gè)特定的網(wǎng)絡(luò)，又能讓客戶端找到所有的網(wǎng)絡(luò)。而大多數(shù)主動掃描工具只能找到“操作系統(tǒng)能通過主動掃描找到的網(wǎng)絡(luò)”，因此，主動掃描并不比操作系統(tǒng)自帶的更有效。更重要的是，如果一個(gè)網(wǎng)絡(luò)隱藏了自身的SSID，主動式掃描器就很難掃描到它，但是被動式掃描器如果多花一些步驟，還是能找到這個(gè)無線網(wǎng)絡(luò)。常用的主動式掃描工具有Vistumbler，這是Windows操作系統(tǒng)下一個(gè)不錯(cuò)的主動式掃描工具，它利用命令來獲取無線網(wǎng)絡(luò)信息。>netshwlanshownetworksmode=bssidVistumbler算是一款較新的開源掃描程序，Vistumbler能搜尋到計(jì)算機(jī)附近所有的無線網(wǎng)絡(luò)，并且在上面附加信息，如活躍程度、MAC地址、SSID、信號強(qiáng)度、頻道、認(rèn)證、加密和網(wǎng)絡(luò)類型。它可顯示基本的AP信息，包括精確的認(rèn)證和加密方式，甚至可顯示SSID和RSSI。Vistumbler還支持GPS設(shè)備，與當(dāng)?shù)夭煌腤i-Fi網(wǎng)絡(luò)連接，輸出其他格式的數(shù)據(jù)。任務(wù)二：被動式掃描簡單來說，被動式掃描就是被動監(jiān)聽，被動式掃描工具與主動式掃描工具不同，它自身是不會發(fā)送數(shù)據(jù)分組的。但被動式掃描工具的效果一般要比主動式掃描工具更好。被動式掃描需要將無線網(wǎng)卡置于Monitor模式，即監(jiān)測模式。無線網(wǎng)卡可以工作在多種模式之下，常見的有Master、Ad-hoc、Managed、Monitor等模式。Master又稱主模式，一些高端無線網(wǎng)卡支持主模式。這個(gè)模式允許無線網(wǎng)卡使用特制的驅(qū)動程序和軟件工作，作為其他設(shè)備的WAP。Ad-hoc又稱IBSS模式，是指在網(wǎng)絡(luò)中沒有可用AP時(shí)，兩臺或更多主機(jī)可以進(jìn)行互聯(lián)，從而進(jìn)行通信。Managed又稱被管理模式，是默認(rèn)模式，即當(dāng)無線客戶端連入AP后就使用的這個(gè)模式，在這個(gè)模式下，無線網(wǎng)卡只專注于接收從WAP發(fā)給自己的數(shù)據(jù)報(bào)文。Monitor又稱監(jiān)聽模式，此時(shí)的無線客戶端停止收發(fā)數(shù)據(jù)即無法上網(wǎng)，專心監(jiān)聽當(dāng)前頻段內(nèi)的數(shù)據(jù)分組，就可以通過Wireshark來捕獲別人的無線數(shù)據(jù)分組了。各個(gè)模式如何進(jìn)行工作，如圖8-9所示。圖8-9無線網(wǎng)卡多種模式我們可以用Airmon-ng工具使無線網(wǎng)卡進(jìn)入Monitor模式為例講解。步驟1：查看無線網(wǎng)卡使用Airmon-ng來開啟無線網(wǎng)卡的Monitor模式是十分方便的，且成功率較高。首先使用airmon-ngcheckkill命令殺死會影響Aircrack-ng的進(jìn)程，如network-manager。然后使用airmon-ngstartwlan0命令可開啟無線網(wǎng)卡的Monitor模式，wlan0是無線網(wǎng)卡的名稱，可以通過ifconfig來進(jìn)行查看，如圖8-10所示。圖8-10查看無線網(wǎng)卡步驟2：開啟Monitor模式使用Airmon-ng來開啟wlan0的Monitor模式，如圖8-11所示。圖8-11開啟Monitor模式步驟3：查看開啟后的無線網(wǎng)卡再來查看一下現(xiàn)在狀態(tài)的無線網(wǎng)卡，一般開啟后的無線網(wǎng)卡會重新命名成原來的名字+mon，意思就是該無線網(wǎng)卡是Monitor模式，如圖8-12所示。圖8-12開啟后的無線網(wǎng)卡步驟4：重新上網(wǎng)現(xiàn)在無線網(wǎng)卡已經(jīng)是處于了Monitor模式了，但是現(xiàn)在主機(jī)已經(jīng)不能上網(wǎng)了，這時(shí)需要重新上網(wǎng)的操作，首先將剛剛開啟的wlan0mon停下，然后開啟network-service就可以重新上網(wǎng)了。步驟5：常用的被動式掃描工具開啟了無線網(wǎng)卡的Monitor模式之后，被動式掃描工具就可以大顯神威了。常用的被動式掃描工具如下：（1）AirPcap工具AirPcap是Windows平臺上的無線分析、嗅探與破解工具，用來捕獲并分析802.11a/b/g/n的控制、管理和數(shù)據(jù)幀。所有的AirPcap適配器工作于完全被動模式下，在這種模式下，AirPcap可以捕獲一個(gè)頻道中的所有幀，包括數(shù)據(jù)幀、控制幀和管理幀。如果多個(gè)BSS共用一個(gè)頻道，那么只要在工作距離內(nèi)，AirPcap就可以捕獲這一頻道中的所有BSS的數(shù)據(jù)幀、控制幀、管理幀。AirPcap適配器在同一個(gè)時(shí)間內(nèi)只能捕獲一個(gè)頻道的數(shù)據(jù)。根據(jù)適配器功能的不同，用戶可以在AirPcap控制面板或Wireshark中的AdvancedWirelessSettings對話框設(shè)定捕獲不同的頻道。AirPcap適配器可以設(shè)定捕獲任何有效的802.11無線分組。（2）KisMAC工具KisMAC是一個(gè)開源的無線應(yīng)用，專為MacOS設(shè)計(jì)，它使用Monitor模式和被動掃描。（3）Kismet工具Kismet是一個(gè)基于Linux的無線網(wǎng)絡(luò)掃描程序，使用該工具可以測量周圍的無線信號，并查看所有可用的無線接入點(diǎn)。但在Linux操作系統(tǒng)下，使用最多的是Airodump-ng，Airodump-ng是Aircrack-ng這個(gè)強(qiáng)大的無線套件下捆綁的一個(gè)小組件，使用起來非常方便，只需要一條指令就可以探測周圍的無線網(wǎng)絡(luò)。在沒有開Monitor模式下，在終端輸入指令airodump-ngwlan0是可以掃描網(wǎng)絡(luò)的當(dāng)前網(wǎng)絡(luò)中的無線Wi-Fi。練習(xí)及思考題思考題1：WEP機(jī)制的應(yīng)用包括哪些內(nèi)容?思考題2：使用Aircrack-ng破解WPA--KPSK加密無線網(wǎng)絡(luò)步驟有哪些?（五）項(xiàng)目考核在實(shí)訓(xùn)項(xiàng)目考核中，要做到成績考核與評定的“標(biāo)準(zhǔn)統(tǒng)一、方法科學(xué).過程公正、結(jié)果客觀”，在實(shí)訓(xùn)成績考核與評定時(shí)，主要考核以下內(nèi)容：（1）考核學(xué)生的學(xué)習(xí)和實(shí)訓(xùn)態(tài)度、遵守操作規(guī)程、安全文明生產(chǎn)實(shí)訓(xùn)情況；（2）對相關(guān)專業(yè)的基本知識和操作技能、技巧理解和運(yùn)用的程度；（3）考核學(xué)生的創(chuàng)新精神和團(tuán)隊(duì)協(xié)作能力；（4）考核學(xué)生解決實(shí)際問題的綜合能力和專業(yè)實(shí)訓(xùn)取得的成果。表一：項(xiàng)目實(shí)訓(xùn)學(xué)生實(shí)際操作評分表項(xiàng)目名稱：___________組別：___________得分：___________項(xiàng)目評價(jià)內(nèi)容要求分值得分實(shí)前(20分)記錄表格設(shè)計(jì)合理5及時(shí)認(rèn)真5著裝符合安全操作要求5進(jìn)實(shí)訓(xùn)室準(zhǔn)時(shí)5實(shí)訓(xùn)中(60分)實(shí)訓(xùn)操作按操作標(biāo)準(zhǔn)和注意事項(xiàng)規(guī)范操作20態(tài)度認(rèn)真5團(tuán)隊(duì)協(xié)作，遇到困難積極與組員溝通和交流5問題處理積極思考任務(wù)，發(fā)現(xiàn)問題5并提出合理的解決方法5實(shí)訓(xùn)成效按規(guī)定時(shí)間完成任務(wù)10任務(wù)產(chǎn)品符合質(zhì)量標(biāo)準(zhǔn)10實(shí)訓(xùn)后(20分)設(shè)備耗材使用工具或設(shè)備無損壞5耗材用量未超過指標(biāo)要求5數(shù)據(jù)處理數(shù)癢據(jù)結(jié)果正確10合計(jì)100表二：項(xiàng)目實(shí)訓(xùn)綜合評價(jià)表項(xiàng)目名稱：___________組別：___________得分：___________評價(jià)項(xiàng)目分值得分1、學(xué)習(xí)目標(biāo)是否明確52、學(xué)習(xí)過程是否呈上升趨勢，不斷進(jìn)步103、是否能獨(dú)立地獲取信息，資料收集是否完善104、獨(dú)立制定、實(shí)施、評價(jià)工作方案情況20表三：項(xiàng)目實(shí)訓(xùn)報(bào)告姓名班級組別實(shí)訓(xùn)任務(wù)時(shí)間實(shí)訓(xùn)內(nèi)容練習(xí)及思考七、實(shí)訓(xùn)項(xiàng)目七：項(xiàng)目實(shí)訓(xùn)局域網(wǎng)安全防護(hù)實(shí)戰(zhàn)建議教學(xué)時(shí)間：2時(shí)（一）實(shí)訓(xùn)目的場地標(biāo)高設(shè)計(jì)與場地平整計(jì)算實(shí)訓(xùn)，學(xué)生通過給定的施工現(xiàn)場工程項(xiàng)目，完成場地的標(biāo)高主設(shè)計(jì)與場地平整工程土方量的計(jì)算，進(jìn)一步加深了解場地標(biāo)高設(shè)計(jì)原則及場地土方量計(jì)算程序，拓展學(xué)生在土方工程方面的專業(yè)技能，為今后的學(xué)習(xí)、工作打下堅(jiān)實(shí)的基礎(chǔ)。（二）實(shí)訓(xùn)基本要求1.能區(qū)分不同類局域網(wǎng)防護(hù)工具2.掌握局域網(wǎng)安全防護(hù)工具靈活應(yīng)用的能力。（三）實(shí)訓(xùn)器材，設(shè)備和耗材工作任務(wù)所用工具和設(shè)備臺套數(shù)操作要領(lǐng)和注意事項(xiàng)局域網(wǎng)安全防護(hù)實(shí)戰(zhàn)一臺能連網(wǎng)的PC機(jī)，安裝有Windows操作系統(tǒng)，所需軟件工具1各種工具應(yīng)用場景特點(diǎn)不同，能根據(jù)不同環(huán)境靈活使用。（四）實(shí)訓(xùn)內(nèi)容任務(wù)一：Web安全類局域網(wǎng)防護(hù)工具任務(wù)情景描述：Web類工具主要是通過各種掃描工具，發(fā)現(xiàn)web站點(diǎn)存在的各種漏洞如sql注入、XSS等，從而獲取系統(tǒng)權(quán)限，常用的工具如下：步驟1：Nmapnmap是我們首先使用的一款工具。利用此工具可以掃描站點(diǎn)對應(yīng)的IP，已經(jīng)開啟的端口、服務(wù)、操作系統(tǒng)等信息。同時(shí)可以用