
前言

当前的互联网是一个泛在网、广域网，绝大多数网络基础设施为民用设施，网络的终端延伸到千家万户的计算机和亿万民众的手机上，网络的应用深入到人们的日常生活中。各个网络之间高度关联，相互依赖，网络犯罪分子或敌对势力可以从互联网的任何一个节点入侵某个特定的计算机或网络实施破坏活动，轻则损害个人或企业的利益，重则危害社会公共利益和国家安全。因此，传统的安全保护方法，如装几个安全设备和安全软件，或者将某个个人或单位重点保护起来，已经无法满足网络安全保障的需要。
如何防御外来攻击呢？知己知彼，百战不殆，只有熟悉攻击才能更好地防御。专门讲述攻防实例的教材很少，基于这种原因，我们编写了此教材，去除复杂的理论知识，尽量不过多深入到系统原理，避免庞大的理论知识体系使学生学习困难，每个项目均配备了大量的实际操作截图并录制了教学视频。
“网络攻防”课程已经成为网络空间安全专业、计算机专业、网络工程专业的必修课程。本书可作为本科院校、高等职业院校、成人教育网络空间安全专业的教材，也可作为网络空间安全培训教材。
全书分为17个项目，涵盖了网络攻防的大部分知识技能，为学生日后从事网络空间安全的相关工作打下坚实的基础，具体内容介绍如下。
项目1介绍了网络封包分析工具Wireshark及其应用，具体包括数据链路层过滤、网络层过滤、传输层过滤、应用层过滤及网络安全分析实例——ARP欺骗及防御ARP欺骗。
项目2介绍了超级字典生成器Superdic。字典生成器对于网络攻防非常重要，好的字典会起到事半功倍的效果。
项目3介绍了Advanced Archive PassWord Recovery（ARCHPR）口令恢复工具，和Superdic一起使用，破解Office加密文件的密码。
项目4介绍了Advanced Office PassWord Recovery（AOPR）Office密码破解工具，和Superdic一起使用，破解Office加密文件的密码。
项目5首先介绍了Kali Linux操作系统。Kali Linux预装了许多渗透测试工具，在攻防上使用广泛。其次介绍了网络扫描Nmap应用，及在Linux下添加IPtables规则防御Nmap扫描。
项目6介绍了基于Kali Linux的Metasploit安全漏洞检测工具ftp_login模块，如何破解FTP服务及对应的防御步骤。
项目7介绍了基于Kali Linux的Metasploit安全漏洞检测工具ssh_login模块，如何破解服务器Ubuntu Linux的SSH服务及对应的防御步骤。
项目8介绍了基于Kali Linux的Metasploit安全漏洞检测工具mysql_login模块， 破解基于Ubuntu Linux的MySQL服务器和基于Windows的MySQL服务器密码及其防御步骤。
项目9介绍了Microsoft Windows远程桌面协议RDP远程代码执行ms12020漏洞，利用漏洞攻击，可导致服务器BSOD（计算机蓝屏死机）。
项目10介绍了Windows服务器中的ms08067漏洞，此漏洞可导致被攻击的服务器死机。
项目11介绍了SQL注入漏洞。利用基于Kali Linux Sqlmap及Burpsuite工具对OWASP服务器进行SQL注入漏洞攻击及其防御措施。
项目12介绍了XSS跨站脚本攻击及其防御。对OWASP服务器进行XSS跨站脚本攻击，往Web页面里插入恶意HTML代码，当用户浏览该页时，嵌入Web中的HTML代码会被执行，从而达到恶意攻击用户的特殊目的。
项目13介绍了基于Kali Linux的工具weevely，利用木马入侵网站服务器OWASP，获取服务器系统的信息。
项目14介绍了基于Ubuntu Linux 16.04下的Tomcat漏洞攻击，上传木马文件到服务器及其对应的防御步骤。
项目15介绍了利用OWASP Broken Web Apps 网站服务器的漏洞，上传一句话木马文件，成功入侵网站，利用中国菜刀软件连接该网站并获取文件管理功能。
项目16介绍了利用木马进行系统提权，通过IIS解析漏洞上传木马文件，使用动易2006软件搭建网站作为靶机，利用中国菜刀软件连接上传的木马，利用巴西烤肉软件获得管理员权限。
项目17介绍了Ubuntu Linux系统的安全设置，以及防火墙IPtables和Tcp_wrappers的设置及应用。
本书由马丽梅、王方伟、徐峰主编，全书由马丽梅统稿、定稿。杨晓琪完成视频的整理。虽然有多年的教学知识积累和实践经验，但在写作的过程中自己依然感到所学甚浅，不胜惶恐，本书不足之处在所难免，敬请广大读者批评指正。
在本书的编写过程中吸取了许多网络攻防方面的专著、论文的思想，得到了许多老师的帮助，在此一并感谢。
为了方便教学，书中涉及的所有软件和课件可以到清华大学出版社网站下载。本书配套的微课视频，读者可先扫描封底刮刮卡中的二维码获得权限，再扫描文中对应章节处的二维码即可观看。
编者
2021年10月