《网络安全入门实战手册》
0经验转行网络安全,个人分享一下学习中总结的文档,以下为目录可以点击标题看对应文章,欢迎评论区讨论,后期会发更多安全相关的学习资料等。希望跟大家一起进步。
第1章:网络安全基础知识
1、什么是网络安全?
- 定义与重要性
- 常见威胁类型(恶意软件、钓鱼、DDoS等)
- 法律法规与道德规范(如《网络安全法》)
2、网络基础概念
- IP地址、端口、协议(TCP/UDP/HTTP/HTTPS)
- OSI模型与TCP/IP协议栈
- 常用术语(漏洞、渗透测试、防火墙、VPN)
第2章:环境搭建与工具准备
1、虚拟机与实验环境
- 安装VirtualBox/VMware
- 配置Kali Linux(渗透测试系统)
- 部署Metasploitable(漏洞靶机)
2、常用工具安装
- Nmap(端口扫描)
- Wireshark(流量分析)
- Burp Suite(Web渗透测试)
- Metasploit(漏洞利用框架)
第3章:信息收集与漏洞扫描
1、被动信息收集
- 使用Whois查询域名信息
- Google Hacking技巧(搜索敏感文件)
- 社会工程学信息(LinkedIn、社交媒体)
2、主动信息收集
- Nmap扫描端口与服务
- 使用Shodan搜索暴露的设备
3、漏洞扫描
- OpenVAS配置与扫描
- Nessus基础操作
第4章:攻击与防御实战
1、暴力破解攻击
- 使用Hydra破解SSH/FTP密码
- 防御措施:启用双因素认证、限制登录尝试次数
2、中间人攻击(MITM)
- 使用Ettercap进行ARP欺骗
- 防御措施:使用HTTPS、部署ARP监控工具
3、Web攻击
- SQL注入实战(使用DVWA靶场)
- XSS跨站脚本攻击(弹窗Payload)
- 防御措施:输入过滤、预编译语句(如SQL参数化查询)
4、漏洞利用
- 使用Metasploit攻击永恒之蓝(MS17-010)
第5章:防御与加固
1、操作系统安全
- Windows:关闭高危端口、启用防火墙
- Linux:禁用root远程登录、配置iptables
2、Web服务器加固
- Apache/Nginx配置(禁用目录遍历、隐藏版本号)
- 使用ModSecurity防御Web攻击
3、加密与认证
- SSL/TLS证书配置(Let's Encrypt)
- SSH密钥对登录替代密码
第6章:持续学习与资源
1、进阶路径
- 考取认证(CEH、CISSP、OSCP)
- CTF比赛(Hack The Box、CTFtime)
2、推荐资源
- 书籍:《Metasploit渗透测试指南》《Web安全攻防》
- 在线课程:Cybrary、Offensive Security
- 社区:Reddit/r/netsec、FreeBuf
附录:注意事项
- 合法授权:所有操作需在授权环境中进行,禁止未经许可的渗透测试。
- 虚拟机隔离:实验环境需与真实网络隔离,避免误操作。
- 备份数据:操作前备份重要文件,防止数据丢失。
通过本手册,初学者可以掌握网络安全的核心技能,从基础理论到实战操作逐步深入,最终具备基础的攻防能力。