《网络安全技术》（徐照兴）489-7教案 第三章 网络攻击技术（三）

第课网络攻击技术（三）PAGE第课网络攻击技术（三）PAGE4998网络攻击技术（三）第课PAGE598网络攻击技术（三）第课PAGE5

课题网络攻击技术（三）课时2课时（90min）教学目标知识技能目标：（1）掌握网络隐身的概念和常用方法。（2）掌握植入后门和清除攻击痕迹的方法。（3）了解实施攻击的操作和攻击的作用点类型。思政育人目标：通过对网络攻击技术的介绍，让学生懂得维护网络安全刻不容缓，网络安全不仅关系到我们的个人利益更关系到国家利益，作为新时代的接班人，一定要承担起责任；在享受高科技带来便利的同时，时刻保持警惕，树立忧患意识。教学重难点教学重点：网络隐身的概念教学难点：（1）网络隐身的方法（2）植入后门和清除攻击痕迹的方法教学方法问答法、演示法、讲授法教学用具电脑、投影仪、多媒体课件、教材教学设计第1节课：传授新知（25min）

教学演示（8min）第2节课：传授新知（20min）教学演示（15min）

课堂小结（3min）

作业布置（2min）教学过程主要教学内容及步骤设计意图第一节课课前任务【教师】和学生负责人取得联系，布置课前任务复习上节课所学内容，对第三章剩下的内容做预习【学生】提前查找资料，完成课前任务本节课内容较多，让学生做好复习和预习有助于学生对新知识的理解，能后让教学更顺畅的进行下去考勤

（2min）【教师】清点上课人数，记录好考勤【学生】班干部报请假人员及原因培养学生的组织纪律性，掌握学生的出勤情况问题导入

（10min）【教师】提出问题：网络攻击过程分为哪三个阶段？简单说一下对这三个阶段的理解。【学生】聆听，思考，回答通过互动导入，引导学生思考，调动学生的主观能动性传授新知

（25min）【教师】根据学生的回答，引入新的知识点网络攻击的实施阶段在实施网络攻击时，为了避免被网络管理人员过早发现和较好地保护自己，攻击者通常会采取相应的隐身措施。在完成收集攻击目标信息、隐蔽攻击源和行踪等工作的基础上，攻击者就可以结合自身的水平及经验总结出相应的攻击方法，实施真正的网络攻击。网络隐身IP地址是计算机网络中任何联网设备的身份标识，MAC地址是以太网终端设备的链路层标识。所谓网络隐身，就是使目标不知道与其通信的设备的真实IP地址或MAC地址。1．IP地址欺骗2．MAC地址欺骗3．网络地址转换4．代理隐藏（二）实施攻击不同的攻击者有不同的攻击目的，可能是为了获得机密文件的访问权，可能是为了破坏系统数据的完整性，也可能是为了获得整个系统的控制权、管理权限及其他目的等。通常，攻击者实施的网络攻击可能包括以下操作：（1）通过猜测程序对截获的用户账号和口令进行破译。（2）利用破译程序对截获的系统密码文件进行破译。（3）通过得到的用户口令和系统密码远程登录网络，以获得用户的工作权限。（4）利用本地漏洞获取管理员权限。（5）利用网络系统本身的薄弱环节和安全漏洞实施电子引诱（如安放木马）。（6）修改网页进行恶作剧，或破坏系统程序，或放置病毒使系统陷入瘫痪，或窃取政治、军事、商业秘密，或进行电子邮件骚扰，或转移资金账户、窃取金钱等。在实施网络攻击时，攻击者要选择目标系统的某些资源作为攻击对象（即作用点），以达到获得某些“利益”的目标。攻击的作用点在很大程度上体现了攻击者的目的，且一次攻击可以有多个作用点，即可同时攻击系统的多个“目标”。攻击的作用点通常可以概括为以下几类。（1）账户（2）文件系统（3）进程（4）系统资源与信息（5）网络及网络服务【学生】聆听、思考、理解、记忆通过对网络攻击实施阶段的讲解，让学生对网络攻击有一个更加系统的认识教学演示

（8min）【教师】选一名同学来演示修改MAC地址的方法采用教师指导学生操作的方法来进行修改MAC地址的教学【学生】操作，观看，聆听，记忆通过学生演示老师指导的方式，来增加学生的主观能动性第二节课互动导入

（5min）【教师】提出问题，引入新的知识点根据之前学过的知识，说一下什么是后门？网络攻击技术的最后一个阶段是什么？包括哪些过程？【学生】思考、回答通过互动导入，引导学生思考，调动学生的主观能动性传授新知

（20min）【教师】根据学生的回答，继续讲解网络攻击过程中的善后阶段二、网络攻击的善后阶段攻击者在成功完成对目标的远程攻击后，为保持对目标的长久控制和方便再次进入目标系统，需要建立一些进入系统的特殊途径，即植入后门。同时，为了不被网络管理人员发现系统曾经被攻击或入侵，攻击者需要清除实施攻击时产生的系统日志、程序日志、临时数据和文件等，即消除所有攻击痕迹，仿佛该攻击从未发生过。（一）植入后门信息收集也称为网络踩点，是攻击者通过各种途径对要攻击的目标进行有计划和有步骤的信息收集，从而了解目标的网络环境和信息安全状况的过程。其方法主要包括通过Windows命令收集信息、通过Whois查询收集信息、通过Web挖掘分析收集信息、通过社会工程学收集信息、通过网络扫描收集信息、通过网络监听收集信息等。1．开放连接端口（1）通用的类似Telnet服务的Shell访问端口。（2）隐蔽地开启已有系统服务，从而打开相应端口。2．修改系统配置（1）增加开机启动项（2）增加或修改系统服务设（3）修改防火墙和安全软件配置3．安装监控器后门程序安装的监控器通常包括进程监控器、文件监控器、内存监控器、键盘监控器和报文监控器等。建立隐蔽连接通道5．创建用户账号6．安装远程控制工具7．替换系统文件（二）清除痕迹攻击者为了避免其被网络管理人员发现和追踪，退出系统前常会设法清除其攻击痕迹。【学生】聆听、思考、理解、记忆通过对网络攻击准备阶段的讲解，让学生对网络攻击有一个更加系统的认识教学演示

（15min）【教师】通过多媒体演示常见的三种清除痕迹的方法1．事件查看器Windows系统中事件查看器的程序名称是“eventvwr.msc”（见图3-5），对应的命令提示符命令是“wevtutil”，攻击者可以在后台使用wevtutil命令清除某类日志或者改变该类日志的配置，以达到隐藏自己的目的。攻击者无法具体清除某条日志，要么该类日志全部被清除，要么一条也不清除；如果全部日志被清除，网络管理人员很容易察觉，但无法查看具体的攻击痕迹。2．浏览器访问痕迹IE浏览器访问痕迹的默认存放目录是“C:\Users\用户名\AppData\Local\Microsoft\Windows\

TemporaryInternetFiles”，该目录默认具有隐藏属性。其痕迹包括下载的临时文件、网站Cookies、浏览历史记录、表单数据和存储的登录密码等3．Web服务器痕迹Web服务器的日志都是文本文件，可以对具体与攻击有关的日志条目进行针对性修改和删除，而不改变其他正常访问日志，从而清除攻击痕迹。【学生】观看、思考、理解、记忆利用演示法教学让学生更直观的了解清除痕迹的常用方法课堂小结

（3min）【教师】简要总结本节课的要点本节课为大家介绍了网络攻击的过程当中的实施阶段和善后阶段，还为大学演示了使用网络命令进行网络诊断，希望大家通过本节课的学习能够对网络攻击的过程有一个全面而细致的了解。【学生】总结回顾知识点总结知识点