第一章 计算机基础知识
1.1 计算机核心基础
在深入网络攻防的精彩世界之前,我们首先需要静下心来,重新审视构成我们日常运维工作的基石------计算机本身。对于网络维护人员而言,理解计算机硬件与软件的协同工作机制,不仅有助于快速排查故障,更是理解攻击原理、构建防御体系的底层逻辑。
1.1.1 硬件系统组成和功能
计算机硬件是看得见、摸得着的物理实体,它们是承载所有软件运行和网络通信的物质基础。其中,CPU、内存、硬盘和网卡是最为核心的四大部件。
一、核心硬件的功能与作用
CPU (中央处理器) :被称为计算机的"大脑",负责解释和执行程序指令。它的性能直接决定了计算机处理数据的速度和能力。在攻防视角下,CPU的利用率是判断系统是否遭受拒绝服务攻击(DoS)或挖矿病毒的重要指标。当CPU长期处于100%负载时,系统响应会变得极其缓慢,甚至无法提供正常服务。
计算机(CPU)常见架构
常用的处理器架构有ARM、x86、MIPS、RISC-V等,按照指令集分为CISC和RISC两种。
1.x86架构:x86架构的处理器采用CISC指令集(复杂指令集计算机),主要分为x86和x86-64两类,目前主流的是x86-64,即64位的处理器。中科曙光海光、上海兆芯、intel和AMD等处理器为x86架构。
2.ARM架构:ARM架构处理器采用RISC指令集(精简指令集),ARM具有低功耗的优势,主要用于手机、工控系统、智能家居、机顶盒等设备。华为麒麟、鲲鹏处理器,天津飞腾处理器,苹果的A系列处理器,高通骁龙处理器均为ARM架构。ARM架构属于ARM公司,该公司只出售IP(技术知识产权),不设计和制造自己的芯片。
3.MIPS架构:MIPS架构处理器采用RISC指令集(精简指令集),主要用于电子产品、网络设备、个人娱乐设备等。MIPS架构1981年由MIPS科技公司开发并授权,我国自主的"龙芯"处理器,为中科院计算所购买了MIPS的永久性结构授权,属于兼容MIPS指令集的自研处理器。
4.RISC-V架构:RISC-V架构是基于精简指令集(RISC)的开源架构,不需要ARM、MIPS那样需要经过授权,目前,国内很多厂商参与了RISC-V生态系统,建立了RISC-V产业联盟,包括了原微电子、紫光展锐、安徽华米、小米等。
- 指令集:CISC的英文全称是complex instruction set computer,既复杂指令系统。RISC的英文全称是reduced instruction set computer,既精简指令系统。CISC兼容性性强,指令繁多,长度可变,由微程序实现。而RISC则指令少,使用频率接近,主要是依靠硬件实现(通用寄存器、硬布线逻辑控制)。
内存 :是CPU与硬盘之间的数据中转站,用于临时存储当前运行的程序和数据。内存的读写速度远超硬盘,但其断电后数据会全部丢失。内存的大小和性能直接影响系统的多任务处理能力。在排查网络连接故障时,如果内存不足,可能导致网络服务进程被系统kill掉,从而引发连接中断。
硬盘 :是计算机的永久性数据存储设备。操作系统、应用程序和用户文档都保存在硬盘上。
硬盘的读写速度是影响系统启动和软件加载速度的关键。在服务器环境中,硬盘的RAID(磁盘阵列)状态是日常巡检的重点,任何硬盘损坏都可能导致数据丢失或服务异常。
网卡 :是计算机连接网络的桥梁。它负责将计算机内的并行数据转换为网络传输的串行数据(即01比特流),并控制数据包的发送和接收。每个网卡在出厂时都被烧录了一个全球唯一的硬件地址,即MAC地址,用于在局域网内标识设备。
二、硬件与软件的协同工作机制
计算机的工作本质上是一个"输入-处理-输出"的循环。以您在浏览器中访问一个网站为例,这一过程生动地体现了软硬件的协同:
1.您通过鼠标(输入设备)点击浏览器图标,这个指令通过中断机制传递给CPU。
2.CPU接收到指令后,从硬盘中将浏览器程序的相关数据读取到内存中。
3.CPU执行内存中的程序指令,通过网卡向网络发送请求网页的数据包。
4.当网卡接收到服务器返回的数据后,通过中断通知CPU,CPU再将数据存入内存,最后将网页内容呈现在显示器(输出设备)上。
三、硬件故障的影响及基础排查思路
作为网络维护人员,面对网络连接问题,首先要能区分是硬件故障还是软件配置问题。
网卡故障 :这是导致网络"失联"的常见原因。
故障现象 :网络图标显示红叉或断开,ping 127.0.0.1 
(本地环回地址)通,但ping 
同一局域网的其他IP不通。
排查思路 :
1.物理层检查 :查看网卡指示灯是否亮起/闪烁?网线水晶头是否松动?对于光纤网卡,检查光模块的发光功率是否正常。
2.驱动层检查 :在操作系统的设备管理器中,查看网卡是否被正确识别,有无黄色感叹号。尝试更新或重装网卡驱动。
3.系统层检查 :使用 ifconfig 
( Linux)或 ipconfig 
(Windows)命令查看网卡是否被禁用,是否成功获取到了IP地址。
内存异常 :内存故障的表现形式多样,且常被误认为是软件问题。
故障现象 :系统频繁蓝屏(Windows)或发生内核Panic( Linux)、随机重启、服务进程无故消失、网络连接随机中断。
排查思路 :
1.替换法 :如果服务器有多个内存条,可以尝试轮流拔插或只保留一条内存开机测试。
2.诊断工具 :运行内存检测工具(如Memtest86+)进行长时间的压力测试,以发现潜在的内存坏块。内存故障导致的随机性错误,往往是安全攻击(如缓冲区溢出攻击)试图利用的不稳定因素。
1.1.2 软件系统组成及功能
硬件是躯干,软件则是灵魂。软件系统分为系统软件和应用软件两大类。
系统软件 :核心是操作系统,它负责管理和控制计算机的所有硬件资源,并为应用软件提供运行平台。操作系统本身就是安全防护的第一道关口,其内核的安全机制、用户权限管理、访问控制策略(如Linux的SELinux)都是网络攻防的主战场。
应用软件 :为用户解决特定任务(如办公、浏览网页、编辑图片)而设计的软件。在攻防视角下,应用软件往往是攻击的主要入口,因为其代码复杂度高、功能交互点多,容易存在漏洞(如SQL注入、文件上传漏洞)。
聚焦网络相关软件的基础原理:
网卡驱动 :作为操作系统内核与网卡硬件之间的翻译官。没有驱动,操作系统就无法指挥网卡工作。攻击者有时会通过替换或篡改网卡驱动来实现恶意功能,如抓取所有经过网卡的数据包(网络嗅探)。
协议栈 :是操作系统中实现网络通信协议(如TCP/IP)的软件模块。它负责将应用程序要发送的数据,按照协议规范进行封装(添加TCP/UDP头、 IP头、以太网头),最终交给网卡驱动发送出去;反过来,也负责解析接收到的数据包,并交付给正确的应用程序。协议栈的实现是网络攻击的重灾区,历史上出现过大量针对TCP/IP协议栈实现的漏洞攻击(如泪滴攻击、 Ping of Death)。
远程控制软件 :这类软件允许用户从一台计算机远程操作另一台计算机。从运维角度看,它是提高效率的利器(如Windows远程桌面、SSH、VNC);但从安全角度看,它也是攻击者的目标。攻击者可能通过暴力破解密码或利用软件漏洞,在目标机器上植入木马(一种典型的恶意程序)以实现远程控制。
1.2 计算机网络知识
网络是连接计算机的桥梁,也是攻防对抗发生的核心战场。理解网络的基础知识,是看懂攻击流量、配置防御策略的前提。
1.2.1 计算机网络基础知识
在网络通信中,有三类地址是必须掌握的,它们共同协作,确保数据包能准确地从源端发送到目的端。
MAC 地址 :媒体访问控制地址。它是一个长度为48位的物理地址,通常用十六进制表示,如 00-1A-2B-3C-4D-5E。MAC地址在网卡生产时就被固化,主要用于在同一局域网内标识设备。交换机就是依靠MAC地址表来转发数据的。由于MAC地址是明文的,它很容易被伪造,这就是所谓的"MAC地址欺骗"攻击。
IP 地址 :互联网协议地址。它是一个逻辑地址,用于在全球互联网范围内标识一台网络设备。目前主流的是32位的IPv4地址,通常用点分十进制表示,如 192.168.1.1。IP地址分为网络号和主机号两部分,子网掩码用来区分这两部分。我们日常办公常用的私有IP地址段有:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。
端口 :如果说IP地址是"一栋大楼"的地址,那么端口就是"大楼里的某个房间"。它是一个16位的数字(0-65535),用于在同一台主机上区分不同的网络服务或进程。
知名端口( 1-1023 ) :通常分配给系统级或众所周知的服务,如FTP(21)、SSH(22)、<HTTP>(80)、<HTTPS>(443)等。启动这些服务通常需要管理员权限。
动态 / 私有端口( 49152-65535 ) :通常由客户端的操作系统临时分配给发起连接的进程。
协议 :是通信双方共同遵守的规则和约定。TCP/IP协议栈是一组协议的集合,它分层定义了数据如何封装、传输和路由。常见的协议有:IP(负责寻址和路由)、TCP(提供可靠的、面向连接的传输)、UDP(提供不可靠的、无连接的传输)、 ICMP(用于传递网络状态和错误信息,如 ping 命令)。
完成一次通信至少需要三个地址: MAC 地址 负责本地链路通信, IP 地址 负责跨网络寻址,而端口则负责将数据交付给正确的目标进程。
1.2.2 计算机安全基础知识
网络攻防的本质,是围绕信息系统的机密性、完整性和可用性展开的一场持续博弈。理解安全的核心要素,有助于我们更好地理解攻击者的目标和防御者的手段。
漏洞 :指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,它们可以使攻击者在未授权的情况下访问或破坏系统。漏洞是攻击的"入口",可以是代码层面的(如缓冲区溢出)、逻辑层面的(如身份验证绕过)或配置层面的(如默认密码)。
恶意程序 :泛指一切被设计用来在未经授权的情况下,访问、破坏或干扰计算机系统的软件。常见的类型包括:
病毒 :能够自我复制并感染其他可执行文件或系统区域。
蠕虫 :可以自我复制并能通过网络自动传播,无需人工干预。
特洛伊木马 :伪装成合法软件,诱骗用户安装,安装后通常会开启后门,供攻击者远程控制。
勒索软件 :加密用户文件并索要赎金。
加密解密 :加密是将明文数据通过算法和密钥转换成密文的过程,解密则是其逆过程。加密技术是保障数据机密性的核心。它分为两类:
对称加密 :加密和解密使用同一个密钥(如AES),特点是速度快,适合大量数据加密。
非对称加密 :使用一对密钥:公钥和私钥。公钥可以公开,用于加密数据;私钥必须保密,用于解密数据(如RSA)。常用于密钥交换和数字签名。
身份认证 :是确认一个实体(用户、设备或软件)所声称的身份是否真实的过程。它是访问控制的第一道关卡。
基于知道的 :如静态口令/密码。
基于拥有的 :如动态口令(手机令牌)、 IC卡、短信验证码。
基于固有的 :生物特征识别,如指纹、人脸、虹膜。
1.3 银河麒麟Linux操作系统
随着国家信息技术应用创新(信创)产业的发展,银河麒麟(KylinOS)作为国产操作系统的代表,在政府、金融、能源等关键领域的服务器和办公终端中部署得越来越广泛。作为网络维护人员,掌握麒麟系统的运维是必备技能。
1.3.1 系统概述与部署
核心特性 :银河麒麟Linux是基于Linux内核的国产操作系统,其核心特性在于高安全性。它集成了SELinux等强制访问控制模块,支持细粒度的权限管理,能够有效抵御未知漏洞的攻击。同时,它还支持可信启动(UEFI Secure Boot)和与TPM硬件加密芯片的联动,确保系统启动链的完整性。
适用场景 :
服务器 :可用于部署Web服务、数据库(如达梦、人大金仓)、邮件服务器等,满足对安全性和稳定性要求极高的关键业务。
办公终端 :提供UKUI桌面环境,界面友好,集成WPS、钉钉等常用办公软件,满足日常办公需求。
系统安装流程与分区配置 :安装过程与其他Linux发行版类似,但在分区环节需特别注意。在手动分区时,一个典型的推荐方案如下:
/boot 
分区:建议分配2GB,用于存放系统引导文件。
/ 
(根分区):建议分配50GB以上,用于存放系统核心文件和应用程序。
/home 分区:将剩余的大部分空间分配于此,用于存放普通用户的个人数据。这样设计的好处是,即便将来重装系统,只需格式化根分区,而 /home 分区下的用户数据可以得以保留。
swap 分区:即交换分区,作为内存的补充,大小通常设置为物理内存的1到1.5倍。
用户权限分级 :银河麒麟遵循Linux标准的用户权限模型。
管理员( root ) :拥有对系统的最高控制权,可以执行任何操作。日常运维中,应避免直接使用root账户登录,以防误操作或权限滥用。
普通用户 :权限受限,只能管理自己的文件和运行指定的程序。这种方式可以有效隔离风险,防止恶意程序轻易获取整个系统的控制权。
初始化设置 :安装完成后,通常需要设置root密码(若安装时未设置),并创建一个日常使用的普通用户。
1.3.2 基础操作与界面
桌面环境与命令行界面的切换 :银河麒麟默认启动到图形化桌面环境(UKUI)。对于运维人员来说,命令行界面(Shell)是更高效、更强大的管理工具。可以通过快捷键 Ctrl+Alt+F2 
切换到纯文本终端(tty2),再使用 Ctrl+Alt+F1 切回图形界面。
文件系统结构 :遵循Linux文件系统层次标准(FHS),重要的目录包括:
/ 
:根目录,所有文件和目录的起点。
/etc 
:存放系统的配置文件。
/var 
:存放经常变化的文件,如日志文件( /var/log 
)。
/home 
:普通用户的家目录。
/tmp 
:存放临时文件。
用户与组管理 :通过图形化的"用户和组"管理工具,可以方便地添加、删除用户和组,以及修改用户密码和所属组。
软件安装 / 卸载 / 更新 :银河麒麟提供了图形化的"麒麟软件中心",用户可以像使用手机应用商店一样搜索、安装和卸载软件。同时,它也支持后端的 apt 或 yum 包管理命令。
1.3.3 基础操作命令
掌握以下基础命令,是进行后续高级网络配置和安全管理的前提。
文件与目录操作
ls -l 
:以长格式列出当前目录下的文件和子目录的详细信息,包括权限、所有者、大小、修改时间等。
cd /etc 
:切换到 /etc 
目录。
pwd 
:显示当前所在的工作目录的绝对路径。
cp source.txt dest.txt 
:将source.txt文件复制为 dest.txt 。
mv oldname.txt newname.txt 
:将文件重命名或移动。
rm file.txt 
:删除文件(谨慎使用)。
mkdir newdir 
:创建名为 newdir 
的新目录。
用户管理
useradd john 
:添加一个名为 john 
的新用户。
passwd john 
:修改 john 
用户的密码。
userdel -r john:删除用户john,同时删除其家目录(-r参数)。
groupadd devops 
:添加一个名为 devops 
的新用户组。
usermod -aG devops john 
:将用户john 
添加到 devops 
组中(-aG 参数表示追加到附属组)。
权限管理
chmod 755 script.sh 
:修改 script.sh 
文件的权限为755。这意味着所有者可读、写、执行,同组用户和其他用户只能读和执行。
chown john:devops file.txt :将 file.txt 
文件的所有者改为 john 
,所属组改为devops 
。
1.4 Windows操作系统
Windows操作系统依然是当前企事业单位办公终端的主流选择。深入理解其配置与管理,是保障办公终端安全、稳定的基本功。
1.4.1 系统概述与部署
版本特性 :针对不同场景,Windows有多个版本。
家庭版 :功能精简,主要面向个人家庭用户,缺少组策略、远程桌面等关键管理功能。
专业版 :在家庭版基础上增加了BitLocker加密、远程桌面、组策略管理等,是办公终端和开发者的首选。
企业版 :包含专业版所有功能,并增加了DirectAccess、AppLocker等高级企业级功能,适用于大规模企业环境。
安装流程 :首先从微软官方渠道获取ISO镜像,并使用工具(如Rufus)制作启动U盘。安装过程中,关键步骤是磁盘分区。建议将磁盘分为系统盘(C盘,建议100GB以上)和数据盘( D盘等),这样既能保证系统运行空间,又能在重装系统时保护个人数据。
系统激活 :单位通常采用批量授权方式(KMS激活),需要在安装后输入批量许可密钥并指定KMS服务器地址。
基础配置 :贴合单位办公需求,安装后需进行一系列配置:
网络适配 :配置静态IP地址或通过DHCP自动获取。
防火墙初步设置 :确保Windows Defender防火墙开启,并根据需要配置入站/出站规则。
远程桌面开启 :为了方便运维,通常需要开启远程桌面功能(右键"此电脑"->"属性"->"远程桌面" ),并建议修改默认的3389端口,以及通过防火墙设置限制允许访问的IP地址,以降低被攻击的风险。
1.4.2 基础操作与管理
桌面管理 :包括个性化设置(主题、背景)、任务栏设置、开始菜单管理等。
文件与文件夹操作 :通过"文件资源管理器"进行复制、粘贴、删除、移动、重命名等操作。
建议在文件夹选项中,勾选"显示隐藏的文件和文件夹"和"显示已知文件类型的扩展名",这对于发现隐藏的恶意文件至关重要。
用户账户管理 :在"设置"->"账户"中,可以添加、删除用户和组,更改账户类型(管理员/标准用户)。安全基线是:为管理员和普通用户分别创建账户。日常办公使用标准用户账户,仅在需要安装软件或修改系统配置时,通过"以管理员身份运行"的方式临时提升权限。这能有效防范绝大多数恶意软件的自动安装。
服务管理 :通过运行 services.msc 打开服务管理器。可以查看、启动、停止、禁用系统服务。在排查网络问题时,可以检查与网络相关的关键服务(如DHCP Client、 DNS Client)是否正常运行。
任务管理器使用 : Ctrl+Shift+Esc 是快速打开任务管理器的快捷键。它是系统"急诊科":
进程 :查看CPU、内存、磁盘、网络的实时占用情况,快速定位资源消耗异常的进程。
性能 :监控硬件资源的使用趋势。
启动 :管理开机自启程序,是优化开机速度和排查恶意自启项的关键地方。
1.4.3 基础操作命令
Windows的命令提示符(CMD)和PowerShell是强大的管理工具。
文件与目录操作( CMD )
dir 
:列出当前目录下的文件和子文件夹。
cd C:\Windows 
:切换到 C:\Windows 
目录。
copy D:\backup\config.in i C:\config.ini 
:复制文件。
move file.txt D:\backup 
:移动文件。
del oldlog.log 
:删除文件。
mkdir new_folder 
:创建新文件夹。
用户管理( CMD 或 PowerShell )
net user 
:查看当前系统中的所有用户。
net user john * /add 
:添加一个名为 john 
的用户,并在提示下为其设置密码。
net localgroup administrators john /add 
:将用户 john 添加到管理员组(本地组)。
net user john /delete 
:删除用户 john 
。
1.5 VMware Workstation相关知识
VMware Workstation是一款功能强大的桌面虚拟化软件,允许用户在单台物理机上运行多个操作系统。对于网络维护人员,它是搭建攻防实验环境、测试补丁、分析恶意代码的沙箱利器。
1.5.1 VMware Workstation 安装配置
一、下载与安装:
从官网下载最新版VMware Workstation Pro(个人免费,商用需授权)或Player。
运行安装程序,接受协议,选择安装路径(建议非系统盘,空间充足)。
勾选"增强型键盘驱动程序"等可选组件。
安装完成后重启计算机。
二、网络配置:
VMware提供三种主要网络模式,需根据实验需求选择:
桥接模式(Bridged):
原理:虚拟机直接连接到物理网络,像一台独立的物理机,拥有与宿主机同网段的IP。
适用:虚拟机需要被局域网内其他设备访问,或模拟真实服务器环境。
配置:编辑 -> 虚拟网络编辑器 -> VMnet0 -> 桥接到物理网卡。
NAT模式(Network Address Translation):
原理:虚拟机通过宿主机的IP访问外网,外部网络无法直接访问虚拟机(除非做端口映射)。虚拟机处于一个私有子网(如192.168.x.x)。
适用:虚拟机只需上网,不需对外提供服务,最安全的日常使用模式。
配置:VMnet8,自动分配子网IP。
仅主机模式(Host-Only):
原理:虚拟机仅能与宿主机及其他同模式的虚拟机通信,无法访问外网。
适用:构建完全隔离的内网攻防靶场,分析高危病毒。
配置:VMnet1。
三、首选项设置:
设置默认工作目录(存放虚拟机文件)。
调整内存过载允许度。
配置快捷键冲突(如取消Ctrl+Alt全屏释放,改为Ctrl+Alt+Enter)。
1.5.2 VMware安装Windows
一、创建新虚拟机:
文件 -> 新建虚拟机 -> 典型(推荐)。
选择"安装程序光盘映像文件(iso)",加载Windows ISO镜像。
输入产品密钥(可稍后输入)。
选择客户机操作系统版本(如Windows 10 x64)。
命名虚拟机,选择存储位置。
指定磁盘容量(建议动态分配,最大设50GB+),选择"将虚拟磁盘存储为单个文件"(性能稍好)或"多个文件"(便于迁移)。
自定义硬件(可选):调整内存(建议4GB+)、处理器核心数、网络适配器模式(选NAT或桥接)。
二、安装过程:
启动虚拟机,进入Windows安装界面,步骤与物理机安装一致(分区、复制文件、设置账户)。
注意:在虚拟机中分区无需担心物理硬盘数据,但仍需谨慎操作。
三、安装VMware Tools:
系统安装完成后,点击菜单"虚拟机" -> "安装VMware Tools"。
在Windows内运行加载的光驱,安装驱动。
作用:实现宿主机与虚拟机间的剪贴板共享、拖拽文件、自适应分辨率、时间同步、提升显卡性能和网络性能。必装。
四、快照管理:
在系统配置好(打好补丁、装好工具)后,立即拍摄快照(Snapshot)。
命名如"Clean_Win10_Base"。
意义:若后续实验搞坏系统,可一键还原到初始状态,极大提高效率。
1.5.3 VMware安装银河麒麟Linux
一、创建虚拟机:
步骤同上,ISO选择银河麒麟Linux镜像。
客户机操作系统选择"Linux" -> "CentOS 7 64-bit"或"Other Linux 5.x kernel 64-bit"(视麒麟版本内核而定,通常选CentOS兼容性好)。
内存建议2GB起步(带GUI建议4GB+),硬盘30GB+。
网络模式根据实验需求选择(靶场建议Host-Only或NAT)。
二、安装过程:
启动虚拟机,进入麒麟安装向导。
语言、时区、分区(虚拟机可自动分区,也可手动划分/, swap, /home)。
设置root密码和用户。
等待安装完成,重启。
三、安装Open-VM-Tools:
较新版本的银河麒麟自带open-vm-tools,或通过源安装。
命令:sudo yum install open-vm-tools open-vm-tools-desktop -y。
启动服务:systemctl enable --now vmtoolsd。
若菜单中"安装VMware Tools"可用,也可挂载镜像手动安装,但推荐使用源安装方式,更稳定。
验证:分辨率应能自适应窗口大小,剪贴板共享生效。
四、网络调试:
若无法获取IP,检查/etc/sysconfig/network-scripts/ifcfg-
ens33(网卡名可能不同)。
确保ONBOOT=yes。
使用nmcli或nmtui图形化工具配置网络。
测试ping www.baidu.com验证外网(NAT模式下)。
五、快照与克隆:
同样,配置好基础环境后拍摄快照。
链接克隆:若需多台相同环境的机器(如搭建集群),可使用"链接克隆"功能,节省磁盘空间,快速部署多台麒麟或Windows虚拟机。