一、自学网络安全学习的误区和陷阱

1.不要试图先成为一名程序员（以编程为基础的学习）再开始学习
我在之前的回答中，我都一再强调不要以编程为基础再开始学习网络安全，一般来说，学习编程不但学习周期长，而且实际向安全过渡后可用到的关键知识并不多

一般人如果想要把编程学好再开始学习网络安全往往需要花费很长时间，容易半途而废。而且学习编程只是工具不是目的，我们的目标不是成为程序员。建议在学习网络安全的过程中，哪里不会补哪里，这样更有目的性且耗时更少

2.不要把深度学习作为入门第一课

很多人都是冲着要把网络安全学好学扎实来的，于是就很容易用力过猛，陷入一个误区：就是把所有的内容都要进行深度学习，但是把深度学习作为网络安全第一课不是个好主意。原因如下：

【1】深度学习的黑箱性更加明显，很容易学的囫囵吞枣

【2】深度学习对自身要求高，不适合自学，很容易走进死胡同

3.不要收集过多的资料

网上有很多关于网络安全的学习资料，动辄就有几个G的材料可以下载或者观看。而很多朋友都有“收集癖”，一下子购买十几本书，或者收藏几十个视频

网上的学习资料很多重复性都极高而且大多数的内容都还是几年前没有更新。在入门期间建议“小而精”的选择材料，下面我会推荐一些自认为对小白还不错的学习资源，耐心往下看

二、学习网络安全的一些前期准备

1.硬件选择

经常会问我“学习网络安全需要配置很高的电脑吗？”答案是否定的，黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!所以，不要打着学习的名义重新购买机器…

2.软件选择

很多人会纠结学习黑客到底是用Linux还是Windows或者是Mac系统，Linux虽然看着很酷炫，但是对于新人入门并不友好。Windows系统一样可以用虚拟机装靶机来进行学习

至于编程语言，首推Python，因为其良好的拓展支持性。当然现在市面上很多网站都是PHP的开发的，所以选择PHP也是可以的。其他语言还包括C++、Java…

很多朋友会问是不是要学习所有的语言呢？答案是否定的！引用我上面的一句话：学习编程只是工具不是目的，我们的目标不是成为程序员

（这里额外提一句，学习编程虽然不能带你入门，但是却能决定你能在网络安全这条路上到底能走多远，所以推荐大家自学一些基础编程的知识）

3.语言能力

我们知道计算机最早是在西方发明出来的，很多名词或者代码都是英文的，甚至现有的一些教程最初也是英文原版翻译过来的，而且一个漏洞被发现到翻译成中文一般需要一个星期的时间，在这个时间差上漏洞可能都修补了。而且如果不理解一些专业名词，在与其他黑客交流技术或者经验时也会有障碍，所以需要一定量的英文和黑客专业名词（不需要特别精通，但是要能看懂基础的）

比如说：肉鸡、挂马、shell、WebShell等等

三、自学网络安全学习路线

重点内容
扫描工具赏析
扫描的防御

一、扫描工具赏析

1、扫描工具概述

如果扫描范围具有一定的规模，比如要在一个较大的范围内对网络系统进行安全评估，那就需要使用一些多功能的综合性工具。
一般来说，这些多功能的综合性扫描工具，都可以对大段的网络IP进行扫描，其扫描内容非常广泛，基本上包含了各种专项扫描工具的各个方面。
我们将要介绍的扫描工具都是综合性扫描工具。

2、如何获取扫描工具

扫描工具大本营
http://www.xfocus.net/tools/1.html（xfocus的网站上的，下载速度也还可以接受）
http://www.3800cc.com/（黑鹰基地华南站，菜鸟级工具较多）
各种工具的官方主页
http://www.nessus.org/
http://www.nmap.com/
有些工具是系统自带的，比如windows和linux中的ping，linux中的nmap

3、常用扫描工具

1、SATAN 古老的经典
2、Nmap 扫描技术集大成者
3、Nessus 黑客的血滴子，网管的百宝箱
4、X-scan 国内黑客的最爱

4、SATAN的分级

1、轻度扫描：轻度扫描包含最少的入侵扫描。SATAN从域名系统（Domain Name System，简称DNS）收集信息，看看主机提供哪些远程过程调用，通过网络提供哪些文件共享。根据这些信息，SATAN就得到主机的一般信息。

2、标准扫描：在这个层次上，SATAN探测常见的网络服务，包括finger、remote login、ftp、www、gopher、email等。根据这些信息，SATAN能判断主机的类型，是Windows服务器，还是HP-UNIX，Soloaris还是Linux，甚至还能探测服务器软件的版本。

3、重度扫描：当知道目标主机提供什么服务之后，SATAN进行更深入的扫描。在这个扫描级别上，SATAN探测匿名服务器的目录是不是可写，X Windows服务器是不是关闭了访问控制，/etc/hosts.equiv文件中是否有“*”号，等等。

4、攻入系统：本级别还包括了对系统进行的攻击、清扫攻击时留下的痕迹、隐藏自己等，不过SATAN只提出了这一级别的思想，但并没有实现。

5、SATAN的特点

SATAN作为最早的并且是最典型的扫描工具，具备以下特点：
扫描指定的主机系统
扫描常见的弱点
给数据分析提供帮助
总之，SATAN能够自动扫描本地和远程系统的弱点，为系统的安全或远程攻击提供帮助。

SATAN的特点因其在不同文化和信仰中的角色和形象而有所不同。以下是一些潜在的SATAN的特点：

1. 诱惑性： SATAN常被描绘为具有诱惑力的形象，他可以用各种方法引诱人们犯罪或违背神的旨意。

2. 反叛： SATAN常被视为反叛者，他背叛了上帝并引发了人类的原罪，因此他是废除神权威和秩序的象征。

3. 邪恶： SATAN常被描绘为邪恶、残暴和冷酷的形象，他致力于破坏和毁灭。

4. 嫉妒： SATAN被认为是对上帝的嫉妒所驱动的，他想要与上帝平起平坐并成为万物的主宰。

5. 放逐： SATAN通常被视为被放逐的天使，他与堕落和被流放的形象相关联。

请注意，以上这些特点并不都是所有文化和信仰中的SATAN都有的。

6、SNMP

Nmap(Network Mapper)，是由Fyodor制作的端口扫描工具。
它除了提供基本的TCP和UDP端口扫描功能外，还综合集成了众多扫描技术，可以说，现在的端口扫描技术很大程度上是根据Nmap的功能设置来划分的。
Nmap还有一个卓越的功能，那就是采用一种叫做“TCP栈指纹鉴别(stack fingerprinting)”的技术来探测目标主机的操作系统类型。

SNMP（简单网络管理协议）的特点包括：

1. 简单易用：SNMP采用了简单的协议结构和数据格式，使其易于实现和使用。

2. 标准化：SNMP是一个标准化协议，其定义了管理信息的格式、通信方式、信息交换的对象和过程等。

3. 网络管理：SNMP是一种用于网络管理的协议，可以用于监测和管理网络中的设备、服务和资源。

4. 安全性：SNMP提供了安全机制，包括团体名（community）和安全访问控制（security access control）等。

5. 可扩展性：SNMP支持多种扩展方式，包括MIB（Management Information Base）、SNMP Trap和SNMP Inform等。

6. 高效性：SNMP采用了轻量级的通信方式，可以在网络带宽较小的情况下高效地传输管理信息。

其基本功能有三个：
探测一组主机是否在线
主机扫描技术
扫描主机端口，嗅探所提供的网络服务
端口扫描技术
还可以推断主机所用的操作系统
远程主机OS指纹识别

Ping扫描：了解哪些机器是up的
nmap –sP 202.38.64.1
缺省时同时使用发送icmp和对80端口发送ack来探测
可以用nmap –sP –P0 不发送icmp消息
TCP connect扫描：
nmap –sT 202.38.64.1
TCP SYN扫描
nmap –sS 202.38.64.1
TCP FIN, XMAS, NULL扫描：
nmap –sF 202.38.64.1
nmap –sX 202.38.64.1
nmap –sN 202.38.64.1
UDP扫描：
nmap –sU 202.38.64.1

7、Nessus

Nessus是一个功能强大而又简单易用的网络安全扫描工具，对网络管理员来说，它是不可多得的审核堵漏工具。
2000年、2003年、2006年，Nmap官方在Nmap用户中间分别发起“Top 50 Security Tools”、“Top 75 Security Tools”、“Top 100 Security Tools”的评选活动，Nessus“战胜”众多的商业化漏洞扫描工具而三次夺魁。
Nessus被誉为黑客的血滴子，网管的百宝箱。

Nessus特点：
它是免费的，比起商业的安全扫描工具如ISS具有价格优势。
采用了基于多种安全漏洞的扫描，避免了扫描不完整的情况。
Nessus基于插件体制，扩展性强，支持及时的在线升级，可以扫描自定义漏洞或者最新安全漏洞。
Nessus采用客户端/服务端机制，容易使用、功能强大。

Nessus是一款功能强大、易用、高效的漏洞扫描工具，具有以下特点：

1.支持多种漏洞扫描：支持多种漏洞扫描，包括网络漏洞、应用程序漏洞、数据库漏洞等，扫描速度快。

2.灵活性：支持自定义扫描策略和规则，用户可以根据自己的需要进行设置。

3.准确性：扫描结果准确可靠，可以有效检测出各种安全漏洞，包括远程执行命令漏洞、SQL注入漏洞、跨站脚本漏洞等。

4.可视化界面：提供直观的用户界面和报告，使用户能够更直观地了解扫描结果。

5.多平台支持：支持在多种操作系统上运行，包括Windows、Linux、Unix等。

6.持续监控：提供持续监控服务，可以实时监测网络中的漏洞和安全事件，提供及时警报和防御措施。

8、X-scan

X-Scan是国内最著名的综合扫描器，它完全免费，是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和命令行方式。
主要由国内著名的网络安全组织“安全焦点”（http://www.xfocus.net）完成，“冰河木马”的作者是其核心作者之一。
从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan V3.3都凝聚了国内众多专家的心血。
X-Scan把扫描报告对扫描到的每个漏洞进行“风险等级”评估，并提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞。

采用多线程方式对指定IP地址段（或单机）进行安全漏洞检测，支持插件功能。
3.0及后续版本提供了简单的插件开发包，便于有编程基础的朋友自己编写或将其他调试通过的代码修改为X-Scan插件。

X-scan的特点包括：

1. 高精度：X-scan能够实现精度高达0.01mm，可以满足高精度测量的需求。

2. 高效率：X-scan能够快速扫描物体表面，一次测量可以完成对整个物体的测量。

3. 非接触式测量：X-scan采用非接触式测量，不需要接触被测物体，可以避免对被测物体的影响。

4. 易于使用：X-scan的操作简单，用户可以通过简单的操作学习使用。

5. 多种应用：X-scan可以应用于多种领域，如机械制造、航空航天、医疗、文化遗产保护等领域。

9、常用扫描工具比较

10、其它扫描工具

Advance LAN Scanner
Blue’s PortScanner
NBSI2
Fluxay（流光）
X-port
SuperScan
ISS

二、扫描的防御

1、反扫描技术

反扫描技术是针对扫描技术提出的。
扫描技术一般可以分为主动扫描和被动扫描两种，它们的共同点在于在其执行的过程中都需要与受害主机互通正常或非正常的数据报文。

反扫描技术是指一种防御手段，用于保护计算机系统免受扫描攻击。扫描攻击是黑客寻找网络漏洞和弱点的常用方法。反扫描技术旨在识别和阻止扫描活动。具体来说，反扫描技术通常包括以下措施：

1. 记录扫描活动：反扫描技术可以识别和记录扫描活动，以便管理员能够识别攻击并采取必要的措施。

2. 阻止扫描器：反扫描技术可以识别和阻止扫描器，以防止黑客使用它们来发现漏洞。

3. 隐藏服务：反扫描技术可以采用隐藏服务的方法，使攻击者无法发现目标系统上的服务。

4. 动态端口和IP地址：反扫描技术可以使用动态端口和IP地址来防止攻击者进行精确扫描，并使攻击变得更难。

总的来说，反扫描技术可以帮助保护计算机系统免受扫描攻击。

2、主动扫描

其中主动扫描是主动向受害主机发送各种探测数据包，根据其回应判断扫描的结果。
因此防范主动扫描可以从以下几个方面入手：
（1）减少开放端口，做好系统防护；
（2）实时监测扫描，及时做出告警；
（3）伪装知名端口，进行信息欺骗。

主动扫描指的是利用扫描工具主动探测目标主机的开放端口和服务信息等，目的是为了发现系统漏洞和安全风险。主动扫描常用于网络安全评估、漏洞扫描和入侵检测等场景中。对于企业来说，定期进行主动扫描可以帮助发现网络安全漏洞，及时采取措施加以修补，降低被攻击的风险。

3、被动扫描

被动扫描由其性质决定，它与受害主机建立的通常是正常连接，发送的数据包也属于正常范畴，而且被动扫描不会向受害主机发送大规模的探测数据，因此其防范方法到目前为止只能采用信息欺骗（如返回自定义的banner信息或伪装知名端口）这一种方法。

被动扫描是指在不干扰目标系统正常运行的情况下，对目标系统进行扫描并获取信息的一种扫描方式。与主动扫描不同，被动扫描不会主动向目标系统发送请求或命令，而是通过监测目标系统的网络通信流量，收集目标系统的信息。被动扫描通常适用于网络入侵检测、安全漏洞扫描、恶意软件检测等安全领域。常见的被动扫描工具有Snort、Bro、Suricata等。

4、端口扫描监测工具

对网络管理员来说，尽早的发现黑客的扫描活动，也许就能及时采取措施，避免黑客进一步实施真正的攻击和破坏。
监测端口扫描的工具有好多种，最简单的一种是在某个不常用的端口进行监听，如果发现有对该端口的外来连接请求，就认为有端口扫描。一般这些工具都会对连接请求的来源进行反探测，同时弹出提示窗口。
另一类工具，是在混杂模式下抓包并进一步分析判断。它本身并不开启任何端口。这类端口扫描监视器十分类似IDS系统中主要负责行使端口扫描监测职责的模块。
蜜罐系统也是一种非常好的防御方法。

5、防火墙技术

防火墙技术是一种允许内部网接入外部网络，但同时又能识别和抵抗非授权访问的网络技术，是网络控制技术中的一种。
防火墙的目的是要在内部、外部两个网络之间建立一个安全控制点，控制所有从因特网流入或流向因特网的信息都经过防火墙，并检查这些信息，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

防火墙技术是一种网络安全技术，用于保护计算机网络和连接到网络的设备免受网络攻击和恶意软件的侵害。防火墙的主要目的是控制网络流量，通过规则和过滤功能来允许或禁止特定类型的网络流量通过防火墙。防火墙可以在网络的边缘或在网络内部部署，可以配置为硬件或软件形式，可以进行基于规则或基于内容的防护，具有阻止入侵、防止恶意软件感染、阻止垃圾邮件等多种功能。防火墙技术的应用越来越广泛，已成为企业和组织保障网络安全的必要手段之一。

6、审计技术

审计技术是使用信息系统自动记录下的网络中机器的使用时间、敏感操作和违纪操作等，为系统进行事故原因查询、事故发生后的实时处理提供详细可靠的依据或支持。
审计技术可以记录网络连接的请求、返回等信息，从中识别出扫描行为。

审计技术指的是审计过程中使用的各种工具和方法，以帮助审计师进行审计工作。这些工具和方法可以帮助收集、分析和评估审计证据，从而较准确地评估企业的财务状况、经营业绩和内部控制。常见的审计技术包括：

1. 数据分析技术：这是一种利用计算机技术对大量数据进行分析的方法，以帮助审计师快速了解企业的财务状况。数据分析技术有很多种，例如数据挖掘、智能分析、模型预测等。

2. 样本检查技术：这是审计师随机选取一定数量的样本进行检查的方法，以确认企业的财务报表是否真实准确。样本检查技术可以通过抽样方法来避免对全部数据的检查，从而提高审计效率。

3. 文档审查技术：这是审计师通过检查企业的财务文件、合同、发票等文件来评估企业的财务状况和内部控制的方法。文档审查技术可以帮助审计师了解企业的商业操作、风险和特定的业务流程。

4. 口头询问技术：这是审计师对企业负责人进行面谈，以了解企业财务状况和内部控制的方法。口头询问技术可以帮助审计师了解企业的管理层如何看待其业务，以及可能存在的潜在风险。

5. 独立审查技术：这是由专业的独立审查师对企业的财务报表和内部控制进行审查的方法，以保证审计程序的独立性和公正性。

7、其它防御技术

修改Banner

许多网络服务器通常在用户正常连接或登录时，提供给用户一些无关紧要的提示信息，其中往往包括操作系统类型、用户所连接服务器的软件版本、几句无关痛痒的欢迎信息等，这些信息可称之为旗标信息(Banner)。
殊不知，通过这些Banner黑客们可以很方便的收集目标系统的操作系统类型以及网络服务软件漏洞信息，现在很多扫描器如Nmap都具备了自动获取Banner的功能。可以对Banner进行修改，隐藏主机信息，减小被入侵的风险。