入门指南

网络安全学习的入门指南，帮助初学者快速上手。

👋 欢迎来到网络安全世界

网络安全是一个充满挑战和机遇的领域。无论你是出于兴趣、职业发展还是其他原因，这份指南都将帮助你开启学习之旅。

🎯 明确学习目标

在开始学习前，先问自己几个问题：

1. 为什么要学习网络安全？

   • 职业转型
   • 兴趣爱好
   • 提升技能
   • 赏金猎人

2. 想从事哪个方向？

   • 渗透测试（红队）
   • 安全防御（蓝队）
   • 安全研发
   • 安全管理

3. 能投入多少时间？

   • 全职学习（3-6个月快速入门）
   • 业余学习（6-12个月稳步提升）

📚 必备基础知识

1. 计算机网络

为什么重要：网络安全的基础就是网络本身

需要掌握：

• TCP/IP 协议栈
• HTTP/HTTPS 协议
• DNS、DHCP 原理
• 常见端口和服务
• 网络抓包分析（Wireshark）

学习资源：

• 《计算机网络：自顶向下方法》
• Cisco Networking Basics

2. 操作系统

Linux（必须精通）：

• 文件系统和权限
• 常用命令和 Shell 脚本
• 进程、用户、服务管理
• 网络配置

Windows：

• 文件系统和权限
• PowerShell 基础
• Active Directory 概念
• 注册表和服务

学习资源：

• Linux Journey
• OverTheWire: Bandit

3. 编程基础

Python（推荐优先学习）：

• 基础语法
• 网络编程
• 自动化脚本
• 常用安全库

Bash：

• Shell 脚本编写
• 自动化任务

其他有用的：

• JavaScript（Web 安全）
• PowerShell（Windows 渗透）
• Go（工具开发）

学习资源：

• Python for Everybody
• Automate the Boring Stuff

4. Web 基础

• HTML/CSS 基础
• JavaScript 基础
• HTTP 请求和响应
• 浏览器开发者工具
• Web 服务器（Apache/Nginx）

🚀 开始实践

第一步：搭建学习环境

1. 安装 Kali Linux

# 选择之一：
# - 虚拟机安装（VMware/VirtualBox）
# - 双系统
# - WSL2（Windows）

2. 熟悉基本工具

• Nmap（端口扫描）
• Burp Suite（Web 代理）
• Metasploit（漏洞利用）
• Wireshark（抓包分析）

第二步：从简单靶场开始

推荐新手靶场

OverTheWire（免费）：

1. Bandit - Linux 基础
2. Natas - Web 安全基础

PicoCTF（免费）：

• 适合完全新手
• 有详细的题目指引

TryHackMe（部分免费）：

• Complete Beginner Path
• 引导式学习

第三步：学习常见漏洞

按照 OWASP Top 10 顺序学习：

1. 注入攻击（SQL 注入、命令注入）
2. 身份认证失效
3. 敏感数据泄露
4. XML 外部实体注入（XXE）
5. 访问控制失效
6. 安全配置错误
7. 跨站脚本（XSS）
8. 不安全的反序列化
9. 使用含有已知漏洞的组件
10. 日志和监控不足

学习资源：

• PortSwigger Web Security Academy
• OWASP WebGoat

📖 推荐学习路径

路径一：渗透测试方向（3-6个月）

月份1-2: 基础知识
├─ 网络基础
├─ Linux 基础
└─ Python 基础

月份3-4: Web 安全
├─ OWASP Top 10
├─ Burp Suite 使用
└─ 10-20 个 Web 靶机

月份5-6: 系统渗透
├─ 提权技术
├─ 后渗透技术
└─ 20-30 个综合靶机

后续: 认证考试
└─ OSCP/CPTS

路径二：CTF 竞赛方向

阶段1: 基础训练
├─ OverTheWire 全系列
└─ PicoCTF

阶段2: 专项提升
├─ Web 安全
├─ 密码学
├─ 逆向工程
├─ PWN（二进制利用）
└─ 取证分析

阶段3: 实战演练
└─ 参加 CTF 比赛

💡 学习方法建议

1. 主动学习

• ❌ 不要只看视频不动手
• ✅ 每学一个知识点就去实践
• ✅ 遇到问题先自己思考
• ✅ 善用搜索引擎

2. 记录笔记

• 建立自己的知识库
• 记录遇到的问题和解决方法
• 整理常用命令和 Payload
• 定期回顾和总结

3. 参与社区

• 加入技术社区（论坛、Discord、Slack）
• 关注安全研究者的博客
• 分享自己的学习心得
• 参加线下技术交流活动

4. 坚持练习

• 每天保持 1-2 小时学习
• 每周完成 1-2 个靶机
• 持续学习，不要三天打鱼两天晒网

⚠️ 常见误区

1. 急于求成

   • 基础没打好就去学高级技术
   • 建议：扎实基础，循序渐进

2. 只看不练

   • 看了大量教程却不动手
   • 建议：实践是最好的老师

3. 工具依赖

   • 只会用自动化工具，不理解原理
   • 建议：理解原理比会用工具更重要

4. 孤立学习

   • 遇到问题闷头研究不交流
   • 建议：适时求助，参与社区

🔗 有用的资源

学习平台

• HackTheBox
• TryHackMe
• PortSwigger Academy

知识库

• HackTricks
• PayloadsAllTheThings
• OWASP

社区

• Reddit: r/netsec, r/AskNetsec
• Discord: 各大安全社区
• 中文社区：FreeBuf、先知社区

📝 第一周学习计划

给完全新手的第一周计划：

Day 1-2: 环境搭建

• 安装 Kali Linux 虚拟机
• 熟悉 Linux 基本命令

Day 3-4: 网络基础

• 学习 TCP/IP 基础
• 练习使用 Wireshark

Day 5-6: 第一个靶机

• 尝试 OverTheWire Bandit 前 10 关
• 记录学习笔记

Day 7: 回顾总结

• 整理本周学习内容
• 规划下周学习计划

---

🚀 准备好了吗？开始你的安全学习之旅吧！

记住：网络安全是一场马拉松，不是短跑。保持热情，持续学习！