網(wǎng)絡(luò)攻防模擬實(shí)驗(yàn)平臺的設(shè)計與實(shí)現(xiàn)*

孔軼艷

(柳州職業(yè)技術(shù)學(xué)院，廣西 柳州 545006)

0 引言

網(wǎng)絡(luò)安全是當(dāng)前網(wǎng)絡(luò)應(yīng)用中的一個研究熱點(diǎn)。為了能夠更好地分析和研究網(wǎng)絡(luò)安全相關(guān)技術(shù)，相應(yīng)的網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境或?qū)嶒?yàn)平臺，有著廣泛的應(yīng)用需求。然而由于網(wǎng)絡(luò)攻防的相關(guān)實(shí)驗(yàn)都對實(shí)驗(yàn)條件或?qū)嶒?yàn)環(huán)境都有比較高的要求，尤其是網(wǎng)絡(luò)攻防的相關(guān)實(shí)驗(yàn)，往往會對實(shí)驗(yàn)環(huán)境或目標(biāo)系統(tǒng)造成比較嚴(yán)重的危害，有些損壞甚至是不可逆轉(zhuǎn)的。因此圍繞網(wǎng)絡(luò)攻防的相關(guān)實(shí)驗(yàn)環(huán)境或訓(xùn)練平臺的研究，一直是人們所關(guān)注的一個重點(diǎn)。目前，針對網(wǎng)絡(luò)攻防實(shí)驗(yàn)或訓(xùn)練系統(tǒng)的相關(guān)研究成果主要有：董輝,馬建的《基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺的構(gòu)建》針對傳統(tǒng)被動防御式網(wǎng)絡(luò)安全教學(xué)實(shí)驗(yàn)平臺的缺點(diǎn),研究虛擬機(jī)和蜜網(wǎng)關(guān)鍵技術(shù)，構(gòu)建基于虛擬蜜網(wǎng)技術(shù)的網(wǎng)絡(luò)安全教學(xué)實(shí)驗(yàn)平臺，并給出平臺核心功能實(shí)現(xiàn)過程?？准t山，唐俊，張明清的《基于SITL的網(wǎng)絡(luò)攻防仿真平臺的設(shè)計與實(shí)現(xiàn)》針對網(wǎng)絡(luò)仿真工具在網(wǎng)絡(luò)安全仿真方面的不足，引入系統(tǒng)在環(huán)技術(shù)構(gòu)建網(wǎng)絡(luò)攻防仿真平臺，可解決其缺少網(wǎng)絡(luò)攻擊模型、應(yīng)用層沒有對攻擊的響應(yīng)、安全功能建模困難等問題[1-2]。

從目前的研究成果來看，當(dāng)前針對網(wǎng)絡(luò)攻防的相關(guān)實(shí)驗(yàn)環(huán)境基本上都是采用虛擬化技術(shù)，針對某一種網(wǎng)絡(luò)安全問題提供相應(yīng)的實(shí)驗(yàn)環(huán)境。這一類的實(shí)驗(yàn)環(huán)境所能夠開展的網(wǎng)絡(luò)攻防實(shí)驗(yàn)內(nèi)容十分有限，因此在實(shí)際應(yīng)用過程中局限性比較明顯。為了能夠更好地開展網(wǎng)絡(luò)攻防相關(guān)實(shí)驗(yàn)和訓(xùn)練，本文設(shè)計了一個綜合性的網(wǎng)絡(luò)攻防實(shí)驗(yàn)訓(xùn)練平臺，在該平臺中既可以開展網(wǎng)絡(luò)攻擊的相關(guān)實(shí)驗(yàn)，也可以開展網(wǎng)絡(luò)防護(hù)的相關(guān)實(shí)驗(yàn)，甚至還可以開展網(wǎng)絡(luò)攻防的對抗性實(shí)驗(yàn)和訓(xùn)練。因此，能夠?yàn)橛脩籼峁┕δ芨鼮槿妗⑿阅芨鼮閮?yōu)越、仿真程度更為逼真的網(wǎng)絡(luò)攻防實(shí)驗(yàn)訓(xùn)練環(huán)境[3-4]。

1 網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺設(shè)計

網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺組成結(jié)構(gòu)如圖1所示，組成網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺的硬件結(jié)構(gòu)上主要有高性能服務(wù)器、路由器、交換機(jī)、實(shí)驗(yàn)終端等設(shè)備所組成。在整個網(wǎng)絡(luò)硬件結(jié)構(gòu)中，路由器和交換機(jī)負(fù)責(zé)網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺的互聯(lián)互通，兩個服務(wù)器主要為網(wǎng)絡(luò)攻防模擬訓(xùn)練提供虛擬化的操作環(huán)境，使用高性能的服務(wù)器能夠在當(dāng)臺服務(wù)器上實(shí)現(xiàn)多個應(yīng)用終端的虛擬。通過虛擬化的技術(shù)，能夠在兩臺服務(wù)器上分別虛擬出網(wǎng)絡(luò)攻擊子系統(tǒng)和網(wǎng)絡(luò)防護(hù)子系統(tǒng)。網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺中的用戶終端是為用戶登錄和使用網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺的終端計算機(jī)。利用每一臺終端計算機(jī)，用戶可以連接到網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺中來。而且在每個用戶終端上本身也安裝有虛擬機(jī)軟件，能夠在當(dāng)臺終端上虛擬出四個虛擬終端，從而一些小型化的本地網(wǎng)絡(luò)攻防實(shí)驗(yàn)可以在用戶終端計算機(jī)上通過虛擬終端來實(shí)現(xiàn)攻防實(shí)驗(yàn)。當(dāng)用戶希望進(jìn)行較大規(guī)模的網(wǎng)絡(luò)攻防實(shí)驗(yàn)，則可以連接至訓(xùn)練平臺中的服務(wù)器。通過服務(wù)器虛擬出多個應(yīng)用終端，分別設(shè)置為攻擊子系統(tǒng)的應(yīng)用終端，或防護(hù)子系統(tǒng)的應(yīng)用終端。每一個應(yīng)用終端分別應(yīng)用攻擊子系統(tǒng)和網(wǎng)絡(luò)防護(hù)子系統(tǒng)的網(wǎng)絡(luò)管理和網(wǎng)絡(luò)配置，使得每一個應(yīng)用終端成為攻擊子系統(tǒng)或防護(hù)子系統(tǒng)的一個組成部分。之后用戶既可以利用攻擊子系統(tǒng)或防護(hù)子系統(tǒng)中自帶的各種應(yīng)用工具開展網(wǎng)絡(luò)攻防的實(shí)驗(yàn)，也可以在虛擬終端上，利用虛擬終端所提供的二次開發(fā)平臺和二次開發(fā)應(yīng)用接口，有針對性地開發(fā)一系列的網(wǎng)絡(luò)攻防應(yīng)用程序，從而實(shí)現(xiàn)靈活多樣的網(wǎng)絡(luò)攻防實(shí)踐操作[5-6]。

圖1 網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺組成結(jié)構(gòu)

網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺設(shè)計和實(shí)現(xiàn)過程中，首先選購相應(yīng)的網(wǎng)絡(luò)設(shè)備，搭建網(wǎng)絡(luò)攻防訓(xùn)練模擬平臺的硬件基礎(chǔ)設(shè)施。然后在網(wǎng)絡(luò)攻防訓(xùn)練平臺上的兩臺服務(wù)器以及所有客戶終端上安裝虛擬機(jī)軟件，并分別完成網(wǎng)絡(luò)攻擊子系統(tǒng)的應(yīng)用配置和網(wǎng)絡(luò)防護(hù)子系統(tǒng)的應(yīng)用配置。在整個設(shè)計和實(shí)現(xiàn)過程中，攻擊子系統(tǒng)和防護(hù)子系統(tǒng)的應(yīng)用配置是整個網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺實(shí)現(xiàn)過程中的關(guān)鍵環(huán)節(jié)。兩個應(yīng)用子系統(tǒng)能夠配置一些什么樣的功能，能夠?yàn)橛脩籼峁┠男?yīng)用工具，直接決定了用戶在該實(shí)驗(yàn)平臺上所能夠開展的網(wǎng)絡(luò)攻防訓(xùn)練操作內(nèi)容。而且網(wǎng)絡(luò)攻防訓(xùn)練子系統(tǒng)中所提供的二次開發(fā)接口，也直接決定了用戶能否應(yīng)用該平臺方便靈活地設(shè)計一些有針對性的網(wǎng)絡(luò)攻防應(yīng)用程序。因此本文將重點(diǎn)圍繞網(wǎng)絡(luò)攻防子系統(tǒng)的開發(fā)與設(shè)計，詳細(xì)闡述網(wǎng)絡(luò)攻防模擬訓(xùn)練平臺的實(shí)現(xiàn)過程[7]。

2 網(wǎng)絡(luò)攻擊子系統(tǒng)的設(shè)計

網(wǎng)絡(luò)攻擊子系統(tǒng)主要是模擬和實(shí)現(xiàn)各種常見的網(wǎng)絡(luò)攻擊操作，能夠?yàn)橛脩籼峁┝己玫慕涌诩柏S富的攻擊工具，使得用戶利用該子系統(tǒng)能夠有效地開展網(wǎng)絡(luò)攻擊相關(guān)實(shí)驗(yàn)。網(wǎng)絡(luò)攻擊子系統(tǒng)的實(shí)現(xiàn)是利用在虛擬機(jī)上配置相應(yīng)的網(wǎng)絡(luò)攻擊應(yīng)用程序或?qū)Ｓ霉ぞ邔?shí)現(xiàn)網(wǎng)絡(luò)攻擊子系統(tǒng)的各種功能。網(wǎng)絡(luò)攻擊子系統(tǒng)的組成結(jié)構(gòu)如圖2所示，在本文設(shè)計的網(wǎng)絡(luò)攻擊子系統(tǒng)中，主要包括DDOS攻擊、漏洞掃描程序、ARP欺騙程序、網(wǎng)絡(luò)修繕程序、中間人攻擊代碼和常見的網(wǎng)絡(luò)漏洞利用源碼。

通過網(wǎng)絡(luò)攻擊子系統(tǒng)中所包括的這些常用的攻擊程序或模塊，可以實(shí)現(xiàn)對目標(biāo)系統(tǒng)或目標(biāo)網(wǎng)絡(luò)的一些典型的網(wǎng)絡(luò)攻擊行為。其中，網(wǎng)絡(luò)漏洞利用攻擊源碼是指針對網(wǎng)絡(luò)中的操作系統(tǒng)或某些應(yīng)用軟件所存在的一些安全漏洞專門開發(fā)的一些漏洞利用攻擊源碼。由于漏洞利用攻擊源碼在實(shí)際應(yīng)用過程中，往往需要結(jié)合實(shí)際的應(yīng)用環(huán)境和應(yīng)用目標(biāo)的特點(diǎn)才能開展更有針對性的網(wǎng)絡(luò)攻擊行為。因此，網(wǎng)絡(luò)攻擊子系統(tǒng)在實(shí)際應(yīng)用過程中往往需要對漏洞利用攻擊源碼進(jìn)行裁剪或修改[8]，以保證漏洞利用源碼在真正的目標(biāo)系統(tǒng)上能夠發(fā)揮攻擊效果。為此，本文設(shè)計的網(wǎng)絡(luò)攻擊子系統(tǒng)中包含了一個二次開發(fā)接口，該二次開發(fā)接口既可以為網(wǎng)絡(luò)攻擊子系統(tǒng)中自身所攜帶的漏洞利用攻擊源碼進(jìn)行修改、調(diào)試和動態(tài)配置，也支持用戶利用對于二次開發(fā)接口實(shí)現(xiàn)一些用戶自定義的攻擊方式和攻擊過程。通過網(wǎng)絡(luò)攻擊子系統(tǒng)自身所攜帶的各種常見的網(wǎng)絡(luò)攻擊模塊，可以簡化用戶開展網(wǎng)絡(luò)攻擊實(shí)驗(yàn)的難度，也有助于用戶利用這些網(wǎng)絡(luò)攻擊工具，針對一些較為復(fù)雜的目標(biāo)系統(tǒng)或目標(biāo)網(wǎng)絡(luò)開展綜合性的網(wǎng)絡(luò)攻擊實(shí)驗(yàn)。而利用攻擊子系統(tǒng)中所提供的二次開發(fā)接口，則可以使用戶靈活地根據(jù)網(wǎng)絡(luò)攻擊過程中所反映出來的問題，結(jié)合目標(biāo)系統(tǒng)所存在的現(xiàn)實(shí)漏洞狀況，動態(tài)地調(diào)整攻擊策略和攻擊方法，開發(fā)一些時效性強(qiáng)、靈活多樣的網(wǎng)絡(luò)攻擊源碼。因此，網(wǎng)絡(luò)攻擊子系統(tǒng)這種設(shè)計結(jié)構(gòu)既能夠?yàn)橛脩籼峁?yàn)證性的網(wǎng)絡(luò)攻防實(shí)驗(yàn)[9-10]，也能夠?yàn)橛脩籼峁┮恍┰O(shè)計性和創(chuàng)新性的網(wǎng)絡(luò)攻擊實(shí)驗(yàn)。

圖2 網(wǎng)絡(luò)攻擊子系統(tǒng)組成結(jié)構(gòu)

3 網(wǎng)絡(luò)防護(hù)子系統(tǒng)的設(shè)計

網(wǎng)絡(luò)防護(hù)子系統(tǒng)的設(shè)計組成結(jié)構(gòu)如圖3所示。本文設(shè)計的網(wǎng)絡(luò)防護(hù)子系統(tǒng)主要包括？檢測模塊、木馬查殺模塊、病毒防護(hù)模塊、系統(tǒng)進(jìn)程監(jiān)護(hù)模塊、防火墻網(wǎng)絡(luò)流量監(jiān)測模塊、端口監(jiān)測模塊以及系統(tǒng)日志模塊。網(wǎng)絡(luò)防護(hù)子系統(tǒng)的主要應(yīng)用目的，是為用戶提供網(wǎng)絡(luò)防護(hù)的相關(guān)管理和配置的實(shí)驗(yàn)操作，而且利用這些網(wǎng)絡(luò)防護(hù)的管理和配置操作，讓用戶理解和掌握各種網(wǎng)絡(luò)防護(hù)工具的使用方法和操作技巧。同時通過網(wǎng)絡(luò)防護(hù)子系統(tǒng)在實(shí)際應(yīng)用過程中表現(xiàn)出的各種現(xiàn)象和狀態(tài)，讓用戶掌握各種網(wǎng)絡(luò)現(xiàn)象，分析和判斷當(dāng)前網(wǎng)絡(luò)狀況以及所遭受的網(wǎng)絡(luò)攻擊情況。根據(jù)網(wǎng)絡(luò)防護(hù)子系統(tǒng)的設(shè)計目標(biāo)，在網(wǎng)絡(luò)防護(hù)子系統(tǒng)中，用戶可以對圖三中所示的各種應(yīng)用子模塊進(jìn)行靈活動態(tài)的配置和管理[11-12]，以提高目標(biāo)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)等級。

利用本文設(shè)計的網(wǎng)絡(luò)防護(hù)子系統(tǒng)中的各應(yīng)用模塊，用戶可以調(diào)用系統(tǒng)進(jìn)程監(jiān)視模塊和端口監(jiān)測模塊對當(dāng)前目標(biāo)系統(tǒng)中所有運(yùn)行的進(jìn)程進(jìn)行監(jiān)視和管理，同時對所有與當(dāng)前計算機(jī)相連的網(wǎng)絡(luò)端口進(jìn)行監(jiān)測。網(wǎng)絡(luò)流量監(jiān)測模塊則是可以為目標(biāo)系統(tǒng)應(yīng)用過程中對外的通信數(shù)據(jù)流量進(jìn)行監(jiān)測[13]，如果目標(biāo)系統(tǒng)在實(shí)際應(yīng)用過程中數(shù)據(jù)通信流量出現(xiàn)異常，則可以提示用戶對當(dāng)前的網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行分析，以檢測是否存在異常數(shù)據(jù)流量，進(jìn)而發(fā)現(xiàn)是否存在一些惡意的網(wǎng)絡(luò)攻擊行為。病毒和木馬查收模塊可以為用戶對當(dāng)前計算機(jī)的運(yùn)行安全提供更為全面的保障，防止一些惡意的病毒或木馬入侵目標(biāo)計算機(jī)。防火墻是目標(biāo)系統(tǒng)對網(wǎng)絡(luò)安全管理的一個有效的應(yīng)用模塊。防火墻的應(yīng)用往往結(jié)合網(wǎng)絡(luò)流量模塊和端口監(jiān)測模塊共同使用，當(dāng)用戶通過網(wǎng)絡(luò)流量和端口監(jiān)測模塊發(fā)現(xiàn)當(dāng)前目標(biāo)系統(tǒng)中存在通信的異常，可以調(diào)用防火墻對一些異常的通信端口或通信進(jìn)程進(jìn)行數(shù)據(jù)通信的阻斷或攔截，防止用戶的目標(biāo)計算機(jī)遭受來自遠(yuǎn)程網(wǎng)絡(luò)的一些非法攻擊。入侵檢測系統(tǒng)則是一個綜合性的網(wǎng)絡(luò)防護(hù)系統(tǒng)，其能夠根據(jù)目標(biāo)系統(tǒng)的實(shí)際運(yùn)行狀況、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)連接等各種狀態(tài)信息，綜合分析和判斷，檢測當(dāng)前目標(biāo)系統(tǒng)中是否有遭受來自網(wǎng)絡(luò)的各種安全威脅。系統(tǒng)日志模塊則是對目標(biāo)系統(tǒng)上所有的操作進(jìn)行記錄的模塊，無論這些操作是用戶自身所進(jìn)行的操作，或是網(wǎng)絡(luò)應(yīng)用程序以及遠(yuǎn)程的網(wǎng)絡(luò)調(diào)用所執(zhí)行的相關(guān)操作，都將會在系統(tǒng)日志中留下相關(guān)記錄，這將為用戶分析網(wǎng)絡(luò)安全狀況、追蹤網(wǎng)絡(luò)攻擊的一個重要手段。

圖3 網(wǎng)絡(luò)防護(hù)子系統(tǒng)組成結(jié)構(gòu)

根據(jù)本文設(shè)計的網(wǎng)絡(luò)防護(hù)子系統(tǒng)的組成結(jié)構(gòu)以及組成結(jié)構(gòu)中各模塊所能提供的功能和應(yīng)用，可以為用戶提供一個全方位、靈活可配置的網(wǎng)絡(luò)防護(hù)子系統(tǒng)。應(yīng)用該子系統(tǒng)的各種功能，能夠支持用戶在該環(huán)境下開展網(wǎng)絡(luò)攻防的相關(guān)實(shí)驗(yàn)和訓(xùn)練內(nèi)容。

4 結(jié)語

網(wǎng)絡(luò)攻防實(shí)驗(yàn)對實(shí)驗(yàn)條件要求很高，而且由于網(wǎng)絡(luò)攻擊的巨大破壞性，使得網(wǎng)絡(luò)攻防實(shí)驗(yàn)不能夠在普通的互聯(lián)網(wǎng)上開展。這將使得網(wǎng)絡(luò)攻防的訓(xùn)練平臺的開發(fā)和設(shè)計變得十分有必要。本文通過采用虛擬機(jī)技術(shù)，在服務(wù)器上虛擬出網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防護(hù)子系統(tǒng)，能夠?qū)崿F(xiàn)當(dāng)前絕大多數(shù)的網(wǎng)路攻擊操作以及網(wǎng)絡(luò)防護(hù)的配置管理。

[1] 董輝,馬建.基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺的構(gòu)建[J].齊齊哈爾大學(xué)學(xué)報:自然科學(xué)版,2012,28(02):67-72.

[2] 汪淵,楊槐,朱安國.基于插件的網(wǎng)絡(luò)攻防訓(xùn)練模擬系統(tǒng)設(shè)計與實(shí)現(xiàn)[J].計算機(jī)技術(shù)與發(fā)展,2010,20(07):172-174.

[3] 孔紅山,唐俊,張明清.基于SITL的網(wǎng)絡(luò)攻防仿真平臺的設(shè)計與實(shí)現(xiàn)[J].計算機(jī)應(yīng)用研究,2011,28(07):2715-2718.

[4] 周緋菲,潘杰,夏永恒,等.OPNET環(huán)境下DOS nuke的攻防仿真[J].上海海事大學(xué)學(xué)報,2008,29(02):86-90.

[5] 張明清,謝杰,張敏,等.基于OPNET的拒絕服務(wù)攻擊建模與仿真[J].系統(tǒng)仿真學(xué)報,2008,20(10):2736-2739.

[6] 肖道舉,楊素娟,周開鋒,等.網(wǎng)絡(luò)安全評估模型研究[J].華中科技大學(xué)學(xué)報:自然科學(xué)版,2002,30(04):37-39.

[7] 潘峰,孫鵬,劉景浩.一個實(shí)用、高效網(wǎng)絡(luò)攻防訓(xùn)練模擬系統(tǒng)的設(shè)計與實(shí)現(xiàn)[J].信息安全與通信保密,2005(07):327-331.

[8] 諶黔燕.綜合性、設(shè)計性實(shí)驗(yàn)的開發(fā)與探索——網(wǎng)絡(luò)攻防實(shí)驗(yàn)?zāi)Ｐ偷脑O(shè)計與實(shí)現(xiàn)[J].實(shí)驗(yàn)科學(xué)與技術(shù),2005,3(S1):39-41.

[9] 成衛(wèi)青,楊哲睿.網(wǎng)絡(luò)編程實(shí)驗(yàn)設(shè)計與教學(xué)研究[J].實(shí)驗(yàn)科學(xué)與技術(shù),2010,8(02):99-101.

[10] 姜沫岐,陳月云.基于DSP構(gòu)建綜合仿真平臺的OFDM系統(tǒng)實(shí)現(xiàn)[J].信息安全與通信保密,2006(03):86-88.

[11] 文軍,王加懂.DSP程序在線編程的研究與實(shí)現(xiàn)[J].信息安全與通信保密,2007(08): 192-195,198.

[12] 楊華,楊松岸,黃修超.以TMS320C6205為核心的MPEG-4編碼器的設(shè)計與實(shí)現(xiàn)[J].通信技術(shù),2003(11):1-2,5.

[13] 易克非,胡慶鋒.基于DSP的實(shí)時多任務(wù)調(diào)度內(nèi)核設(shè)計[J].通信技術(shù),2011,44(06):135-137.