基于VMWare的網(wǎng)絡(luò)安全實驗設(shè)計

盤煒生

摘要：計算機(jī)網(wǎng)絡(luò)安全實驗課程的特殊性使建立網(wǎng)絡(luò)安全環(huán)境比較困難，提出運(yùn)用VMWare創(chuàng)建虛擬機(jī)搭建網(wǎng)絡(luò)安全虛擬實驗網(wǎng)絡(luò)的方案。根據(jù)虛擬機(jī)的特點、網(wǎng)絡(luò)連接模式，以及網(wǎng)絡(luò)安全課程實驗項目，詳細(xì)地給出實驗案例DoS/DDoS攻擊和防范在虛擬網(wǎng)絡(luò)環(huán)境中的實現(xiàn)過程。實踐證明，運(yùn)用VMWare建立的網(wǎng)絡(luò)安全虛擬網(wǎng)絡(luò)和真實網(wǎng)絡(luò)環(huán)境的步驟、界面、系統(tǒng)響應(yīng)是一致的，能滿足網(wǎng)絡(luò)安全實驗的教學(xué)需求，教學(xué)效果良好。

關(guān)鍵詞：VMWare；網(wǎng)絡(luò)安全；虛擬機(jī)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）33-0021-02

Network Security Design of Experiment Based on VMWare

PAN Wei-sheng

（Education Technology and Computer Center ，Zhao Qing University， Zhaoqing 526061， China）

Abstract： The particularity of computer network security experiment makes building network security environment has become more difficult. We use the VMWare to create a virtual machine to build virtual experiment network of network security. According to the characteristics of the virtual machine and network connection mode， as well as the network security course experiment project， Test case is given in detail of the DoS/DDoS attack and guard against implementation process in virtual network environment. Practice has proved that using VMWare to establish the virtual network of network security ， its operational steps， interface， system response is consistent to the real network environment .Also its can satisfy the need of network security experiment teaching， and the teaching effect is good.

Key words： VMWare；network security；virtual machine

隨著互聯(lián)網(wǎng)的迅速普及，網(wǎng)絡(luò)應(yīng)用越來越深入地滲透到人們生活之中。然而互聯(lián)網(wǎng)在給人們帶來極大的便利的同時，網(wǎng)絡(luò)安全問題也越來越嚴(yán)重[1-2]。因此網(wǎng)絡(luò)安全也就成為社會現(xiàn)代化以及國家信息化的核心內(nèi)容之一。為適應(yīng)社會需要，目前國內(nèi)高校的計算機(jī)專業(yè)都設(shè)置了網(wǎng)絡(luò)安全課程。然而由于網(wǎng)絡(luò)安全教學(xué)實驗需要專門的硬件測試設(shè)備和設(shè)置復(fù)雜的實驗步驟，而且網(wǎng)絡(luò)安全實驗對主機(jī)系統(tǒng)、所在的局域網(wǎng)系統(tǒng)、校園網(wǎng)都有一定的破壞性和危害性，如果主機(jī)或網(wǎng)絡(luò)系統(tǒng)被破壞，將會造成難以預(yù)測的后果。另外如果建設(shè)專業(yè)的網(wǎng)絡(luò)安全實驗室，由需要投入較大資金，技術(shù)要求高，而且只為少數(shù)幾門網(wǎng)絡(luò)課程所使用，導(dǎo)致利用率很低。因此，引入虛擬機(jī)技術(shù)搭建網(wǎng)絡(luò)安全實驗平臺，以保證網(wǎng)絡(luò)安全教學(xué)的順利進(jìn)行，顯得非常必要[3]。

1 VMWare虛擬機(jī)技術(shù)

1.1 虛擬機(jī)

虛擬機(jī)就是以軟件虛擬機(jī)的方法把一臺物理電腦的硬盤和內(nèi)存虛擬出若干臺電腦主機(jī)，這些主機(jī)都擁有各自獨立的芯片和內(nèi)存、硬盤、網(wǎng)卡，可以像真正的計算機(jī)那樣運(yùn)行，如用戶可以在其中安裝Windows、Linux、Unix等操作系統(tǒng)，安裝各種應(yīng)用程序，訪問網(wǎng)絡(luò)空間資源，如同真正的計算機(jī)一樣[4]。

1.2 VMWare虛擬軟件

VMWare WorkStation是美國VMWare公司研發(fā)的虛擬機(jī)軟件，操作簡單，功能強(qiáng)大，是目前主流的虛擬機(jī)軟件，也是個人桌面虛擬化的首要選擇[5]。VMWare可以非常方便地構(gòu)建不同操作系統(tǒng)的虛擬機(jī)，例如在宿主機(jī)上可以建立Windows、Linux、Mac等虛擬機(jī)。因此VMWware虛擬機(jī)可以很好地滿足網(wǎng)絡(luò)安全實驗教學(xué)的需求。在VMWare中，可以同時運(yùn)行多個虛擬機(jī)，不同的虛擬機(jī)系統(tǒng)之間可以很方便通過窗口切換；同時還提供快照功能以保存虛擬機(jī)當(dāng)前的工作狀態(tài)，并能快速從快照狀態(tài)恢復(fù)回工作狀態(tài)，這為迅速進(jìn)入和退出虛擬機(jī)提供極大的方便?？寺」δ苡煽梢钥焖俚刂谱饕寻惭b和完成配置的虛擬機(jī)副本、節(jié)省存儲空間。此外，VMWare還可以在宿主機(jī)和各個虛擬機(jī)之間建立異構(gòu)的局域網(wǎng)，從而方便網(wǎng)絡(luò)應(yīng)用的開發(fā)和測試。這些使得VMWare成為構(gòu)建虛擬網(wǎng)絡(luò)安全實驗環(huán)境的理想選擇[6]。

2 虛擬實驗環(huán)境的構(gòu)建過程

2.1 建立虛擬機(jī)

本文采用VMWare Workstation 8.0 搭建網(wǎng)絡(luò)安全實驗的虛擬環(huán)境。VMWare Workstation 8.0體積較小，技術(shù)成熟，對系統(tǒng)的硬件配置要求不高，支持目前市場上多種流行操作系統(tǒng)的虛擬機(jī)構(gòu)建。在計算機(jī)實驗室的主機(jī)上先安裝VMWare軟件，然后建立用于網(wǎng)絡(luò)安全實驗所需要的虛擬機(jī)，同時在虛擬機(jī)中安裝相應(yīng)的網(wǎng)絡(luò)安全實驗所需軟件。為方便學(xué)生在進(jìn)入實驗至后能迅速地進(jìn)行實驗，將安裝好的虛擬機(jī)文件存放于服務(wù)器中，其中可包含Windows操作系統(tǒng)的虛擬機(jī)和Linux操作系統(tǒng)的虛擬機(jī)，學(xué)生只需要將所需要虛擬機(jī)文件從服務(wù)器下載至本機(jī)中，然后再作一些網(wǎng)絡(luò)IP設(shè)置就可以進(jìn)行實驗。

2.2 虛擬機(jī)網(wǎng)絡(luò)配置

VMWare創(chuàng)建的虛擬機(jī)需要配置網(wǎng)絡(luò)，才能與其他虛擬機(jī)或宿主機(jī)組建網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全實驗。運(yùn)行VMWare的電腦主機(jī)稱為宿主機(jī)。VMWare為虛擬機(jī)提供三種網(wǎng)絡(luò)工作模式：橋接模式（Bridged）、網(wǎng)絡(luò)地址轉(zhuǎn)換模式（NAT）、主機(jī)模式（Host-only）。進(jìn)行網(wǎng)絡(luò)配置后，虛擬機(jī)可以訪問網(wǎng)絡(luò)中其他計算機(jī)的資源。

在橋接模式下，虛擬機(jī)是與宿主機(jī)一樣相互獨立，如同連接同一交換機(jī)的兩臺主機(jī)。橋接模式是VMWare創(chuàng)建虛擬機(jī)的默認(rèn)方式，也是最簡單的方式。

在NAT模式中，宿主機(jī)與虛擬機(jī)通過VMnet8虛擬網(wǎng)卡進(jìn)行連接，雙方在同一網(wǎng)段進(jìn)行通信。虛擬機(jī)系統(tǒng)中的IP配置由VMnet8虛擬網(wǎng)中的DHCP服務(wù)器完成配置，不需要人工參與。但要注意的是，此模式下模擬機(jī)不能與其他宿主機(jī)相互訪問。

對于Host-only模式，宿主機(jī)和虛擬機(jī)系統(tǒng)之間是通過虛擬交換機(jī)VMnet1進(jìn)行的，虛擬機(jī)只能訪問其他宿主機(jī)的虛擬機(jī)，而不能與其他宿主機(jī)進(jìn)行通信。

綜上所述，橋接模式是最適合于建立網(wǎng)絡(luò)安全虛擬實驗網(wǎng)的，因為宿主機(jī)與虛擬機(jī)處于同一網(wǎng)段，便于組建局域網(wǎng)進(jìn)行網(wǎng)絡(luò)攻防等實驗。

3 虛擬網(wǎng)絡(luò)安全實驗設(shè)計

3.1實驗項目設(shè)計

網(wǎng)絡(luò)安全教學(xué)的目的在于使學(xué)生能全面掌握計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識，培養(yǎng)學(xué)生熟悉地操作計算機(jī)進(jìn)行網(wǎng)絡(luò)防御的能力，以及運(yùn)用相關(guān)技術(shù)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全配置和防護(hù)的能力。而采用虛擬機(jī)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全實驗，可以構(gòu)建虛擬的實驗教學(xué)平臺以確保網(wǎng)絡(luò)安全各種實驗的順利進(jìn)行?；谶@些考慮，我們設(shè)計的實驗項目如下：

表1 網(wǎng)絡(luò)安全實驗項目表

[序號＼&實驗名稱＼&1＼&ping和arp命令的使用＼&2＼&nslookup、tracert和netstat命令的使用＼&3＼&windump和流量分析＼&4＼&使用Sniffer工具嗅探＼&5＼&網(wǎng)絡(luò)端口掃描＼&6＼&綜合掃描及安全評估＼&7＼&帳號口令破解＼&8＼&木馬攻擊與防范＼&9＼&DoS/DDoS攻擊與防范＼&10＼&古典密碼算法＼&11＼&對稱密碼算法DES＼&12＼&非對稱密碼算法RSA＼&13＼&緩沖區(qū)溢出攻擊與防范＼&14＼&防火墻＼&15＼&入侵檢測系統(tǒng)＼&16＼&病毒防范＼&]

為方便讀者理解在虛擬網(wǎng)如何進(jìn)行網(wǎng)絡(luò)安全實驗，下面給出一個有代表性的案例。

3.2 案例：DoS/DDoS攻擊與防范

DoS/DDoS攻擊上網(wǎng)絡(luò)上的常見攻擊技術(shù)，它利用TCP/IP協(xié)議的缺陷，運(yùn)用欺騙策略對網(wǎng)絡(luò)發(fā)起攻擊，導(dǎo)致目標(biāo)主機(jī)資源被全部耗盡而無法處理正常用戶的請求，對外表現(xiàn)為拒絕服務(wù)。本案例在模擬機(jī)中采用黑客工具TFN2K[7]對一臺主機(jī)發(fā)起攻擊，虛擬機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。其中攻擊者端、兩個主控端均安裝Redhat Linux 9.0，三者IP分別為172.25.31.101、172.25.31.201、172.25.31.202；而被攻擊者端安裝Windows XP，設(shè)置IP為172.25.31.1。實驗步驟如下：

1）在攻擊者端執(zhí)行make命令對行情TFN2K進(jìn)行編譯，輸入控制密碼并記牢，如果編譯通過，同時生成tfn和td。

2）將td上傳至兩臺主控端虛擬機(jī)中，并在兩臺主控端中分別執(zhí)行td，在后臺運(yùn)行，等待接收來自攻擊者命令。

3）在攻擊者端建立文本文件host.txt，內(nèi)容為兩臺主控端虛擬機(jī)的IP。

4）在攻擊者端的終端中輸入以下命令

tfn -f host.txt -c -5 -i 172.25.31.1

這樣攻擊者端就向兩臺主控端發(fā)出命令，要求它們對目標(biāo)主機(jī)發(fā)起SYN flood攻擊。

5）在目標(biāo)主機(jī)上打開任務(wù)管理器，觀察CPU的使用情況。

4 結(jié)束語

運(yùn)用VMware建立網(wǎng)絡(luò)安全虛擬實驗網(wǎng)絡(luò)，在現(xiàn)有計算機(jī)實驗室就能夠建立網(wǎng)絡(luò)安全實驗環(huán)境，既升級了實驗環(huán)境，又節(jié)省了資金投入。所建立的虛擬實驗絡(luò)與真實的網(wǎng)絡(luò)相比較，無論窗口界面，還是操作步驟、命令響應(yīng)都是一樣的，不僅可以多次無損地重復(fù)進(jìn)行，之前由于設(shè)備數(shù)量所限而無法實現(xiàn)的內(nèi)容，現(xiàn)在也可以很容易地實現(xiàn)。在虛擬網(wǎng)絡(luò)中學(xué)生能按自己的想法大膽嘗試，無需擔(dān)心實驗環(huán)境被破壞，能調(diào)動學(xué)生的學(xué)習(xí)積極性和提高學(xué)生的創(chuàng)造能力。另外，在虛擬網(wǎng)絡(luò)中進(jìn)行網(wǎng)絡(luò)安全實驗教學(xué)，在提高實驗教學(xué)效果的同時又促進(jìn)理論教學(xué)， 保證了網(wǎng)絡(luò)安全教學(xué)內(nèi)容的廣度和深度，有效地提高學(xué)生的學(xué)習(xí)興趣和課程的教學(xué)質(zhì)量。我校的計算機(jī)專業(yè)采用此方案進(jìn)行網(wǎng)絡(luò)安全實驗教學(xué)，取得了良好的教學(xué)效果。

參考文獻(xiàn)：

[1] 石志國.計算機(jī)網(wǎng)絡(luò)安全教程[M]2版.北京：清華大學(xué)出版社，2012.

[2] 李劍.信息安全概論[M].北京：機(jī)械工業(yè)出版社，2009.

[3] 黃曉華.軟件還原與虛擬機(jī)技術(shù)在計算機(jī)實驗教學(xué)中的應(yīng)用[J].軟件導(dǎo)刊，2014，13（10）：194-196.

[4] 李玉峰，王睿.在虛擬機(jī)下搭建網(wǎng)絡(luò)安全課程教學(xué)平臺[J].內(nèi)蒙古農(nóng)業(yè)大學(xué)學(xué)報，2010，31（3）：277-281.

[5] Ferrari M. Release： VMware Workstation 9[J]. Red， 2015.

[6] 賈美娟，介龍梅，程曉旭.虛擬機(jī)技術(shù)在計算機(jī)安全技術(shù)實驗教學(xué)中的應(yīng)用[J].計算機(jī)教育，2012，12：82-85 .

[7] Wang Y， Jiang H， Liu Z， et al. A CRF-Based Method for DDoS Attack Detection[C]//Proceedings of the 4th International Conference on Computer Engineering and Networks. Springer International Publishing， 2015： 81-87.