網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略下的新型網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)模式探索

朱昊+徐濟(jì)成+李靜月

摘要：該文旨在探討網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略下，圍繞大學(xué)生網(wǎng)絡(luò)安全課程實(shí)驗(yàn)教學(xué)，嘗試將網(wǎng)絡(luò)安全意識(shí)、真實(shí)問(wèn)題情境、職業(yè)化素質(zhì)理念等多種要素融入到實(shí)驗(yàn)教學(xué)過(guò)程，激發(fā)學(xué)生的積極性和主動(dòng)性，引導(dǎo)學(xué)生按照發(fā)現(xiàn)、分析和解決問(wèn)題的一般規(guī)律逐步解決問(wèn)題，并以問(wèn)題清單的形式對(duì)實(shí)驗(yàn)進(jìn)行總結(jié)，最終體現(xiàn)“學(xué)生為主、教師為輔”的教學(xué)理念，同時(shí)提升學(xué)生的實(shí)踐動(dòng)手能力。

關(guān)鍵詞：ARP欺騙攻擊；網(wǎng)絡(luò)安全意識(shí)；問(wèn)題情境；職業(yè)素質(zhì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）35-0100-03

Abstract： This paper aims to integrate the network safety consciousness， real problem situation， professional quality concept into the college experimental teaching process under the strategy of network power， to stimulate students' enthusiasm and initiative， and guide students to find， analyze and solve the problem， to sum up the experiment in the form of lists. Ultimately， the "student oriented， supplemented by teachers" teaching ideas are reflected， and students' practical ability are enhanced.

Key words： ARP spoofing；network safety consciousness； problem situation； professional quality

1 引言

2014年來(lái)，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長(zhǎng)習(xí)近平多次提出了“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”以及“建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)”的重要論斷。2015年政府工作報(bào)告提出的“互聯(lián)網(wǎng)+行動(dòng)計(jì)劃” 體現(xiàn)出信息化對(duì)網(wǎng)絡(luò)發(fā)展巨大推動(dòng)作用和以網(wǎng)絡(luò)為載體的數(shù)據(jù)驅(qū)動(dòng)巨大魅力的同時(shí)，也呼喚著人們通過(guò)網(wǎng)絡(luò)的進(jìn)一步發(fā)展來(lái)不斷提升網(wǎng)絡(luò)安全的能力和意識(shí)。兩屆國(guó)家網(wǎng)絡(luò)安全宣傳周活動(dòng)的開(kāi)展也為加強(qiáng)全民網(wǎng)絡(luò)安全宣傳教育、提升網(wǎng)民的網(wǎng)絡(luò)安全防范意識(shí)和技能提供了良好的途徑。

網(wǎng)絡(luò)安全上升到國(guó)家戰(zhàn)略層面，各類網(wǎng)絡(luò)攻擊和竊取事件的頻發(fā)驅(qū)動(dòng)信息安全需求急劇增加，目前網(wǎng)絡(luò)安全普遍存在的問(wèn)題是信息安全意識(shí)不強(qiáng)、缺乏整體安全方案、沒(méi)有安全管理機(jī)制、系統(tǒng)本身不安全以及缺少必要的安全專才。

網(wǎng)絡(luò)安全意識(shí)比技術(shù)更重要。作為培養(yǎng)網(wǎng)絡(luò)專業(yè)技能人才的一線高校教師，在平常實(shí)驗(yàn)教學(xué)中除了借助各種安全設(shè)備和環(huán)境完成實(shí)訓(xùn)內(nèi)容外，更重要的是提升學(xué)生的安全意識(shí)和處理安全事故的能力，在提高專業(yè)技能水平的同時(shí)培養(yǎng)學(xué)生的職業(yè)素質(zhì)，因此設(shè)計(jì)好網(wǎng)絡(luò)安全實(shí)驗(yàn)課程顯得尤為重要。本文以ARP欺騙攻擊與防范實(shí)驗(yàn)教學(xué)為例，探索在真實(shí)網(wǎng)絡(luò)安全情境下，新型安全課程實(shí)驗(yàn)教學(xué)模式的改革以及教學(xué)效果。

2 ARP欺騙攻擊原理

ARP協(xié)議是以太網(wǎng)等數(shù)據(jù)鏈路層的基礎(chǔ)協(xié)議，負(fù)責(zé)完成IP地址到硬件地址的映射。工作過(guò)程簡(jiǎn)述如下：1）當(dāng)主機(jī)或者網(wǎng)絡(luò)設(shè)備需要解析一個(gè)IP地址對(duì)應(yīng)的MAC地址時(shí)，會(huì)廣播發(fā)送ARP請(qǐng)求報(bào)文。2）主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到ARP請(qǐng)求后，會(huì)進(jìn)行應(yīng)答。同時(shí)，根據(jù)請(qǐng)求發(fā)送者的IP地址和MAC地址的對(duì)應(yīng)關(guān)系建立ARP表項(xiàng)。3）發(fā)起請(qǐng)求的主機(jī)或者網(wǎng)絡(luò)設(shè)備接收到應(yīng)答后，同樣會(huì)將應(yīng)答報(bào)文中發(fā)送者的IP地址和MAC地址的映射關(guān)系記錄下來(lái)，生成ARP表項(xiàng)。從ARP工作機(jī)制可以看出，ARP協(xié)議簡(jiǎn)單易用，但是卻沒(méi)有任何安全機(jī)制，攻擊者可以發(fā)送偽造ARP報(bào)文對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。偽造ARP報(bào)文具有如下特點(diǎn)：偽造的ARP報(bào)文中源MAC地址/目的MAC地址和以太網(wǎng)幀封裝中的源MAC地址/目的MAC地址不一致；偽造的ARP報(bào)文中源IP地址和源MAC地址的映射關(guān)系不是合法用戶真實(shí)的映射關(guān)系。目前主要的ARP攻擊方式有如下幾類：仿冒網(wǎng)關(guān)攻擊、仿冒用戶攻擊（欺騙網(wǎng)關(guān)或者其他主機(jī)）、泛洪攻擊。

3 問(wèn)題情境設(shè)計(jì)

教學(xué)情境是課堂教學(xué)的基本要素，有價(jià)值的教學(xué)情境一定是內(nèi)含問(wèn)題的情境，它能有效地引發(fā)學(xué)生的思考。問(wèn)題情境的創(chuàng)設(shè)，對(duì)于學(xué)生學(xué)習(xí)興趣的激發(fā)起著決定作用。因此，如何設(shè)計(jì)具有一定情緒色彩的、以形象為主體的生動(dòng)具體的場(chǎng)景，以激發(fā)學(xué)生一定的情感，就成為教學(xué)之初需要考慮的問(wèn)題。

在一個(gè)沒(méi)有防御的園區(qū)網(wǎng)中爆發(fā)的ARP病毒會(huì)造成網(wǎng)絡(luò)丟包、不能訪問(wèn)網(wǎng)關(guān)、IP地址沖突等問(wèn)題，實(shí)驗(yàn)室所有主機(jī)分配的是同一網(wǎng)段IP地址，接入交換機(jī)，預(yù)先在教師機(jī)上開(kāi)啟Sniffer嗅探者軟件，運(yùn)行數(shù)據(jù)包發(fā)生器，修改后的ARP廣播報(bào)文會(huì)持續(xù)被發(fā)送到當(dāng)前局域網(wǎng)中，為學(xué)生建立一個(gè)真實(shí)園區(qū)網(wǎng)面臨的問(wèn)題情境，接下來(lái)引導(dǎo)學(xué)生按照“發(fā)現(xiàn)問(wèn)題-分析問(wèn)題-解決問(wèn)題”的順序完成實(shí)驗(yàn)內(nèi)容，提升自己的安全意識(shí)和實(shí)踐能力。

4 實(shí)施過(guò)程

4.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)室所有主機(jī)處于同一網(wǎng)段，類似如下所示的拓?fù)鋱D環(huán)境：

4.2 問(wèn)題情境的構(gòu)造

教師機(jī)IP地址為172.16.75.105，在本實(shí)驗(yàn)中充當(dāng)攻擊者身份。首先構(gòu)造用于攻擊的ARP欺騙報(bào)文，在Sniffer軟件上定義好過(guò)濾器后，開(kāi)始捕獲報(bào)文，首先將教師機(jī)的ARP緩存清空，嘗試PING網(wǎng)關(guān)，停止捕獲并顯示結(jié)果如下圖所示，

發(fā)送當(dāng)前的幀之前做如下修改：（1）更改源IP地址為網(wǎng)關(guān)IP地址；（2）更改源MAC地址為偽造的MAC 地址11-22-33-44-55-66；（3）更改目的IP地址為任一同網(wǎng)段主機(jī)IP地址；（4）更改目的MAC地址為全F值。設(shè)置為連續(xù)不斷地發(fā)送幀，啟動(dòng)數(shù)據(jù)幀發(fā)生器，此時(shí)當(dāng)前網(wǎng)段會(huì)充斥著此類ARP廣播報(bào)文。

4.3 問(wèn)題情境的呈現(xiàn)

以4-5人為一組，以真實(shí)的網(wǎng)絡(luò)管理員遇到的企業(yè)局域網(wǎng)故障為案例，向?qū)W生說(shuō)明經(jīng)常受到的網(wǎng)絡(luò)攻擊來(lái)自于網(wǎng)絡(luò)內(nèi)部，表現(xiàn)為訪問(wèn)互聯(lián)網(wǎng)時(shí)斷時(shí)續(xù)，打開(kāi)網(wǎng)頁(yè)或下載文件的速度明顯變慢，甚至無(wú)法訪問(wèn)公司的Web服務(wù)器等資源，嚴(yán)重影響了企業(yè)辦公業(yè)務(wù)的正常運(yùn)行，公司領(lǐng)導(dǎo)對(duì)此很不滿意，要求立刻徹底解決問(wèn)題。要求在實(shí)驗(yàn)報(bào)告上完成每步測(cè)試內(nèi)容并填寫檢查結(jié)果。此環(huán)節(jié)注重引入職業(yè)教育理念，既要注重技能鍛煉，又要注意素質(zhì)培養(yǎng)。立足本職崗位，敢于承擔(dān)責(zé)任，從工作中發(fā)現(xiàn)問(wèn)題是什么，為什么到怎么做，同時(shí)培養(yǎng)學(xué)生的團(tuán)隊(duì)意識(shí)。

4.4發(fā)現(xiàn)問(wèn)題

此環(huán)節(jié)旨在讓學(xué)生運(yùn)用已掌握的網(wǎng)絡(luò)維護(hù)技能發(fā)現(xiàn)當(dāng)前局域網(wǎng)存在的問(wèn)題，通過(guò)觀察學(xué)生在測(cè)試環(huán)節(jié)中采用的方法，可以了解到學(xué)生能否快速有效地定位網(wǎng)絡(luò)中的故障，在不投入新的設(shè)備情況下解決問(wèn)題。

通過(guò)觀察，多數(shù)學(xué)生會(huì)按照如下測(cè)試步驟檢測(cè)網(wǎng)絡(luò)狀況：1）檢查本機(jī)網(wǎng)絡(luò)連接情況及IP地址是否有效；2）檢查與同一網(wǎng)段內(nèi)其余主機(jī)連接情況；3）檢查與網(wǎng)關(guān)連接情況；4）檢查與DNS服務(wù)器連接情況；5）檢查與Web服務(wù)器連接情況。這一過(guò)程旨在幫助學(xué)生基于收集到的測(cè)試數(shù)據(jù)判斷問(wèn)題癥結(jié)點(diǎn)的能力，只有在充分調(diào)查研究的基礎(chǔ)上具體問(wèn)題具體分析，才能把存在的問(wèn)題癥結(jié)點(diǎn)找準(zhǔn)、找實(shí)、找透，才能開(kāi)對(duì)方子，做到對(duì)癥下藥。

4.5分析問(wèn)題

根據(jù)課堂反映來(lái)看，絕大多數(shù)學(xué)生在實(shí)施到第3步時(shí)發(fā)現(xiàn)PING網(wǎng)關(guān)IP地址不通，并且重啟機(jī)器后癥狀依舊，沒(méi)過(guò)多久又會(huì)產(chǎn)生丟包現(xiàn)象。不少學(xué)生通過(guò)使用ARP -a命令發(fā)現(xiàn)學(xué)習(xí)到的網(wǎng)關(guān)MAC地址是偽造的11-22-33-44-55-66，進(jìn)而判斷出問(wèn)題在于網(wǎng)關(guān)MAC地址被篡改，通過(guò)使用Sniffer軟件，可以嗅探到局域網(wǎng)內(nèi)充斥著大量的ARP報(bào)文，并且通過(guò)抓包分析，發(fā)現(xiàn)源IP地址為172.16.75.254的網(wǎng)關(guān)的MAC地址為11-22-33-44-55-66。此時(shí)需要引導(dǎo)學(xué)生去思考兩個(gè)問(wèn)題：一是為什么主機(jī)會(huì)無(wú)條件更新，二是如何防范此類錯(cuò)誤。結(jié)合課本上提到的TCP/IP協(xié)議棧的脆弱性，部分同學(xué)會(huì)得出主機(jī)并不對(duì)收到的ARP報(bào)文進(jìn)行檢查，從而導(dǎo)致PC主機(jī)更新本機(jī)ARP緩存里的網(wǎng)關(guān)MAC地址的結(jié)論。

這個(gè)分析問(wèn)題的過(guò)程注重培養(yǎng)學(xué)生遇到問(wèn)題的應(yīng)變能力，這種能力的訓(xùn)練對(duì)于今后可能從事的網(wǎng)絡(luò)運(yùn)維崗位而言，是非常有必要的。

4.6 解決問(wèn)題

明白了問(wèn)題的原因，如何解決問(wèn)題就是一個(gè)水到渠成的過(guò)程。通過(guò)幾分鐘分組討論的形式，最后總結(jié)了幾組的意見(jiàn)，歸納出兩種解決思路：一是主機(jī)對(duì)于收到的ARP偽造報(bào)文不進(jìn)行更新操作，二是限制此類ARP廣播報(bào)文在局域網(wǎng)內(nèi)的泛洪。此時(shí)，結(jié)合實(shí)訓(xùn)指導(dǎo)書內(nèi)容，教師提出兩種解決方案讓學(xué)生選擇，一是在局域網(wǎng)內(nèi)各臺(tái)主機(jī)上靜態(tài)綁定正確的網(wǎng)關(guān)MAC地址，這樣即使主機(jī)收到了虛假M(fèi)AC地址也不予以更新；二是在交換機(jī)各端口上設(shè)置單位時(shí)間內(nèi)允許通過(guò)的ARP報(bào)文數(shù)量的閾值，超過(guò)閾值則關(guān)閉端口。同時(shí)讓學(xué)生分組討論，對(duì)這兩種方案的優(yōu)缺點(diǎn)進(jìn)行比較，最終得出如下的結(jié)論，方案一因?yàn)橐诰钟蚓W(wǎng)內(nèi)每臺(tái)主機(jī)上配置命令，工作量較大，網(wǎng)關(guān)MAC地址一旦改變又得重新配置，而且治標(biāo)不治本，不能有效遏制網(wǎng)段內(nèi)ARP報(bào)文造成的廣播風(fēng)暴，網(wǎng)絡(luò)傳輸性能較低；方案二只需在交換機(jī)端口上進(jìn)行配置，與網(wǎng)關(guān)MAC地址無(wú)關(guān)，如果再在端口上劃分好VLAN，將會(huì)進(jìn)一步限制廣播報(bào)文的傳輸范圍。

4.7 實(shí)驗(yàn)總結(jié)

總結(jié)既是自己對(duì)于實(shí)驗(yàn)的理解歸納，也是對(duì)整個(gè)實(shí)驗(yàn)過(guò)程的回放，既要總結(jié)有所收獲的地方，也要?dú)w納出不足之處。通過(guò)將實(shí)驗(yàn)全過(guò)程中涉及現(xiàn)象、情境及步驟列成問(wèn)題清單，讓每位學(xué)生都能從實(shí)驗(yàn)中總結(jié)出得與失。最后借鑒翻轉(zhuǎn)課堂的思想，邀請(qǐng)一位學(xué)生就實(shí)驗(yàn)?zāi)康?、方法、步驟進(jìn)行口頭陳述，由其余學(xué)生進(jìn)行補(bǔ)充，從而獲得更深層次的理解。

5 結(jié)語(yǔ)

通過(guò)網(wǎng)絡(luò)安全實(shí)驗(yàn)課程的教學(xué)嘗試，以及學(xué)生的反映來(lái)看，收到了一定成效。總結(jié)起來(lái)達(dá)到了三個(gè)目的，一是探索網(wǎng)絡(luò)安全意識(shí)、網(wǎng)絡(luò)安全技能并重的新型網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)方法，二是引導(dǎo)學(xué)生進(jìn)入實(shí)際問(wèn)題情境中，深入角色，積極主動(dòng)地去發(fā)現(xiàn)、分析及解決問(wèn)題，三是將個(gè)人責(zé)任感、團(tuán)隊(duì)合作等職業(yè)化素質(zhì)理念融入到教學(xué)過(guò)程當(dāng)中，培養(yǎng)主人公意識(shí)。在教學(xué)過(guò)程中需要注意對(duì)于課堂進(jìn)度以及時(shí)間的把握，如學(xué)生遇到難點(diǎn)應(yīng)及時(shí)進(jìn)行引導(dǎo)，推動(dòng)進(jìn)程。

參考文獻(xiàn)：

[1] 遲恩宇，劉天飛，楊建毅，王東.網(wǎng)絡(luò)安全與防護(hù)[M].電子工業(yè)出版社，2009.

[2] 葉成緒.校園網(wǎng)中基于ARP協(xié)議的欺騙及其預(yù)防[J].青海大學(xué)學(xué)報(bào)： 自然科學(xué)版，2007（3）：59-61.

[3] 秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測(cè)與防范技術(shù)綜述[J].計(jì)算機(jī)應(yīng)用研究，2009（1）：30-33.

[4] 孟令健.計(jì)算機(jī)網(wǎng)絡(luò)安全ARP攻擊行為的防范研究[J].齊齊哈爾大學(xué)學(xué)報(bào)： 自然科學(xué)版，2013（3）：9-11.

[5] 郭會(huì)茹，楊斌，牛立全.ARP攻擊原理分析及其安全防范措施[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（6）：5-6.

[6] 劉名卓，趙娜.網(wǎng)絡(luò)教學(xué)設(shè)計(jì)樣式的研究與實(shí)踐[J].遠(yuǎn)程教育雜志，2013（3）：79-86.

[7] 楊慧娟.網(wǎng)絡(luò)課程建設(shè)：高校教師專業(yè)發(fā)展的契機(jī)[J].青島職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2012（6）：35-38.

[8] 梅武成.高職院校網(wǎng)絡(luò)課程建設(shè)及推廣運(yùn)用[J].科技信息，2012（1）：505-506.