云計(jì)算技術(shù)下的網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)探究*

林玉梅 吳宗波

(泉州信息工程學(xué)院 福建泉州 362000)

自中國(guó)在2015年出臺(tái)《網(wǎng)絡(luò)安全法》之后，在應(yīng)對(duì)網(wǎng)絡(luò)安全方面有極大的推進(jìn)一步。但是當(dāng)前的攻防平臺(tái)不僅需要良好的設(shè)備，而且在日漸復(fù)雜的環(huán)境下，網(wǎng)絡(luò)安全中的實(shí)驗(yàn)室建設(shè)沒有取得良好的效果，難以充分保障網(wǎng)絡(luò)安全性。基于云計(jì)算技術(shù)，文章分析和闡述了網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)平臺(tái)的構(gòu)建、實(shí)際應(yīng)用及相關(guān)測(cè)試情況，以期進(jìn)一步提升網(wǎng)絡(luò)安全。

1云計(jì)算技術(shù)含義以及特點(diǎn)

目前，云計(jì)算作為一個(gè)擁有良好管理型以及高度擴(kuò)展性技術(shù)，可以針對(duì)用戶終端中的運(yùn)用軟件而構(gòu)建良好的系統(tǒng)，然而對(duì)其含義概述并沒有統(tǒng)一，而結(jié)合當(dāng)前的運(yùn)營(yíng)情況，可以有效掌握云計(jì)算本質(zhì)，集中概括如下：存儲(chǔ)特性、分布式計(jì)算、用戶友好性、高擴(kuò)展性以及良好管理性[1]。在實(shí)際運(yùn)用方面，云計(jì)算技術(shù)還存在如下的特點(diǎn)：①云計(jì)算系統(tǒng)可針對(duì)用戶不同的機(jī)制而實(shí)施透明化處理，用戶就不用掌握云計(jì)算實(shí)際運(yùn)用情況，就可以獲得對(duì)應(yīng)的服務(wù)需要。②通過(guò)冗余方式而有效為云計(jì)算提供良好的可靠性，因?yàn)樵朴?jì)算系統(tǒng)中不需要專門的硬件支持，所以在軟件處理方面就可以結(jié)合數(shù)據(jù)冗余以及分布式存儲(chǔ)的方式而有效為數(shù)據(jù)提供較高的可靠性。③高可用性。此系統(tǒng)可以將集成海量的數(shù)據(jù)信息存儲(chǔ)在一起，這就可以提升計(jì)算機(jī)的高性能性，從而有效提升云計(jì)算服務(wù)的滿意度，但是云計(jì)算系統(tǒng)中存在的自動(dòng)檢測(cè)發(fā)生失效的情況，則可以自動(dòng)排除，也不會(huì)對(duì)云計(jì)算系統(tǒng)帶來(lái)影響。④高層次的編程模型中能夠通過(guò)用戶簡(jiǎn)單學(xué)習(xí)進(jìn)而掌握計(jì)算程序[2]，進(jìn)而可以通過(guò)“云”系統(tǒng)而完成相關(guān)的執(zhí)行。⑤經(jīng)濟(jì)性。在組建完成之后，如果運(yùn)用在商業(yè)中就可以減少小型機(jī)所耗費(fèi)資金，達(dá)到節(jié)約投入成本的目的。

2攻防實(shí)驗(yàn)平臺(tái)分析設(shè)計(jì)及實(shí)現(xiàn)

2.1實(shí)驗(yàn)平臺(tái)框架的設(shè)計(jì)

在實(shí)際減少實(shí)驗(yàn)平臺(tái)方面，為了能夠有效降低成本以及提升部署能力，同時(shí)還能夠保障計(jì)算機(jī)網(wǎng)絡(luò)不會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)影響。因此，在構(gòu)建平臺(tái)方面就可以參照VMqrevSphere的云平臺(tái)而構(gòu)架一個(gè)良好的框架，在實(shí)際計(jì)算過(guò)程中可以通過(guò)虛擬化的技術(shù)以及云計(jì)算相結(jié)合的方式而提升云計(jì)算技術(shù)服務(wù)網(wǎng)絡(luò)的效果，同時(shí)也可以有效構(gòu)建對(duì)應(yīng)網(wǎng)絡(luò)的攻防實(shí)驗(yàn)平臺(tái)，具體可參照?qǐng)D1。在構(gòu)建完成之后，此虛擬的攻防實(shí)驗(yàn)平臺(tái)主要構(gòu)成3個(gè)不同的部分，分別是計(jì)算節(jié)點(diǎn)、控制節(jié)點(diǎn)以及存儲(chǔ)節(jié)點(diǎn)。

圖1 構(gòu)建平臺(tái)的框架

2.1.1分析計(jì)算節(jié)點(diǎn) 在此平臺(tái)建設(shè)過(guò)程中，其基礎(chǔ)的控件主要通過(guò)支持 技術(shù)，然后結(jié)合物理機(jī)的組成情況而有效為虛擬性的攻防實(shí)驗(yàn)提供計(jì)算和服務(wù)。

2.1.2分析控制節(jié)點(diǎn) 這部分屬于平臺(tái)核心，主要負(fù)責(zé)的是收集計(jì)算信息以及各個(gè)節(jié)點(diǎn)所具有的計(jì)算資源，然后通過(guò)計(jì)算節(jié)點(diǎn)中的資源情況而實(shí)施調(diào)度；同時(shí)還可以加強(qiáng)地此網(wǎng)絡(luò)段實(shí)施管理，這就可以有效控制平臺(tái)中的虛擬機(jī)生命周期。此外，存儲(chǔ)攻防的實(shí)驗(yàn)中，其主機(jī)的模板鏡就可以對(duì)數(shù)據(jù)文件實(shí)施快照或者是備份處理，通過(guò)此虛擬攻防的功能就是完成對(duì)整個(gè)平臺(tái)的啟動(dòng)、終止以及重啟[3]。

2.1.3分析存儲(chǔ)節(jié)點(diǎn) 構(gòu)建平臺(tái)過(guò)程中還需要為數(shù)據(jù)提供對(duì)應(yīng)的存儲(chǔ)服務(wù)，使得用戶可以通過(guò)虛擬的攻防實(shí)驗(yàn)而完成對(duì)數(shù)據(jù)處理，其中部分節(jié)點(diǎn)可以選為實(shí)際的運(yùn)用，這就使得平臺(tái)能夠通過(guò)計(jì)算節(jié)點(diǎn)而做好對(duì)應(yīng)的存儲(chǔ)服務(wù)工作。

2.2攻防實(shí)驗(yàn)平分的主機(jī)搭建情況

由于各個(gè)計(jì)算節(jié)點(diǎn)之間有需要的主機(jī)類型，第一種是攻擊型的主機(jī)，其主要的作用是針對(duì)網(wǎng)絡(luò)中的攻防實(shí)驗(yàn)實(shí)施進(jìn)攻；第二種是防火墻型的主機(jī)，其主要通過(guò)防火墻而配置對(duì)應(yīng)的實(shí)驗(yàn)主機(jī)；第三種是目標(biāo)主機(jī)，即通過(guò)被攻擊目標(biāo)中的主機(jī)實(shí)施控制；第四種是入侵檢測(cè)的主機(jī)，采用的是Snort而提供攻擊者的入侵檢測(cè)作用，防止受到不良攻擊；第五種是編譯系統(tǒng)所支持下的主機(jī)，主要通過(guò)Python、C/C++以及Java而完成編譯以及執(zhí)行環(huán)境，從而可以得到二進(jìn)制的攻擊程序。在完成安裝工作之后，此時(shí)的攻防主機(jī)群就可以在vSphere Client的左側(cè)列表呈現(xiàn)出來(lái)，詳見圖2。

圖2攻防主機(jī)群

3分析平臺(tái)應(yīng)用情況和測(cè)試情況

3.1分析DDos中實(shí)施攻擊的實(shí)驗(yàn)情況

DDos中的攻擊主要采用的是多臺(tái)計(jì)算機(jī)進(jìn)行聯(lián)合攻擊，從而可以實(shí)現(xiàn)一對(duì)一或者是一對(duì)多的方式對(duì)目標(biāo)發(fā)動(dòng)對(duì)應(yīng)的攻擊，這就可以有效降低被攻擊者系統(tǒng)資源的消耗，或是對(duì)網(wǎng)絡(luò)帶寬的控制情況，進(jìn)而可以防止網(wǎng)絡(luò)系統(tǒng)難以承擔(dān)負(fù)擔(dān)，進(jìn)而導(dǎo)致其出現(xiàn)癱瘓的情況。此外，參照DDos的攻擊特性可以對(duì)多臺(tái)的DDos實(shí)施測(cè)試，然后通過(guò)此平臺(tái)能夠完成創(chuàng)建對(duì)應(yīng)的虛擬系統(tǒng)，主機(jī)在接收信息請(qǐng)求之后就可以防止其出現(xiàn)癱瘓的情況。

3.2分析端口實(shí)施掃描測(cè)試的情況

通過(guò)虛擬攻防的方式就可以對(duì)實(shí)驗(yàn)平臺(tái)中的主機(jī)啟動(dòng)對(duì)應(yīng)的打開終端，同時(shí)還需要運(yùn)行對(duì)應(yīng)的端口進(jìn)行掃描，即Nmap工具；同時(shí)也能夠減少虛擬攻防中的實(shí)驗(yàn)靶機(jī)對(duì)端口進(jìn)行掃描中出現(xiàn)漏洞的情況。

3.3分析網(wǎng)絡(luò)信息中的嗅探情況

在當(dāng)前的環(huán)境下采用的是網(wǎng)絡(luò)嗅探方式，主要運(yùn)用的工具是TSPDUMP，由此掌握大量的網(wǎng)絡(luò)信息，同時(shí)也可以加強(qiáng)對(duì)網(wǎng)絡(luò)管理。除此之外，在實(shí)際運(yùn)用過(guò)程中還可以查看對(duì)應(yīng)的流量情況以及功能，這就可以有效解決當(dāng)前網(wǎng)絡(luò)在傳輸方面所出現(xiàn)的質(zhì)量問(wèn)題。在完成嗅探測(cè)試之后，可以更好地掌握網(wǎng)絡(luò)安全以及具體的工作原理，同時(shí)采用嗅探網(wǎng)絡(luò)信息就可以完成對(duì)應(yīng)的安裝以及運(yùn)用。

3.4加強(qiáng)對(duì)遠(yuǎn)程控制中的攻擊測(cè)試

在構(gòu)建對(duì)應(yīng)的攻防平臺(tái)中，主要采用的是兩臺(tái)虛擬性的實(shí)驗(yàn)主機(jī)進(jìn)行測(cè)試，其中一臺(tái)將其作為對(duì)應(yīng)的攻擊機(jī)，而另一臺(tái)則作為靶機(jī)。第一，在實(shí)施攻擊方面，可以在運(yùn)行方面加強(qiáng)對(duì)遠(yuǎn)程軟件的控制，并能夠防止其生成對(duì)應(yīng)的木馬程序，同時(shí)還可以將此程序上傳至對(duì)應(yīng)的目標(biāo)上；第二，如果目標(biāo)靶機(jī)中需要執(zhí)行木馬程序，此時(shí)攻擊機(jī)中的遠(yuǎn)程控制就可以對(duì)攻擊軟件進(jìn)行信息系統(tǒng)的處理；第三，針對(duì)攻擊機(jī)中出現(xiàn)靶機(jī)的情況，則能夠及時(shí)掌握其中存在的文件信息，并且可以完成對(duì)應(yīng)文件的上傳下載等，同時(shí)還可以加強(qiáng)對(duì)相關(guān)文件的管理以及監(jiān)視。

3.5對(duì)惡意代碼進(jìn)行測(cè)試

在執(zhí)行遠(yuǎn)程命令過(guò)程中需要防止其出現(xiàn)漏洞的情況，此時(shí)，用戶就可以通過(guò)對(duì)應(yīng)的瀏覽器而完成相關(guān)命令的提交以及處理。由于服務(wù)器中并未對(duì)其中的執(zhí)行函數(shù)實(shí)施過(guò)濾，這就會(huì)導(dǎo)致指定的路徑發(fā)生變化，例如出現(xiàn)允許攻擊者的情況，此時(shí)就可以對(duì)執(zhí)行程序或者是＄PATH而出現(xiàn)的惡意代碼進(jìn)行監(jiān)測(cè)，有效防止其受到惡意攻擊。

3.6分析入侵檢測(cè)以及實(shí)驗(yàn)

在實(shí)驗(yàn)過(guò)程中，IDS具體的原理以及工作方式就需要結(jié)合熟悉的路徑進(jìn)行檢測(cè)，尤其是處理入侵工具中，如AIDE通過(guò)Linux的操作系統(tǒng)就可以完成對(duì)應(yīng)的配置以及安裝工作。在AIDE中就可以通過(guò)Centos的系統(tǒng)而完成對(duì)應(yīng)監(jiān)測(cè)工作，主要是保障相關(guān)文檔的完整性。此外，AIDE還可以針對(duì)指定的文檔數(shù)據(jù)庫(kù)進(jìn)行監(jiān)視，尤其是處理經(jīng)常發(fā)生變動(dòng)中的文檔，例如郵件以及日志文檔等，能夠讓用戶及時(shí)掌握對(duì)應(yīng)的目錄信息。

3.7分析防火墻配置情況

在防火墻實(shí)際的配置方面，iptables中的系統(tǒng)操作情況采用的是Linux所提供的防護(hù)墻系統(tǒng)，此系統(tǒng)在實(shí)驗(yàn)操作方面就需要提升防護(hù)的功能，在配置方面，主要通過(guò)防火墻中的SYNF而防止其受到攻擊，此防止攻擊的系統(tǒng)在實(shí)踐運(yùn)用方面也非常廣泛。在iptables中所需要配置的防火墻十分復(fù)雜，需要執(zhí)行眾多命令，用戶實(shí)際掌握具有一定的難度，此時(shí)在設(shè)計(jì)方面就需要配置對(duì)應(yīng)的Web頁(yè)面，即可提升用戶掌握實(shí)際操作的能力。

4結(jié)束語(yǔ)

當(dāng)前，攻防平臺(tái)不僅需要良好的設(shè)備，而且在日漸復(fù)雜的環(huán)境下難以充分保障網(wǎng)絡(luò)安全性。將云計(jì)算技術(shù)運(yùn)用在網(wǎng)絡(luò)攻防平臺(tái)中，可以有效掌握數(shù)據(jù)管理以及實(shí)驗(yàn)數(shù)據(jù)情況，二者實(shí)施隔離而使得實(shí)驗(yàn)數(shù)據(jù)可以通過(guò)云平臺(tái)而有效傳輸，這就可以充分保障信息安全。此外，實(shí)驗(yàn)數(shù)據(jù)也難以對(duì)外部的網(wǎng)絡(luò)環(huán)境帶來(lái)任何影響，即采用虛擬化的技術(shù)可以構(gòu)建良好的結(jié)構(gòu)，進(jìn)而能夠生成構(gòu)不同的操作系統(tǒng)、應(yīng)用環(huán)境以及硬件需求(如內(nèi)存、網(wǎng)卡數(shù)以及CPU)虛擬的環(huán)境，在虛擬交換機(jī)中就可以完成自動(dòng)匹配，這就可以為讓研究者在真實(shí)環(huán)境中進(jìn)行實(shí)驗(yàn)，進(jìn)而找到良好的方式提升網(wǎng)絡(luò)安全性。