面向取證能力提升的網(wǎng)絡(luò)靶場訓(xùn)練系統(tǒng)構(gòu)建＊

徐國天 中國刑事警察學(xué)院

引言

2019年8月30日，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布了第44次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》?！秷?bào)告》顯示，截至2019年6月，中國網(wǎng)民規(guī)模達(dá)8.54億，互聯(lián)網(wǎng)普及率為61.2%。其中，手機(jī)網(wǎng)民規(guī)模達(dá)8.47億。隨著網(wǎng)民數(shù)量的急劇增加，網(wǎng)絡(luò)犯罪也呈上升趨勢。2019年上半年，國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn)境內(nèi)近4萬個(gè)網(wǎng)站的頁面被篡改，其中有222個(gè)政府網(wǎng)站，監(jiān)測同時(shí)發(fā)現(xiàn)大約1.4萬個(gè)境外IP地址對(duì)我國境內(nèi)2.6萬個(gè)網(wǎng)站植入后門，共發(fā)現(xiàn)2055個(gè)高危安全漏洞。統(tǒng)計(jì)數(shù)據(jù)顯示網(wǎng)絡(luò)安全事件已經(jīng)嚴(yán)重危害我國信息網(wǎng)絡(luò)安全，甚至是國家安全。

網(wǎng)絡(luò)攻擊案件發(fā)生后，為防止易失型電子數(shù)據(jù)滅失，必須盡快進(jìn)行現(xiàn)場或遠(yuǎn)程勘驗(yàn)，提取網(wǎng)絡(luò)入侵線索，追蹤犯罪嫌疑人。然而，在一些網(wǎng)絡(luò)入侵案件中，由于電子數(shù)據(jù)勘查不充分、不全面，獲取電子證據(jù)不足，導(dǎo)致犯罪分子逍遙法外，或被從輕處理。因此，總結(jié)不同類型網(wǎng)絡(luò)攻擊案件的取證對(duì)策，增強(qiáng)辦案人員的電子數(shù)據(jù)取證分析能力，對(duì)有效打擊網(wǎng)絡(luò)入侵類犯罪，遏制網(wǎng)絡(luò)入侵案件的發(fā)生有重要意義。

目前世界各國普遍采用網(wǎng)絡(luò)靶場進(jìn)行專業(yè)人員培訓(xùn)和實(shí)戰(zhàn)演練。網(wǎng)絡(luò)靶場可以模擬各種真實(shí)的網(wǎng)絡(luò)環(huán)境，參訓(xùn)人員根據(jù)預(yù)設(shè)的任務(wù)目標(biāo)，在靶場內(nèi)完成特定的攻防演練任務(wù)，有效鍛煉提高參訓(xùn)人員的網(wǎng)絡(luò)攻防實(shí)踐能力。但是目前已有的網(wǎng)絡(luò)靶場訓(xùn)練系統(tǒng)側(cè)重攻防實(shí)踐能力的鍛煉，而很少甚至不能滿足網(wǎng)絡(luò)取證能力的培養(yǎng)需要。由于網(wǎng)絡(luò)取證能力是涉網(wǎng)案件調(diào)查人員必須具備的一項(xiàng)技能，因此有必要研究面向取證能力提升的網(wǎng)絡(luò)靶場建設(shè)方案。

本文在對(duì)比已有網(wǎng)絡(luò)攻防實(shí)驗(yàn)系統(tǒng)的基礎(chǔ)上，提出基于OpenStack云平臺(tái)的網(wǎng)絡(luò)靶場構(gòu)建方案；在靶場知識(shí)點(diǎn)組織方面，提出按照典型案例歸納涉及到的網(wǎng)絡(luò)攻防技術(shù)，凝練相應(yīng)的取證方法；通過參訓(xùn)學(xué)員反饋、題庫更新和最新案例引入等方式實(shí)現(xiàn)靶場知識(shí)體系的動(dòng)態(tài)更新完善。

一、基于OpenStack云平臺(tái)構(gòu)建網(wǎng)絡(luò)靶場

面向取證能力提升的網(wǎng)絡(luò)靶場需要滿足以下需求：（1）可以根據(jù)訓(xùn)練需要?jiǎng)討B(tài)生成復(fù)雜多樣的網(wǎng)絡(luò)拓?fù)?，仿真真?shí)網(wǎng)絡(luò)環(huán)境；（2）可以滿足訓(xùn)練隔離需求，每組學(xué)員的訓(xùn)練環(huán)境相互隔離，互不干擾；（3）在靶場測試任務(wù)結(jié)束后，學(xué)員可以登錄目標(biāo)虛擬機(jī)，提取網(wǎng)絡(luò)攻擊痕跡。（4）可以捕獲分析全網(wǎng)各個(gè)節(jié)點(diǎn)的通信數(shù)據(jù)包，完成網(wǎng)絡(luò)取證分析任務(wù)；（5）靶場訓(xùn)練環(huán)境可以完成快速部署，學(xué)員測試過程流暢，測試過程不對(duì)用戶終端軟硬件系統(tǒng)造成影響，測試結(jié)束后可以快速恢復(fù)原始狀態(tài)。

（一）早期網(wǎng)絡(luò)靶場組建方式

早期網(wǎng)絡(luò)攻防訓(xùn)練測試大多在真實(shí)的網(wǎng)絡(luò)設(shè)備上進(jìn)行，以某院校網(wǎng)絡(luò)安全實(shí)驗(yàn)室為例，該實(shí)驗(yàn)室于2006年組建，滿足一個(gè)班級(jí)50名學(xué)員的建設(shè)需求。訓(xùn)練室內(nèi)放置8臺(tái)圓形訓(xùn)練桌，每桌坐6名學(xué)員，配備一組立式機(jī)柜，機(jī)柜內(nèi)放置設(shè)備包括一臺(tái)無線路由器、一臺(tái)防火墻、一臺(tái)入侵檢測系統(tǒng)、兩臺(tái)2600路由器、一臺(tái)3750三層交換機(jī)、一臺(tái)2162二層交換機(jī)、一臺(tái)RCMS管理服務(wù)器。這種訓(xùn)練環(huán)境的優(yōu)勢是學(xué)員可以直觀地觀察到網(wǎng)絡(luò)設(shè)備的外觀形態(tài)，親手連接網(wǎng)絡(luò)線路，使用超級(jí)終端對(duì)設(shè)備進(jìn)行調(diào)配，鍛煉了學(xué)員的動(dòng)手能力。但是，幾輪教學(xué)下來缺點(diǎn)也暴露的非常明顯。學(xué)員進(jìn)行分組訓(xùn)練時(shí)，多數(shù)情況下是以三人為一組進(jìn)行訓(xùn)練，每人負(fù)責(zé)配置一臺(tái)網(wǎng)絡(luò)設(shè)備，這導(dǎo)致學(xué)員忙于完成自己的工作，對(duì)整體任務(wù)缺乏了解，即只了解局部，不了解整體。每組訓(xùn)練結(jié)束后，教官都需要登錄該組訓(xùn)練臺(tái)的RCMS設(shè)備清空訓(xùn)練痕跡，然后下一組學(xué)員才能開始訓(xùn)練。這導(dǎo)致上一組訓(xùn)練進(jìn)行時(shí)，下一組學(xué)員無事可做，如上一組遇到問題，耽誤了進(jìn)度，會(huì)間接影響下一組學(xué)員的訓(xùn)練進(jìn)程。在訓(xùn)練過程中，教官忙于清空各組訓(xùn)練臺(tái)的痕跡數(shù)據(jù)，干擾了訓(xùn)練指導(dǎo)工作。另外，受訓(xùn)練設(shè)備數(shù)量影響，學(xué)員也僅能完成一些簡單的基礎(chǔ)性網(wǎng)絡(luò)訓(xùn)練，一些復(fù)雜拓?fù)浣Y(jié)構(gòu)和新型網(wǎng)絡(luò)接口組網(wǎng)訓(xùn)練任務(wù)無法完成。另外，在真實(shí)網(wǎng)絡(luò)設(shè)備上進(jìn)行網(wǎng)絡(luò)攻防測試還可能對(duì)訓(xùn)練設(shè)備的軟硬件系統(tǒng)造成破壞，增加了設(shè)備維護(hù)工作量。因此，這種采用真實(shí)設(shè)備作為載體，進(jìn)行網(wǎng)絡(luò)攻防測試的訓(xùn)練模式已逐漸不被采用。

采用思科、華為等網(wǎng)絡(luò)模擬器進(jìn)行組網(wǎng)訓(xùn)練在一定程度上可以解決上述不足，這種方式不受訓(xùn)練設(shè)備數(shù)量的限制，可以靈活地搭建各類網(wǎng)絡(luò)環(huán)境，隨著模擬器的升級(jí)，最新的網(wǎng)絡(luò)設(shè)備也可以引入實(shí)踐教學(xué)。學(xué)員在演練過程中可以獨(dú)立完成全部組網(wǎng)任務(wù)，鍛煉了實(shí)踐動(dòng)手能力，教官也從繁瑣的設(shè)備清痕工作中脫離出來，可以全身心投入到訓(xùn)練指導(dǎo)工作。但是這種方式的缺點(diǎn)也比較明顯，在組網(wǎng)階段雖然可以選擇臺(tái)式計(jì)算機(jī)或服務(wù)器節(jié)點(diǎn)，但是在這類終端節(jié)點(diǎn)上僅能布置簡單的靜態(tài)測試網(wǎng)站，只能執(zhí)行基礎(chǔ)的DOS命令，而在攻防訓(xùn)練中，需要在服務(wù)器端布置不同類型的測試站點(diǎn)，同時(shí)需要能夠從服務(wù)器端提取日志等多種攻擊痕跡，這些是模擬器訓(xùn)練方式無法完成的。另外，無論是基礎(chǔ)網(wǎng)絡(luò)訓(xùn)練還是進(jìn)階的網(wǎng)絡(luò)攻防訓(xùn)練，都需要采集訓(xùn)練過程中產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包，通過數(shù)據(jù)包分析掌握網(wǎng)絡(luò)協(xié)議相關(guān)原理，提取網(wǎng)絡(luò)攻擊痕跡特征，在模擬器網(wǎng)絡(luò)環(huán)境中，這一需求也無法完成。

采用真實(shí)設(shè)備進(jìn)行網(wǎng)絡(luò)攻防訓(xùn)練一方面成本高，另一方面訓(xùn)練可能造成軟硬件系統(tǒng)的損壞，采用Vmware等虛擬機(jī)可以較好地解決這些問題。虛擬機(jī)技術(shù)可以在一臺(tái)計(jì)算機(jī)上模擬出多臺(tái)終端系統(tǒng)，根據(jù)訓(xùn)練需求，終端可以選擇各種類型的操作系統(tǒng)，可以安裝各類測試工具軟件，和使用一臺(tái)真實(shí)計(jì)算機(jī)完全相同。當(dāng)選擇Host-only聯(lián)網(wǎng)方式時(shí)，虛擬機(jī)和主機(jī)之間通過一臺(tái)虛擬集線器互聯(lián)，與外部互聯(lián)網(wǎng)完全隔離；當(dāng)選擇NAT方式時(shí)，虛擬機(jī)通過主機(jī)代理方式接入互聯(lián)網(wǎng)；當(dāng)選擇橋接方式時(shí)，全部虛擬機(jī)通過虛擬集線器接入真實(shí)交換設(shè)備，進(jìn)而訪問互聯(lián)網(wǎng)。通過虛擬鏡像技術(shù)，在網(wǎng)絡(luò)攻防訓(xùn)練結(jié)束后，可以將虛擬機(jī)快速還原到初始狀態(tài)，解決了網(wǎng)絡(luò)攻防訓(xùn)練對(duì)軟硬件系統(tǒng)可能造成損壞的問題。同時(shí)，在虛擬機(jī)端安裝Wireshark等監(jiān)聽工具可以捕獲全網(wǎng)通信數(shù)據(jù)，滿足攻防訓(xùn)練的數(shù)據(jù)包分析需求。但是，虛擬機(jī)訓(xùn)練方式的問題是很難組建復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不能模擬真實(shí)的網(wǎng)絡(luò)環(huán)境，一些復(fù)雜拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)攻防訓(xùn)練無法完成。雖然使用Win2000虛擬機(jī)可以模擬路由器進(jìn)行組網(wǎng)訓(xùn)練，但是受主機(jī)內(nèi)存大小的限制，一臺(tái)主機(jī)只能運(yùn)行有限個(gè)數(shù)的虛擬機(jī)，例如主機(jī)內(nèi)存為16GB，可以流暢穩(wěn)定運(yùn)行3臺(tái)Windows 虛擬機(jī)，當(dāng)虛擬機(jī)數(shù)量超過5臺(tái)時(shí)，主機(jī)運(yùn)行速度將變得極為緩慢，不能正常使用。另外，學(xué)員在每次訓(xùn)練過程中都需要進(jìn)行IP地址設(shè)置、動(dòng)態(tài)網(wǎng)站安裝等重復(fù)性基礎(chǔ)網(wǎng)絡(luò)配置，也影響了訓(xùn)練任務(wù)的開展。

上述三種訓(xùn)練方式無法滿足網(wǎng)絡(luò)靶場靈活、易拓展等諸多需求。現(xiàn)有部分網(wǎng)絡(luò)靶場采用C/S架構(gòu)搭建，在學(xué)員終端上部署若干臺(tái)Windows和Linux虛擬機(jī)，虛擬機(jī)內(nèi)部根據(jù)測試需要設(shè)置若干個(gè)鏡像資源。進(jìn)行靶場演練時(shí)，通過客戶端軟件登錄控制服務(wù)器，獲得任務(wù)需求，根據(jù)題目要求在服務(wù)器端啟動(dòng)相應(yīng)的目標(biāo)靶機(jī)完成攻防任務(wù)。這種方式可以詳細(xì)記錄學(xué)員的完整測試過程，實(shí)時(shí)顯示任務(wù)完成情況和積分排名，比較靈活地設(shè)置訓(xùn)練任務(wù)。但是當(dāng)學(xué)員進(jìn)行攻防演練時(shí)，被測試目標(biāo)虛擬機(jī)部署在服務(wù)器端，多個(gè)學(xué)員測試同一組目標(biāo)虛擬機(jī)，訓(xùn)練過程存在相互干擾的情況。同時(shí)，學(xué)員不能直接操作服務(wù)器端存儲(chǔ)的目標(biāo)虛擬機(jī)，無法查看目標(biāo)靶機(jī)被攻擊之后遺留的痕跡數(shù)據(jù)，不能完成服務(wù)器端數(shù)據(jù)包采集任務(wù)，不適合鍛煉學(xué)員的網(wǎng)絡(luò)攻擊案件調(diào)查取證能力。

（二）利用云計(jì)算和虛擬化技術(shù)組建網(wǎng)絡(luò)靶場

近年來，云計(jì)算和虛擬化技術(shù)快速發(fā)展，云平臺(tái)可以按需調(diào)度、分配資源池中的存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)資源，動(dòng)態(tài)組建靈活多樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，滿足靶場建設(shè)需求，一些網(wǎng)絡(luò)安全企業(yè)利用云平臺(tái)搭建靶場環(huán)境，取得了比較好的實(shí)際效果。目前共有三種類型的云平臺(tái)PaaS、SaaS和IaaS。PaaS（Platform as a Service）平臺(tái)即服務(wù)模式提供給用戶一個(gè)運(yùn)行環(huán)境，如Java、SQL Server、Apache環(huán)境，用戶只需將自己的軟件系統(tǒng)部署到云平臺(tái)運(yùn)行環(huán)境內(nèi)即可使用，Google公司提供的GAE平臺(tái)就是這類云平臺(tái)。SaaS（Software as a Service）軟件即服務(wù)模式提供一個(gè)實(shí)現(xiàn)特定功能的軟件系統(tǒng)給用戶使用，例如云相冊、云備份、在線Office等都屬于這類應(yīng)用。百度提供的百度網(wǎng)盤和Google公司提供的Google DOC都屬于這類云平臺(tái)。 IaaS（Infrastructure as a Service）基礎(chǔ)設(shè)施服務(wù)模式將計(jì)算能力，存儲(chǔ)能力、I/O設(shè)備整合成一個(gè)虛擬資源池，將用戶申請的各類資源整合為一臺(tái)虛擬服務(wù)器提供給用戶。用戶可以選擇虛擬服務(wù)器的硬件參數(shù)，包括CPU速率、內(nèi)存和磁盤容量，可以選擇虛擬機(jī)的操作系統(tǒng)類型，可以在虛擬機(jī)上安裝任意軟件系統(tǒng)。IaaS類型云平臺(tái)靈活性強(qiáng)，用戶自主權(quán)大。目前商業(yè)版的IaaS云平臺(tái)主要有阿里云和亞馬遜EC2，免費(fèi)開源云平臺(tái)主要有OpenStack、Eucalyptus等。與商業(yè)版相比，開源云平臺(tái)更受廣大用戶歡迎，其穩(wěn)定性和成熟性越來越強(qiáng)。OpenStack最早由美國國家航空航天局NASA研發(fā)，旨在為用戶搭建公有云和私有云平臺(tái)，具有低耦合性、高拓展性，適合用于組建網(wǎng)絡(luò)測試靶場。

本文使用OpenStack云平臺(tái)組建網(wǎng)絡(luò)靶場，靶場模型如圖1所示，訓(xùn)練室的硬件條件決定云平臺(tái)資源池規(guī)模。OpenStack屬于分布式系統(tǒng)，由多個(gè)服務(wù)組件構(gòu)成，核心組件包括Nova計(jì)算服務(wù)、Neutron網(wǎng)絡(luò)服務(wù)、Swift存儲(chǔ)服務(wù)、Glance鏡像服務(wù)等。Nova計(jì)算服務(wù)對(duì)云平臺(tái)資源池中的全部硬件資源進(jìn)行統(tǒng)一管理，按照用戶申請的硬件參數(shù)從資源池內(nèi)組成多個(gè)虛擬機(jī)實(shí)例，提供給用戶使用。學(xué)員在靶場攻防演練過程中，可以在靶場虛擬機(jī)上運(yùn)行Wireshark監(jiān)聽工具，實(shí)時(shí)捕獲通信數(shù)據(jù)，在演練結(jié)束后，對(duì)捕獲數(shù)據(jù)包進(jìn)行取證分析，也可以遠(yuǎn)程登錄靶場內(nèi)的目標(biāo)虛擬機(jī)，提取日志、數(shù)據(jù)庫文件，查看攻擊遺留痕跡。上述特點(diǎn)可以鍛煉學(xué)員的網(wǎng)絡(luò)取證分析能力。Neutron網(wǎng)絡(luò)服務(wù)對(duì)虛擬機(jī)實(shí)例組成的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行管理，包括L2、L3層網(wǎng)絡(luò)，可選用的描述元素包括子網(wǎng)、端口、DHCP服務(wù)、NAT服務(wù)、路由器、負(fù)載均衡器等。虛擬網(wǎng)絡(luò)之間相互隔離，互不影響，利用Neutron網(wǎng)絡(luò)服務(wù)可以組建復(fù)雜多樣的網(wǎng)絡(luò)拓?fù)洌叨确抡嬲鎸?shí)的網(wǎng)絡(luò)環(huán)境，滿足靶場建設(shè)需要。Swift存儲(chǔ)服務(wù)提供分布式存儲(chǔ)功能，包含了數(shù)據(jù)恢復(fù)和冗余備份機(jī)制，適合大文件的分布式存儲(chǔ)。Glance鏡像服務(wù)負(fù)責(zé)管理虛擬機(jī)鏡像實(shí)例，在靶場測試過程中需要安裝使用不同的靶場環(huán)境，比如存在特定漏洞的PHP站點(diǎn)、存在特定漏洞的數(shù)據(jù)庫系統(tǒng)等，可以將不同的靶場環(huán)境存儲(chǔ)為鏡像文件，進(jìn)行攻防測試時(shí)，通過Glance鏡像服務(wù)快速恢復(fù)虛擬機(jī)鏡像，實(shí)現(xiàn)靶場環(huán)境的快速部署和恢復(fù)。

教官可以通過管理系統(tǒng)對(duì)云平臺(tái)進(jìn)行管理和維護(hù)，例如添加、修改、刪除鏡像文件，可以通過管理系統(tǒng)對(duì)靶場訓(xùn)練題目進(jìn)行調(diào)整。學(xué)員登錄管理系統(tǒng)注冊用戶，參加靶場演練，通過展示模塊了解演練進(jìn)展情況，通過成績統(tǒng)計(jì)模塊掌握任務(wù)完成情況。

二、面向網(wǎng)絡(luò)取證能力提升的靶場內(nèi)容建設(shè)

在基于OpenStack云平臺(tái)組建的靶場環(huán)境內(nèi)，可以快速部署演練環(huán)境，學(xué)員可以進(jìn)行各種攻防訓(xùn)練，可以登錄目標(biāo)虛擬機(jī)查看各種痕跡數(shù)據(jù)，為鍛煉提高學(xué)員的網(wǎng)絡(luò)取證分析能力提供了一個(gè)良好的硬件載體。有了良好的硬件平臺(tái)，靶場的訓(xùn)練內(nèi)容是否符合公安實(shí)踐需要，是否涵蓋了當(dāng)前最新的攻防案例，能否鍛煉參訓(xùn)學(xué)員的網(wǎng)絡(luò)取證能力，同樣至關(guān)重要。

（一）網(wǎng)絡(luò)靶場知識(shí)體系及前導(dǎo)后繼關(guān)系

本文總結(jié)的面向網(wǎng)絡(luò)取證能力提升的靶場知識(shí)點(diǎn)構(gòu)成如表1所示，按照涉及的網(wǎng)絡(luò)攻防技術(shù)共劃分8個(gè)知識(shí)點(diǎn)。

?

1. 網(wǎng)絡(luò)安全協(xié)議漏洞

雖然安全性更好的IPV6協(xié)議已經(jīng)推出10余年，但是由于網(wǎng)絡(luò)設(shè)備更新速度緩慢等諸多因素，目前IPV4協(xié)議仍是主流通信協(xié)議。而IPV4協(xié)議在設(shè)計(jì)之初，并未全面考慮網(wǎng)絡(luò)安全因素，造成IPV4協(xié)議漏洞較多，例如ARP欺騙、DNS欺騙、路由重定向，等安全漏洞，利用這些漏洞攻擊者可以監(jiān)聽目標(biāo)主機(jī)通信數(shù)據(jù)，提取敏感信息，篡改數(shù)據(jù)內(nèi)容，甚至改變數(shù)據(jù)流向。掌握網(wǎng)絡(luò)安全協(xié)議漏洞相關(guān)原理，分析捕獲數(shù)據(jù)包，識(shí)別此類攻擊遺留痕跡需要學(xué)員具備TCP/IP協(xié)議族基礎(chǔ)知識(shí)，因此計(jì)算機(jī)網(wǎng)絡(luò)是其前導(dǎo)內(nèi)容。

2. 網(wǎng)絡(luò)掃描、監(jiān)聽

網(wǎng)絡(luò)攻擊實(shí)施之前，需要全面了解目標(biāo)系統(tǒng)參數(shù)和漏洞情況。網(wǎng)絡(luò)掃描是采用主動(dòng)攻擊方式發(fā)現(xiàn)目標(biāo)網(wǎng)段內(nèi)的活動(dòng)主機(jī)，識(shí)別目標(biāo)主機(jī)上開放的端口和漏洞信息。網(wǎng)絡(luò)監(jiān)聽是采用被動(dòng)攻擊方式收集目標(biāo)服務(wù)器相關(guān)參數(shù)信息，提取以明文方式傳輸?shù)耐ㄐ艃?nèi)容。網(wǎng)絡(luò)掃描利用的是TCP協(xié)議三次握手建立連接和四次揮手中斷連接機(jī)制判斷活動(dòng)端口，網(wǎng)絡(luò)監(jiān)聽需要對(duì)捕獲的通信數(shù)據(jù)進(jìn)行分析，這些都需要學(xué)員具備TCP、UDP協(xié)議分析基礎(chǔ)。

3. 網(wǎng)絡(luò)破解

破解加密文件密碼，移除計(jì)算機(jī)開機(jī)密碼在涉網(wǎng)案件辦理工作中有重要作用。本知識(shí)點(diǎn)除了包含暴力、字典和彩虹表等常規(guī)破解方法之外，還要涵蓋密碼移除等簡單高效方法。

4. WEB服務(wù)器攻擊類

WEB服務(wù)器內(nèi)通常存儲(chǔ)了大量重要信息，很多公民個(gè)人信息泄露案件的源頭就是網(wǎng)站被入侵，數(shù)據(jù)庫內(nèi)海量用戶信息被犯罪分子非法獲取，出售獲利。企事業(yè)單位門戶網(wǎng)站被入侵，主頁被替換的案件也時(shí)有發(fā)生，造成謠言傳播、社會(huì)恐慌等諸多問題。掌握WEB服務(wù)器被攻擊后的痕跡提取方法是網(wǎng)絡(luò)犯罪案件調(diào)查人員必須掌握的一項(xiàng)技能。這個(gè)知識(shí)點(diǎn)要求學(xué)員具備常見類型網(wǎng)站的構(gòu)建能力和關(guān)鍵代碼分析能力，能對(duì)主流數(shù)據(jù)庫系統(tǒng)使用SQL命令進(jìn)行關(guān)聯(lián)分析查詢。

5. 僵木蠕惡意程序類

僵木蠕是指僵尸程序、木馬程序和蠕蟲病毒。近年來，僵木蠕惡意程序在互聯(lián)網(wǎng)泛濫傳播，2017年出現(xiàn)的“永恒之藍(lán)”就是一種蠕蟲病毒，會(huì)加密被感染主機(jī)內(nèi)全部重要文檔，受害者需通過暗網(wǎng)支付比特幣贖金完成解密。深入研究各類僵木蠕攻擊技術(shù)，才能更好地提取分析遺留的痕跡特征。

6. 日志流量分析類

用戶的正常網(wǎng)絡(luò)訪問行為記錄在日志文件中，同樣黑客實(shí)施的網(wǎng)絡(luò)攻擊行為也記錄在日志文件中，從海量日志數(shù)據(jù)中提取入侵痕跡是調(diào)查人員必須具備的一項(xiàng)取證能力。DDOS攻擊、網(wǎng)絡(luò)木馬蠕蟲攻擊痕跡可以從受害者主機(jī)收發(fā)的通信數(shù)據(jù)包內(nèi)提取，對(duì)海量數(shù)據(jù)包的解析能力也是調(diào)查人員必須掌握的。這個(gè)知識(shí)點(diǎn)要求學(xué)員具備使用wireshark分析TCP/IP協(xié)議族的知識(shí)基礎(chǔ)。

7. 逆向分析類

逆向分析是指將惡意程序反編譯為匯編或Java源代碼，通過閱讀源代碼提取黑客主機(jī)域名、IP地址、郵箱賬號(hào)，等重要線索，分析惡意程序的邏輯功能。逆向分析是僵木蠕惡意程序取證分析的重要措施。Java語言、匯編語言和操作系統(tǒng)原理是逆向分析必須的知識(shí)基礎(chǔ)。

8. 防御技術(shù)類

重點(diǎn)包括對(duì)稱和公鑰加密技術(shù)、數(shù)字證書、網(wǎng)絡(luò)層安全協(xié)議IPsec、傳輸層安全協(xié)議SSL和TLS，應(yīng)用層安全協(xié)議PGP，VPN技術(shù)，防火墻及入侵檢測技術(shù)。

（二）面向網(wǎng)絡(luò)取證能力培養(yǎng)的靶場任務(wù)組織模式

與常規(guī)靶場重點(diǎn)訓(xùn)練網(wǎng)絡(luò)攻防技能不同，面向取證能力提升的網(wǎng)絡(luò)靶場重點(diǎn)培養(yǎng)學(xué)員的網(wǎng)絡(luò)攻防案件取證能力，為涉網(wǎng)案件調(diào)查分析服務(wù)。如何有效組織靶場任務(wù)，完成取證能力培養(yǎng)這一目標(biāo)是一個(gè)關(guān)鍵問題。如圖2所示，本文提出一種按照常見涉網(wǎng)案件類型分類組織靶場任務(wù)的解決思路，先搜集典型涉網(wǎng)案件，分析總結(jié)每類案件涉及到的攻防技術(shù)，同步研究相應(yīng)的取證方法和取證難點(diǎn)，再將脫密后的案件數(shù)據(jù)移植到網(wǎng)絡(luò)靶場內(nèi)，靶場任務(wù)側(cè)重體現(xiàn)網(wǎng)絡(luò)取證方面的相關(guān)內(nèi)容。

下面以一個(gè)實(shí)際案例為例介紹靶場任務(wù)的組織和開展。在一起網(wǎng)絡(luò)盜竊案件中，黑客在某電子商務(wù)網(wǎng)站主頁植入惡意代碼，用戶瀏覽主頁后，如主機(jī)瀏覽器未打補(bǔ)丁，會(huì)在惡意代碼作用下，通過兩級(jí)跳板從目標(biāo)服務(wù)器下載1.swf和2.jar惡意程序，惡意程序利用瀏覽器漏洞自動(dòng)觸發(fā)運(yùn)行，竊取受害者主機(jī)內(nèi)的敏感信息，將竊取數(shù)據(jù)發(fā)送到黑客指定的網(wǎng)絡(luò)服務(wù)器上。通過分析受害者主機(jī)在瀏覽網(wǎng)頁過程中收發(fā)的通信數(shù)據(jù)包可以還原惡意代碼的種植過程，可以提取出跳板和目標(biāo)服務(wù)器的IP地址，獲得惡意代碼的存儲(chǔ)位置和樣本文件。通過對(duì)惡意程序樣本進(jìn)行動(dòng)態(tài)和靜態(tài)分析，可以得知程序的主要功能，獲得黑客設(shè)置的收信服務(wù)器IP地址數(shù)據(jù)，上述信息對(duì)案件辦理有重要作用。這類案件重點(diǎn)培養(yǎng)學(xué)員的網(wǎng)絡(luò)數(shù)據(jù)包分析和惡意代碼逆向解析能力。任務(wù)的組織流程如圖3所示。

（1）第一步：將案件信息脫密，生成虛擬機(jī)鏡像和網(wǎng)絡(luò)拓?fù)?，?duì)任務(wù)進(jìn)行描述。案件信息脫密是一項(xiàng)重要工作，需要隱去案件相關(guān)信息，包括涉案人員身份信息，修改涉案服務(wù)器的域名、IP地址信息，將處理過的涉案網(wǎng)站樣本安裝到虛擬機(jī)上，生成鏡像文件，組織網(wǎng)絡(luò)拓?fù)?，測試案例在云平臺(tái)內(nèi)的運(yùn)行情況。

（ 2）第二步：啟動(dòng)靶場演練。通過鏡像文件快速部屬虛擬機(jī)實(shí)例。

（3）第三步：訪問目標(biāo)網(wǎng)站，監(jiān)聽通信數(shù)據(jù)，提取惡意程序樣本。根據(jù)任務(wù)描述提供的目標(biāo)網(wǎng)站IP地址，參訓(xùn)人員登錄目標(biāo)網(wǎng)站，瀏覽主頁，同時(shí)使用Wireshark捕獲全部通信數(shù)據(jù)，利用Wireshark提供的文件還原功能，從通信數(shù)據(jù)中識(shí)別、提取惡意樣本文件。

（4）第四步：分析捕獲數(shù)據(jù)，逆向解析惡意程序，提交結(jié)論。根據(jù)靶場任務(wù)要求，參訓(xùn)人員通過分析通信數(shù)據(jù)，可以還原整個(gè)控制中轉(zhuǎn)流程，獲得每個(gè)跳板的IP地址，確定惡意代碼的具體位置。通過對(duì)惡意樣本實(shí)施動(dòng)態(tài)和靜態(tài)分析，獲取惡意代碼主要功能和重要涉案配置信息。

三、網(wǎng)絡(luò)靶場知識(shí)點(diǎn)動(dòng)態(tài)更新機(jī)制

由于網(wǎng)絡(luò)攻防技術(shù)更新?lián)Q代速度很快，新技術(shù)不斷涌現(xiàn)，陳舊過時(shí)的攻防技術(shù)逐漸退出歷史舞臺(tái)。一個(gè)安全漏洞出現(xiàn)后，廠商會(huì)迅速推出相應(yīng)的補(bǔ)丁程序，彌補(bǔ)相關(guān)漏洞。靶場知識(shí)點(diǎn)也必須緊跟網(wǎng)絡(luò)技術(shù)前進(jìn)的步伐，不斷推陳出新，新老更替，保證靶場內(nèi)容能夠滿足實(shí)踐鍛煉的需要。

本文提出的網(wǎng)絡(luò)靶場知識(shí)點(diǎn)動(dòng)態(tài)調(diào)整模型，如圖4所示。主要通過三個(gè)渠道調(diào)整靶場知識(shí)點(diǎn)：

1. 通過脫密案例更新補(bǔ)充知識(shí)點(diǎn)

例如早期勒索病毒通過互聯(lián)網(wǎng)遠(yuǎn)程控制受害者主機(jī)，通過銀行卡收取贖金，辦案人員可以通過網(wǎng)絡(luò)線索和銀行支付線索調(diào)查黑客信息。在新型勒索病毒案件中，黑客通過暗網(wǎng)控制受害者主機(jī)，采用虛擬貨幣支付方式收取贖金，這導(dǎo)致傳統(tǒng)線索調(diào)查方法失效。通過引入新型案例，可以及時(shí)補(bǔ)充完善靶場知識(shí)體系。

2. 通過參訓(xùn)學(xué)員的反饋意見動(dòng)態(tài)調(diào)整靶場內(nèi)容

例如偽基站類型案件從2013年左右開始出現(xiàn)，早期案例主要是以群發(fā)商業(yè)廣告居多，靶場以這一類型案例為主，考查學(xué)員偽基站短信發(fā)送任務(wù)提取和恢復(fù)能力。2016年左右開始出現(xiàn)利用偽基站傳播惡意鏈接，進(jìn)而在受害者手機(jī)端種植木馬程序，竊取銀行卡資金的相關(guān)案例，通過參訓(xùn)學(xué)員的反饋，及時(shí)在靶場內(nèi)更新相關(guān)內(nèi)容，淘汰陳舊案例。

3. 依據(jù)相關(guān)競賽題庫補(bǔ)充完善知識(shí)點(diǎn)

目前國內(nèi)和國際上有多個(gè)比較有影響力的網(wǎng)絡(luò)安全賽事，題目內(nèi)容涉及網(wǎng)絡(luò)滲透、逆向分析、漏洞挖掘和數(shù)據(jù)包解析等多個(gè)領(lǐng)域，這些賽事題目大多對(duì)外界公開。通過分析這些試題及選手的答題情況，可以了解目前主流網(wǎng)絡(luò)攻防技術(shù)的發(fā)展方向，及時(shí)調(diào)整、補(bǔ)充靶場的知識(shí)體系。

四、結(jié)語

本文提出一種面向取證能力提升的網(wǎng)絡(luò)靶場構(gòu)建方案。采用OpenStack云平臺(tái)構(gòu)建網(wǎng)絡(luò)靶場，通過分析典型涉網(wǎng)案件所涉及到的攻防技術(shù)，梳理相應(yīng)的取證措施，凝練網(wǎng)絡(luò)靶場知識(shí)體系；采用最新案例引入、題庫更新和參訓(xùn)學(xué)員反饋等方式實(shí)現(xiàn)靶場知識(shí)體系的動(dòng)態(tài)更新完善。經(jīng)過實(shí)踐檢驗(yàn)，上述靶場系統(tǒng)可以有效鍛煉、提升參訓(xùn)學(xué)員的涉網(wǎng)案件取證分析能力。