基于網(wǎng)絡(luò)安全的攻防演示系統(tǒng)

孔貴琴 江南機(jī)電設(shè)計研究所

引言

信息化戰(zhàn)場條件下各武器系統(tǒng)之間向扁平化發(fā)展，作戰(zhàn)結(jié)構(gòu)由樹狀結(jié)構(gòu)正逐漸轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)化結(jié)構(gòu)。目前在防空反導(dǎo)裝備中，針對網(wǎng)絡(luò)信息安全技術(shù)以采購指定設(shè)備為主，沒有進(jìn)行自主的研究。一旦發(fā)生大規(guī)模的網(wǎng)絡(luò)襲擊，武器系統(tǒng)響應(yīng)速度及對應(yīng)防御措施能不能進(jìn)行有效應(yīng)對是未知的。對此，我們非常有必要研究出能夠應(yīng)對未來各種復(fù)雜、突發(fā)、未知的網(wǎng)絡(luò)威脅的網(wǎng)絡(luò)安全解決方案。

1 攻防平臺搭建

網(wǎng)絡(luò)安全攻防平臺主要實現(xiàn)對作戰(zhàn)人員的培訓(xùn)、攻防對抗演練。

1.1 網(wǎng)絡(luò)攻防平臺架構(gòu)

利用交換設(shè)備連接多個作戰(zhàn)信息處理設(shè)備，以模擬軍用信息系統(tǒng)子網(wǎng)；同時利用交換設(shè)備的WAN 口連接外部子網(wǎng)，并在外部子網(wǎng)中部署攻擊計算機(jī)以模擬攻擊方；在軍用信息系統(tǒng)子網(wǎng)與外部子網(wǎng)之間部署網(wǎng)絡(luò)防御服務(wù)器實現(xiàn)對網(wǎng)絡(luò)攻擊的防御，其系統(tǒng)架構(gòu)如圖1所示。

1.2 攻擊方法

1.2.1 協(xié)議攻擊

假設(shè)木馬已在竊入點主機(jī)上存活，通過如ICMP 掃描、UDP 掃描和TCP 掃描等方式，其余外部連接端口已打開，并且在不斷地監(jiān)聽是否有機(jī)器和它建立連接，如果連接建立成功，就說明該機(jī)器已經(jīng)感染了該病毒。

1.2.2 SQL 注入攻擊

SQL 注入攻擊，就是利用SQL 注入技術(shù)來實施的網(wǎng)絡(luò)攻擊，SQL 注入的過程：①尋找注入點，②獲取數(shù)據(jù)庫類型信息，③猜測字段名、用戶名、密碼等信息，④尋找web 系統(tǒng)管理后臺入口，⑤入侵和破壞。

1.2.3 暴力破解攻擊

暴力破解HTTP 身份驗證一般都針對基本身份驗證，具體過程就是嵌套循環(huán)組合用戶名和密碼，然后發(fā)送HTTP 請求，直到服務(wù)器返回200 的OK 響應(yīng)為止。用戶名可以采用人工輸入或用戶名列表文件等方式產(chǎn)生。對于密碼的產(chǎn)生可以使用窮舉法、密碼字典等方法。

1.3 網(wǎng)絡(luò)防御方法

1.3.1 ICMP 協(xié)議與網(wǎng)絡(luò)安全

避免ICMP 重定向欺騙的最簡單方法是將主機(jī)配置成不處理ICMP 重定向消息；另一種方法是路由器之間一定要經(jīng)過安全認(rèn)證。

1.3.2 SQL 攻擊檢測

判斷Web 系統(tǒng)是否受到過SQL 注入攻擊的有效方式有四種：

①檢查后臺數(shù)據(jù)庫是否有異常數(shù)據(jù)表。②查看后臺數(shù)據(jù)庫日志。③查看IIS 日志。通過查看日志文件的大小和內(nèi)容，也可以判斷是否發(fā)生過SQL 注入攻擊。④通過查看系統(tǒng)管理員賬號、端口開啟情況、病毒及安全防火墻日志等信息來判斷是否發(fā)生過入侵。

1.3.3 暴力破解防御方法

暴力破解攻擊可通過設(shè)置驗證碼、限制錯誤登錄次數(shù)和增加一個判斷機(jī)制進(jìn)行防御。

a）驗證碼

暴力破解時可以遍歷用戶名和密碼，但每次遍歷時無法預(yù)測變化的驗證碼，如果輸入的驗證碼不正確則無法完成最終請求。

b）限制錯誤登錄次數(shù)

如果某一用戶在短時間內(nèi)多次錯誤輸入密碼，可判定可能存在暴力破解的風(fēng)險，在網(wǎng)站建設(shè)時可以在代碼層面做出防護(hù)措施。

c）增加一個判斷機(jī)制

現(xiàn)在大部分的密碼的提交方式是POST，再加上一個GET 驗證，這樣可以通過xxx.php？url=ADmin 來正常登陸，而攻擊者只能進(jìn)行xxx.php 破解。這樣暴力破解工具就失效了。

2 仿真結(jié)果

2.1 操作說明

a）登陸平臺監(jiān)測界面

在攻擊主機(jī)上打開瀏覽器地址欄輸入：http//server_ip：8080。

b）打開或關(guān)閉攻擊檢測防御模塊

單擊監(jiān)控頁面上的模塊框即可開啟或關(guān)閉對應(yīng)攻擊檢測防御模塊，正常表示運行中，停止表示模塊已經(jīng)停止運行。

2.2 ICMP 洪水攻擊

a）攻擊演示

關(guān)閉ICMP 攻擊檢測模塊，點擊主界面ICMP 攻擊按鈕，打開ICMP 洪水攻擊界面。

依次在彈出的界面中輸入相應(yīng)的攻擊參數(shù)點擊開始攻擊按鈕，實施攻擊。

目的地址：代表攻擊的靶標(biāo)；源地址：代表攻擊源地址，可隨意虛擬一個IP；攻擊包數(shù)量：代表一次攻擊發(fā)送的攻擊包數(shù)量；攻擊線程數(shù)：模擬攻擊源的數(shù)量。

b）防御演示

將ICMP 防御模塊開啟后，重復(fù)上述攻擊操作，系統(tǒng)會對入侵攻擊進(jìn)行防御，防御動作顯示在監(jiān)控界面中的網(wǎng)絡(luò)防御控制臺中，攻擊從12：31：14 開始，系統(tǒng)檢測到并發(fā)起防御時間：12：31：22，防御時間不小于2min。

2.3 SQL 注入攻擊

a）攻擊演示

關(guān)閉SQL 攻擊檢測模塊，點擊主界面SQL 攻擊按鈕，進(jìn)入靶標(biāo)網(wǎng)站登陸界面。用戶使用SQL 代碼注入攻擊，在登陸解決輸入sql 注入字符test’or 1=1。

b）防御演示

開啟攻擊檢測模塊，重復(fù)上述SQL 代碼注入操作，點擊登錄，如果跳轉(zhuǎn)到如下頁面則表示SQL 注入攻擊被系統(tǒng)攔截成功。

圖2 入侵?jǐn)r截

2.4 暴力破解攻擊

a）攻擊演示

關(guān)閉暴力破解攻擊檢測模塊，點擊主界面暴力破解攻擊按鈕，打開暴力破解攻擊界面。

攻擊網(wǎng)站登陸地址：所攻擊靶標(biāo)網(wǎng)站的網(wǎng)址；用戶名字段：靶標(biāo)網(wǎng)站登陸界面POST 用戶名字段名字；需要破解的用戶名：這個字段填寫需要破解密碼的用戶名；密碼字段：靶標(biāo)網(wǎng)站登陸界面POST 密碼字段名字；登陸成功后的一段文字：為正常登陸后的一段文字。

找到name 字段對應(yīng)的test 即為用戶名post 字段，同樣的方法找到密碼post 字段。

點擊開始攻擊按鈕后，監(jiān)控界面將會顯示攻擊執(zhí)行過程，如果密碼字典中存在預(yù)破解用戶的密碼，監(jiān)控界面將會打印出相應(yīng)的密碼。

b）防御演示

打開防御檢測模塊，重復(fù)上述操作，暴力破解攻擊被攔截，系統(tǒng)斷開服務(wù)器，并返回警告信息。

圖3 攻擊攔截

3 結(jié)語

針對防空反導(dǎo)武器系統(tǒng)在未來信息化戰(zhàn)爭中將面臨的網(wǎng)絡(luò)攻擊安全威脅，通過對當(dāng)前典型的網(wǎng)絡(luò)攻擊技術(shù)、防護(hù)技術(shù)等內(nèi)容開展研究，并搭建攻防模擬仿真平臺進(jìn)行演示驗證，提升設(shè)計人員的網(wǎng)絡(luò)攻擊能力，實現(xiàn)自主防御，為后續(xù)在以網(wǎng)絡(luò)化為中心的作戰(zhàn)安全提供技術(shù)支撐。