網絡攻擊行為仿真實現技術分析

[摘要]隨著計算機信息技術飛速發展，工業、商業以及軍隊對于網路的依賴性越來越強，而網絡攻擊將會造成災難性的后果。從網絡攻防原理出發，針對計算機網絡攻擊和防御進行相關研究，分析網絡攻防仿真平臺的實現技術。

[關鍵詞]網絡攻擊 仿真 入侵檢測

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0420069－01

一、網絡攻防原理介紹

隨著各種紛繁復雜的攻擊的出現和人們對入侵造成的破壞日益重視，網絡防御保護也在不斷發展，不斷加強，無論是在局域網還是在廣域網中，都存在著入侵攻擊和安全防御的對抗。下面分析幾種常見的網絡攻防原理。（1）數據包掃描是攻擊和防御中最基本的內容。（2）TCP端口掃描，一個端口就是一個潛在的通信通道，也就是一個入侵通道。對目標計算機進行端口掃描，能得到許多有用的信息。端口掃描主要有經典的掃描器（全連接）以及所謂的SYN半連接掃描器，此外還有間接掃描和秘密掃描等。（3）漏洞掃描，漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在。（4）網絡入侵檢測（NID），網絡入侵檢測系統的基本工作原理是嗅探（Sniffer），它通過將網卡設置為混雜模式，使得網卡可以接收網絡接口上的所有數據。（5）防火墻，防火墻就是一種數據包過濾塞，它可以讓正常的數據包通過，而將不符合的數據包統統過濾掉。（6）加密，這里涉及的加密是指針對傳輸層數據的加密。在數據發送前對傳輸層數據進行加密，當數據包到達目的主機后，解開數據包是，然后再解密恢復數據，從而保證數據在網絡上更安全地傳輸。

二、系統描述

應該從三個方面來分析該系統功能分析，即TCP/IP底層協議仿真，網絡攻擊與防御仿真，真實網絡環境下簡單的攻擊和防御練習。

設計此虛擬網絡要遵循的協議就是協議。我們設計的時候做了從以太幀到傳輸層數據包封裝的所有接口，實驗者可以用這些接口來封裝網絡上傳輸的數據包，也可以用這些接口提取出數據包的任何字段，進行分析。另外，在虛擬網絡上的任何節點（主機，路由器，防火墻，集線器）上，都做了相對于真實設備的仿真。同樣也可以在虛擬節點上配置簡單的入侵檢測系統和防火墻等工具，從而達到攻擊和防御仿真。如果實驗者想在真實網絡上進行攻擊防御練習也就是可以的，這時實驗者只要將建立虛擬網絡一步省去，直接調用該系統提供的函數庫，就可以做上述實驗了。

三、設計網絡攻防仿真平臺及配置文件解析

（一）平臺總體框架。系統從整體上分為總控單元、真實的攻擊和防御、模擬的攻擊和防御、網絡模擬模塊和公共模塊等部分，見圖1所示?？傮w控制單元：在平臺運行前進行初始化，由一個全局標志來決定平臺運行在真實環境還是模擬環境。真實的攻擊和防御：在真實的環境中，我們所能操作的只是一臺本地主機，攻擊和防御功能都在本地主機上進行，然后通過反饋來得出這些攻擊和防御對網絡的影響。每個設備的模擬，使其實現真實設備遵循接收和發送數據的功能，實現發送數據前對網絡各層數據包的封裝，收到數據后對各層上數據的提取等。公共模塊：提供給上層的真實攻擊防御模塊和模擬攻擊防御模塊的最基本的函數庫和所調用的功能。公共模塊大體包括三個獨立的部分，形成攻擊部分形成防御的部分、用于顯示和向實驗者報告的部分。

（二）虛擬網絡設備的設計。一個虛擬主機中可以添加若干虛擬網卡，并且可以通過圖形界面設置各個網卡對應的網絡基本信息。每添加一個網卡就可以啟動一個線程，這個線程進行接收網絡上流經該主機的網絡數據包。虛擬主機上只有一塊虛擬網卡，虛擬網卡負責從該主機所處的網絡上接收和發送數據包。然后主機負責將捕獲的數據暫存到主機的數據接收緩沖區，等待數據處理模塊處理。主機要發送數據包時，數據處理模塊將處理好的數據送到數據發送緩存，然后在網卡空閑的時候發送出去。

集線器是虛擬網絡中的一個簡單的設備，它的功能只是連接各網絡設備，如果有數據流經一個集線器，它要通知與它直接相連接的網絡設備，各網絡設備訪問了集線器上的數據之后，集線器就消除上面的數據。在極限器上只有一個數據緩存，某個時刻它只能接收一個以太數據幀。

路由器工作在網絡層以下，我們設計虛擬路由器同樣遵循這個原則，主要負責虛擬網絡上IP數據包的轉發和錯誤響應。如果有正常數據包到達虛擬路由器，路由器首先要從以太幀中提取出IP數據包，然后驗證IP包頭的信息，檢查校驗和是否正確，TTL是否為0，是否是廣播和組播等。如果驗證通過，要查找虛擬路由器的路由表，根據路由表的記錄決定數據包向哪個網卡轉發，然后處理IP包頭部，再將處理后的IP包封裝到以太幀，交給相應網卡的發送緩存區。

防火墻的主要功能就是依照所定義的訪問控制策略對數據通訊進行屏蔽和允許通信。虛擬防火墻是為了實現虛擬網絡中IP數據包過濾而設計的，它不像上面的虛擬路由器一樣，在丟棄數據包后可能會有ICMP反饋。虛擬防火墻有兩塊虛擬網卡，網卡的功能和前面介紹的虛擬主機、虛擬路由器我上網卡的結構功能相同。

（三）配置文件解析。在系統中，需要有一個配置文件，用于存放實驗者配置網絡的信息。一個配置文件有兩種生成途徑一種從圖形界面生成，另一種直接由實驗者編寫。一個配置文件的主體部分有三段，分別是設備部分（equipment），連接（link）部分和網關部分（gateway）。配置文件解析是將配置文件configuration.txt解析成一種便于使用的中間數據結構。由于系統是多個人開發的，生成中間數據結構可以避免每個開發人員去解析配置文件，從而節省了開發時間。析配置文件主要做了下面幾項工作：（1）解析文件，排除錯誤，給實驗者錯誤反饋；（2）驗證網絡拓撲的正確性；（3）生成虛擬路由表；（4）為初始化網絡構架提供數據結構。

四、結語

目前，網絡仿真技術主要應用于網絡互連互通性、網絡運行效率、協議效率等方面的仿真，在對網絡攻擊和網絡安全方面的仿真還非常欠缺。本文從網絡攻擊仿真的角度出發，著重從系統框架整體角度分析了網絡攻防原理仿真平臺相關技術，介紹了設計網絡仿真平臺的總體目標，框架，以及各個主要網絡設備的設計方案，配置文件的生成，解析，并根據配置文件來建立虛擬路由器的路由表，根據拓撲文件的解析結果來驗證網絡的正確性等內容。

參考文獻：

[1]張帥、盧昱，仿真環境中的網絡攻擊模型設計[J].裝備指揮技術學院學報，2005，03.

[2]屠守中、王海泉、吉毅，面向仿真的網絡攻擊知識描述技術[J].微計算機信息，2008，33.

作者簡介：

董其維，男，漢族，四川省鄰水縣人，工程碩士，研究方向為計算機網絡協議與網絡安全。