網絡攻防模擬實驗平臺的設計與實現*

孔軼艷

(柳州職業技術學院，廣西 柳州 545006)

0 引言

網絡安全是當前網絡應用中的一個研究熱點。為了能夠更好地分析和研究網絡安全相關技術，相應的網絡安全實驗環境或實驗平臺，有著廣泛的應用需求。然而由于網絡攻防的相關實驗都對實驗條件或實驗環境都有比較高的要求，尤其是網絡攻防的相關實驗，往往會對實驗環境或目標系統造成比較嚴重的危害，有些損壞甚至是不可逆轉的。因此圍繞網絡攻防的相關實驗環境或訓練平臺的研究，一直是人們所關注的一個重點。目前，針對網絡攻防實驗或訓練系統的相關研究成果主要有：董輝,馬建的《基于虛擬蜜網的網絡攻防實驗平臺的構建》針對傳統被動防御式網絡安全教學實驗平臺的缺點,研究虛擬機和蜜網關鍵技術，構建基于虛擬蜜網技術的網絡安全教學實驗平臺，并給出平臺核心功能實現過程。孔紅山，唐俊，張明清的《基于SITL的網絡攻防仿真平臺的設計與實現》針對網絡仿真工具在網絡安全仿真方面的不足，引入系統在環技術構建網絡攻防仿真平臺，可解決其缺少網絡攻擊模型、應用層沒有對攻擊的響應、安全功能建模困難等問題[1-2]。

從目前的研究成果來看，當前針對網絡攻防的相關實驗環境基本上都是采用虛擬化技術，針對某一種網絡安全問題提供相應的實驗環境。這一類的實驗環境所能夠開展的網絡攻防實驗內容十分有限，因此在實際應用過程中局限性比較明顯。為了能夠更好地開展網絡攻防相關實驗和訓練，本文設計了一個綜合性的網絡攻防實驗訓練平臺，在該平臺中既可以開展網絡攻擊的相關實驗，也可以開展網絡防護的相關實驗，甚至還可以開展網絡攻防的對抗性實驗和訓練。因此，能夠為用戶提供功能更為全面、性能更為優越、仿真程度更為逼真的網絡攻防實驗訓練環境[3-4]。

1 網絡攻防模擬訓練平臺設計

網絡攻防模擬訓練平臺組成結構如圖1所示，組成網絡攻防模擬訓練平臺的硬件結構上主要有高性能服務器、路由器、交換機、實驗終端等設備所組成。在整個網絡硬件結構中，路由器和交換機負責網絡攻防模擬訓練平臺的互聯互通，兩個服務器主要為網絡攻防模擬訓練提供虛擬化的操作環境，使用高性能的服務器能夠在當臺服務器上實現多個應用終端的虛擬。通過虛擬化的技術，能夠在兩臺服務器上分別虛擬出網絡攻擊子系統和網絡防護子系統。網絡攻防模擬訓練平臺中的用戶終端是為用戶登錄和使用網絡攻防模擬訓練平臺的終端計算機。利用每一臺終端計算機，用戶可以連接到網絡攻防模擬訓練平臺中來。而且在每個用戶終端上本身也安裝有虛擬機軟件，能夠在當臺終端上虛擬出四個虛擬終端，從而一些小型化的本地網絡攻防實驗可以在用戶終端計算機上通過虛擬終端來實現攻防實驗。當用戶希望進行較大規模的網絡攻防實驗，則可以連接至訓練平臺中的服務器。通過服務器虛擬出多個應用終端，分別設置為攻擊子系統的應用終端，或防護子系統的應用終端。每一個應用終端分別應用攻擊子系統和網絡防護子系統的網絡管理和網絡配置，使得每一個應用終端成為攻擊子系統或防護子系統的一個組成部分。之后用戶既可以利用攻擊子系統或防護子系統中自帶的各種應用工具開展網絡攻防的實驗，也可以在虛擬終端上，利用虛擬終端所提供的二次開發平臺和二次開發應用接口，有針對性地開發一系列的網絡攻防應用程序，從而實現靈活多樣的網絡攻防實踐操作[5-6]。

圖1 網絡攻防模擬訓練平臺組成結構

網絡攻防模擬訓練平臺設計和實現過程中，首先選購相應的網絡設備，搭建網絡攻防訓練模擬平臺的硬件基礎設施。然后在網絡攻防訓練平臺上的兩臺服務器以及所有客戶終端上安裝虛擬機軟件，并分別完成網絡攻擊子系統的應用配置和網絡防護子系統的應用配置。在整個設計和實現過程中，攻擊子系統和防護子系統的應用配置是整個網絡攻防模擬訓練平臺實現過程中的關鍵環節。兩個應用子系統能夠配置一些什么樣的功能，能夠為用戶提供哪些應用工具，直接決定了用戶在該實驗平臺上所能夠開展的網絡攻防訓練操作內容。而且網絡攻防訓練子系統中所提供的二次開發接口，也直接決定了用戶能否應用該平臺方便靈活地設計一些有針對性的網絡攻防應用程序。因此本文將重點圍繞網絡攻防子系統的開發與設計，詳細闡述網絡攻防模擬訓練平臺的實現過程[7]。

2 網絡攻擊子系統的設計

網絡攻擊子系統主要是模擬和實現各種常見的網絡攻擊操作，能夠為用戶提供良好的接口及豐富的攻擊工具，使得用戶利用該子系統能夠有效地開展網絡攻擊相關實驗。網絡攻擊子系統的實現是利用在虛擬機上配置相應的網絡攻擊應用程序或專用工具實現網絡攻擊子系統的各種功能。網絡攻擊子系統的組成結構如圖2所示，在本文設計的網絡攻擊子系統中，主要包括DDOS攻擊、漏洞掃描程序、ARP欺騙程序、網絡修繕程序、中間人攻擊代碼和常見的網絡漏洞利用源碼。

通過網絡攻擊子系統中所包括的這些常用的攻擊程序或模塊，可以實現對目標系統或目標網絡的一些典型的網絡攻擊行為。其中，網絡漏洞利用攻擊源碼是指針對網絡中的操作系統或某些應用軟件所存在的一些安全漏洞專門開發的一些漏洞利用攻擊源碼。由于漏洞利用攻擊源碼在實際應用過程中，往往需要結合實際的應用環境和應用目標的特點才能開展更有針對性的網絡攻擊行為。因此，網絡攻擊子系統在實際應用過程中往往需要對漏洞利用攻擊源碼進行裁剪或修改[8]，以保證漏洞利用源碼在真正的目標系統上能夠發揮攻擊效果。為此，本文設計的網絡攻擊子系統中包含了一個二次開發接口，該二次開發接口既可以為網絡攻擊子系統中自身所攜帶的漏洞利用攻擊源碼進行修改、調試和動態配置，也支持用戶利用對于二次開發接口實現一些用戶自定義的攻擊方式和攻擊過程。通過網絡攻擊子系統自身所攜帶的各種常見的網絡攻擊模塊，可以簡化用戶開展網絡攻擊實驗的難度，也有助于用戶利用這些網絡攻擊工具，針對一些較為復雜的目標系統或目標網絡開展綜合性的網絡攻擊實驗。而利用攻擊子系統中所提供的二次開發接口，則可以使用戶靈活地根據網絡攻擊過程中所反映出來的問題，結合目標系統所存在的現實漏洞狀況，動態地調整攻擊策略和攻擊方法，開發一些時效性強、靈活多樣的網絡攻擊源碼。因此，網絡攻擊子系統這種設計結構既能夠為用戶提供驗證性的網絡攻防實驗[9-10]，也能夠為用戶提供一些設計性和創新性的網絡攻擊實驗。

圖2 網絡攻擊子系統組成結構

3 網絡防護子系統的設計

網絡防護子系統的設計組成結構如圖3所示。本文設計的網絡防護子系統主要包括？檢測模塊、木馬查殺模塊、病毒防護模塊、系統進程監護模塊、防火墻網絡流量監測模塊、端口監測模塊以及系統日志模塊。網絡防護子系統的主要應用目的，是為用戶提供網絡防護的相關管理和配置的實驗操作，而且利用這些網絡防護的管理和配置操作，讓用戶理解和掌握各種網絡防護工具的使用方法和操作技巧。同時通過網絡防護子系統在實際應用過程中表現出的各種現象和狀態，讓用戶掌握各種網絡現象，分析和判斷當前網絡狀況以及所遭受的網絡攻擊情況。根據網絡防護子系統的設計目標，在網絡防護子系統中，用戶可以對圖三中所示的各種應用子模塊進行靈活動態的配置和管理[11-12]，以提高目標系統的網絡安全防護等級。

利用本文設計的網絡防護子系統中的各應用模塊，用戶可以調用系統進程監視模塊和端口監測模塊對當前目標系統中所有運行的進程進行監視和管理，同時對所有與當前計算機相連的網絡端口進行監測。網絡流量監測模塊則是可以為目標系統應用過程中對外的通信數據流量進行監測[13]，如果目標系統在實際應用過程中數據通信流量出現異常，則可以提示用戶對當前的網絡數據流量進行分析，以檢測是否存在異常數據流量，進而發現是否存在一些惡意的網絡攻擊行為。病毒和木馬查收模塊可以為用戶對當前計算機的運行安全提供更為全面的保障，防止一些惡意的病毒或木馬入侵目標計算機。防火墻是目標系統對網絡安全管理的一個有效的應用模塊。防火墻的應用往往結合網絡流量模塊和端口監測模塊共同使用，當用戶通過網絡流量和端口監測模塊發現當前目標系統中存在通信的異常，可以調用防火墻對一些異常的通信端口或通信進程進行數據通信的阻斷或攔截，防止用戶的目標計算機遭受來自遠程網絡的一些非法攻擊。入侵檢測系統則是一個綜合性的網絡防護系統，其能夠根據目標系統的實際運行狀況、網絡配置、網絡連接等各種狀態信息，綜合分析和判斷，檢測當前目標系統中是否有遭受來自網絡的各種安全威脅。系統日志模塊則是對目標系統上所有的操作進行記錄的模塊，無論這些操作是用戶自身所進行的操作，或是網絡應用程序以及遠程的網絡調用所執行的相關操作，都將會在系統日志中留下相關記錄，這將為用戶分析網絡安全狀況、追蹤網絡攻擊的一個重要手段。

圖3 網絡防護子系統組成結構

根據本文設計的網絡防護子系統的組成結構以及組成結構中各模塊所能提供的功能和應用，可以為用戶提供一個全方位、靈活可配置的網絡防護子系統。應用該子系統的各種功能，能夠支持用戶在該環境下開展網絡攻防的相關實驗和訓練內容。

4 結語

網絡攻防實驗對實驗條件要求很高，而且由于網絡攻擊的巨大破壞性，使得網絡攻防實驗不能夠在普通的互聯網上開展。這將使得網絡攻防的訓練平臺的開發和設計變得十分有必要。本文通過采用虛擬機技術，在服務器上虛擬出網絡攻擊和網絡防護子系統，能夠實現當前絕大多數的網路攻擊操作以及網絡防護的配置管理。

[1] 董輝,馬建.基于虛擬蜜網的網絡攻防實驗平臺的構建[J].齊齊哈爾大學學報:自然科學版,2012,28(02):67-72.

[2] 汪淵,楊槐,朱安國.基于插件的網絡攻防訓練模擬系統設計與實現[J].計算機技術與發展,2010,20(07):172-174.

[3] 孔紅山,唐俊,張明清.基于SITL的網絡攻防仿真平臺的設計與實現[J].計算機應用研究,2011,28(07):2715-2718.

[4] 周緋菲,潘杰,夏永恒,等.OPNET環境下DOS nuke的攻防仿真[J].上海海事大學學報,2008,29(02):86-90.

[5] 張明清,謝杰,張敏,等.基于OPNET的拒絕服務攻擊建模與仿真[J].系統仿真學報,2008,20(10):2736-2739.

[6] 肖道舉,楊素娟,周開鋒,等.網絡安全評估模型研究[J].華中科技大學學報:自然科學版,2002,30(04):37-39.

[7] 潘峰,孫鵬,劉景浩.一個實用、高效網絡攻防訓練模擬系統的設計與實現[J].信息安全與通信保密,2005(07):327-331.

[8] 諶黔燕.綜合性、設計性實驗的開發與探索——網絡攻防實驗模型的設計與實現[J].實驗科學與技術,2005,3(S1):39-41.

[9] 成衛青,楊哲睿.網絡編程實驗設計與教學研究[J].實驗科學與技術,2010,8(02):99-101.

[10] 姜沫岐,陳月云.基于DSP構建綜合仿真平臺的OFDM系統實現[J].信息安全與通信保密,2006(03):86-88.

[11] 文軍,王加懂.DSP程序在線編程的研究與實現[J].信息安全與通信保密,2007(08): 192-195,198.

[12] 楊華,楊松岸,黃修超.以TMS320C6205為核心的MPEG-4編碼器的設計與實現[J].通信技術,2003(11):1-2,5.

[13] 易克非,胡慶鋒.基于DSP的實時多任務調度內核設計[J].通信技術,2011,44(06):135-137.