本地網絡攻防模擬實驗方法設計

◆李修深

（92941部隊 遼寧 125000）

本地網絡攻防模擬實驗方法設計

◆李修深

（92941部隊 遼寧 125000）

本文針對本地網絡攻防環境構建問題，提出了基于虛擬環境的本地網絡攻防模擬實驗設計方法，分析了開展本地網絡攻防模擬實驗過程和系統運行機制。分別對網絡攻擊子系統和網絡防護子系統進行了詳細設計，研究了兩個子系統中采用的關鍵技術及實現方法。通過采用虛擬機技術，在服務器上虛擬出網絡攻擊和網絡防護子系統，能夠實現當前絕大多數的網絡攻擊操作以及網絡防護的配置管理，能夠為用戶提供功能更為全面、性能更為優越、仿真程度更為逼真的本地網絡攻防實驗訓練環境。

實驗設計；網絡攻防；模擬；虛擬環境；組成結構

0 引言

網絡安全是當前網絡應用中的一個研究熱點。為了能夠更好地分析和研究網絡安全相關技術，對于網絡安全實驗環境的應用需求越來越顯著。然而由于本地網絡攻防的相關實驗都對實驗條件或實驗環境有比較高的要求，尤其是本地網絡攻防的相關實驗，往往會對實驗環境或目標系統造成比較嚴重的危害，有些損壞甚至是不可逆轉的。因此圍繞本地網絡攻防的相關實驗環境的研究，一直是人們所關注的一個重點。

從目前的研究成果來看，當前針對本地網絡攻防的相關實驗環境基本上都是采用虛擬化技術對某一種網絡安全問題提供相應的實驗環境。這一類實驗環境所能夠開展的本地網絡攻防實驗內容十分有限，因此在實際應用過程中局限性比較明顯。

為了能夠更好地開展本地網絡攻防相關實驗和訓練，本文設計了一個綜合性的本地網絡攻防實驗方法，既可以開展網絡攻擊的相關實驗，也可以開展網絡防護的相關實驗，甚至還可以開展本地網絡攻防的對抗性實驗和訓練。因此，能夠為用戶提供功能更為全面、性能更為優越、仿真程度更為逼真的網絡攻防實驗訓練環境。

1 本地網絡攻防模擬訓練系統設計

1.1 組成結構

圖1 本地網絡攻防模擬訓練系統組成結構

本地網絡攻防模擬訓練系統組成結構如圖1 所示，組成本地網絡攻防模擬訓練系統的硬件結構上主要有高性能服務器、路由器、交換機、實驗終端等設備所組成。在整個網絡硬件結構中，路由器和交換機負責本地網絡攻防模擬訓練系統的互聯互通，兩個服務器主要為本地網絡攻防模擬訓練提供虛擬化的操作環境，使用高性能的服務器能夠在服務器上實現多個應用終端的虛擬。

1.2 虛擬化實現技術

通過虛擬化的技術，能夠在兩臺服務器上分別虛擬出網絡攻擊子系統和網絡防護子系統。利用每一臺終端計算機，用戶可以連接到本地網絡攻防模擬訓練方法中來。而且在每個用戶終端上本身也安裝有虛擬機軟件，能夠在當臺終端上虛擬出若干個虛擬終端，從而一些小型化的本地本地網絡攻防實驗可以在用戶終端計算機上通過虛擬終端來實現攻防實驗。當用戶希望進行較大規模的網絡攻防實驗時，則可以連接至服務器。通過服務器虛擬出多個應用終端，分別設置為攻擊子系統的應用終端，或防護子系統的應用終端。每一個應用終端分別應用攻擊子系統和網絡防護子系統的網絡管理和網絡配置，使得每一個應用終端成為攻擊子系統或防護子系統的一個組成部分。之后的用戶既可以利用攻擊子系統或防護子系統中自帶各種應用工具開展網絡攻防的實驗，也可以在虛擬終端上，利用虛擬終端所提供的二次開發應用接口，有針對性地開發一系列的本地網絡攻防應用程序，從而實現靈活多樣的本地網絡攻防實踐操作。

本地網絡攻防模擬訓練系統設計和實現過程中，首先選用相應的網絡設備，搭建本地網絡攻防訓練模擬系統的硬件基礎設施。然后在本地網絡攻防訓練系統上的兩臺服務器以及所有客戶終端上安裝虛擬機軟件，并分別完成網絡攻擊子系統的應用配置和網絡防護子系統的應用配置。

1.3 設計和實現過程中的應用配置

在整個設計和實現過程中，攻擊子系統和防護子系統的應用配置是整個本地網絡攻防模擬訓練系統實現過程中的關鍵環節。兩個應用子系統能夠配置哪些功能，能夠為用戶提供哪些應用工具，直接決定了用戶在該實驗系統上所能夠開展的本地網絡攻防訓練操作內容。而且本地網絡攻防訓練子系統中所提供的二次開發接口，也直接決定了用戶能否應用該系統方便靈活地設計一些有針對性的本地網絡攻防應用程序。因此本文將重點圍繞本地網絡攻防子系統的開發與設計，詳細闡述本地網絡攻防模擬訓練系統的實現過程

2 網絡攻擊子系統的設計

網絡攻擊子系統主要是模擬和實現各種常見的網絡攻擊操作，能夠為用戶提供良好的接口及豐富的攻擊工具，使得用戶利用該子系統能夠有效地開展網絡攻擊相關實驗。網絡攻擊子系統的實現是利用在虛擬機上配置相應的網絡攻擊應用程序或專用工具實現網絡攻擊子系統的各種功能。

2.1 網絡攻擊子系統的組成結構

網絡攻擊子系統的組成結構如圖2所示，在本文設計的網絡攻擊子系統中，主要包括DDOS 攻擊、漏洞掃描程序、ARP 欺騙程序、網絡修繕程序、中間人攻擊代碼和常見的網絡漏洞利用源碼。

圖2 網絡攻擊子系統組成結構

2.2 主要功能

通過網絡攻擊子系統中所包括的這些常用的攻擊程序或模塊，可以實現對目標系統或目標網絡的一些典型的網絡攻擊行為。其中，網絡漏洞利用攻擊源碼是指針對網絡中的操作系統或某些應用軟件所存在的一些安全漏洞專門開發的一些漏洞利用攻擊源碼。

由于漏洞利用攻擊源碼在實際應用過程中，往往需要結合實際的應用環境和應用目標的特點才能開展更有針對性的網絡攻擊行為。因此，網絡攻擊子系統在實際應用過程中往往需要對漏洞利用攻擊源碼進行裁剪或修改，以保證漏洞利用源碼在真正的目標系統上能夠發揮攻擊效果。為此，本文設計的網絡攻擊子系統中包含了一個二次開發接口，該二次開發接口既可以為網絡攻擊子系統中自身所攜帶的漏洞利用攻擊源碼進行修改、調試和動態配置，也支持用戶利用對于二次開發接口實現一些用戶自定義的攻擊方式和攻擊過程。

2.3 本系統的特點

通過網絡攻擊子系統自身所攜帶的各種常見的網絡攻擊模塊，可以簡化用戶開展網絡攻擊實驗的難度，也有助于用戶利用這些網絡攻擊工具，針對一些較為復雜的目標系統或目標網絡開展綜合性的網絡攻擊實驗。而利用攻擊子系統中所提供的二次開發接口，則可以使用戶靈活地根據網絡攻擊過程中所反映出來的問題，結合目標系統所存在的現實漏洞狀況，動態地調整攻擊策略和攻擊方法，開發一些時效性強、靈活多樣的網絡攻擊源碼。

因此，網絡攻擊子系統這種設計結構既能夠為用戶提供驗證性的本地網絡攻防實驗，也能夠為用戶提供一些設計性和創新性的網絡攻擊實驗。

3 網絡防護子系統的設計

3.1 網絡防護子系統的組成結構

網絡防護子系統的設計組成結構如圖3 所示。本文設計的網絡防護子系統主要包括檢測模塊、木馬查殺模塊、病毒防護模塊、系統進程監護模塊、防火墻網絡流量監測模塊、端口監測模塊以及系統日志模塊。

圖3 網絡防護子系統組成結構

3.2 設計目的

網絡防護子系統的主要應用目的，是為用戶提供網絡防護的相關管理和配置的實驗操作，而且利用這些網絡防護的管理和配置操作，讓用戶理解和掌握各種網絡防護工具的使用方法和操作技巧。同時通過網絡防護子系統在實際應用過程中表現出的各種現象和狀態，讓用戶掌握各種網絡現象，分析和判斷當前網絡狀況以及所遭受的網絡攻擊情況。

3.3 功能模塊

根據網絡防護子系統的設計目標，在網絡防護子系統中，用戶可以對圖3中所示的各種應用子模塊進行靈活動態的配置和管理，以提高目標系統的網絡安全防護等級。

利用本文設計的網絡防護子系統中的各應用模塊，用戶可以調用系統進程監視模塊和端口監測模塊對當前目標系統中所有運行的進程進行監視和管理，同時對所有與當前計算機相連的網絡端口進行監測。

（1）網絡流量監測模塊則是可以為目標系統應用過程中對外的通信數據流量進行監測，如果目標系統在實際應用過程中數據通信流量出現異常，則可以提示用戶對當前的網絡數據流量進行分析，以檢測是否存在異常數據流量，進而發現是否存在一些惡意的網絡攻擊行為。

（2）病毒和木馬查收模塊可以為用戶對當前計算機的運行安全提供更為全面的保障，防止一些惡意的病毒或木馬入侵目標計算機。

（3）防火墻是目標系統對網絡安全管理的一個有效的應用模塊。防火墻的應用往往結合網絡流量模塊和端口監測模塊共同使用，當用戶通過網絡流量和端口監測模塊發現當前目標系統中存在通信的異常，可以調用防火墻對一些異常的通信端口或通信進程進行數據通信的阻斷或攔截，防止用戶的目標計算機遭受來自遠程網絡的一些非法攻擊。

（4）入侵檢測系統則是一個綜合性的網絡防護系統，其能夠根據目標系統的實際運行狀況、網絡配置、網絡連接等各種狀態信息，綜合分析和判斷，檢測當前目標系統中是否有遭受來自網絡的各種安全威脅。

（5）系統日志模塊則是對目標系統上所有的操作進行記錄的模塊，無論這些操作是用戶自身所進行的操作，或是網絡應用程序以及遠程的網絡調用所執行的相關操作，都將會在系統日志中留下相關記錄，這將為用戶分析網絡安全狀況、追蹤網絡攻擊的一個重要手段。

根據本文設計的網絡防護子系統的組成結構以及組成結構中各模塊所能提供的功能和應用，可以為用戶提供一個全方位、可配置的網絡防護子系統。應用該子系統的各種功能，能夠支持用戶在該環境下開展本地網絡攻防的相關實驗和訓練內容。

4 結語

本地網絡攻防實驗對實驗條件要求很高，而且由于網絡攻擊的巨大破壞性，使得本地網絡攻防實驗不適合在現有的試驗網絡上開展。這將使得本地網絡攻防的訓練系統的開發和設計變得十分有必要。本文通過采用虛擬機技術，在服務器上虛擬出網絡攻擊子系統和網絡防護子系統，能夠實現當前絕大多數的網路攻擊操作以及網絡防護的配置管理。

圖3 一體化平臺物理架構

2 結語

本文對ICMP的數據結構、工作原理、主要功能、常用工具進行了介紹，給出了ICMP的具體應用案例分析，對如何實現ICMP工作原理及其主要代碼進行闡述，分析了ICMP的研究現狀，在此基礎上提出了網絡設備故障解決方案的一體化模型及其物理架構。

[1]王暖，潘偉偉，李維洲.基于SNMP的網絡設備故障實時檢測[J].中國水運，2009.

[2]曹文斌，陳國順，牛剛，趙洋.基于ICMP和SNMP的網絡設備監測技術[J].計算機工程與設計，2014.

[3]尹星.ICMP協議行為分析研究[J].中國科技博覽，2015.

[4]陳嚴純，梁立.局域網監測的蒙特卡羅算法[J].云南師范大學學報：自然科學版，2016.