基于云平臺的網絡攻防靶場系統構建

袁策++劉道海++劉凌++郭紅怡++李樸楠

摘 要：為了避免對真實計算機網絡的影響和破壞，通常采用網絡靶場系統進行網絡攻防的演練和測試研究。本文根據開源云平臺動態分配資源的靈活性、管理的統一性、維護的低成本性以及開源性等優點，在其上構建網絡攻防靶場系統，為網絡攻防演練、滲透測試以及防護技術研究等提供綜合模擬環境，可應用于政府、企業以及高校等行業的網絡安全實驗室。

關鍵詞：OpenStack；云平臺；網絡攻防；靶場

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-2064（2017）01-0027-02

1 引言

隨著計算機網絡技術的快速發展及其在各領域的廣泛應用，社會各界也越來越重視信息網絡安全問題，不斷投入資源進行網絡攻防演練和信息安全研究。考慮到計算機網絡應用服務的實時性和高可靠性要求，難以直接在業務網絡尤其是生產系統上進行網絡攻防演練和滲透測試研究。網絡靶場技術能夠對真實業務網絡進行模擬，在其上進行攻防演練能夠避免對真實業務網絡的破壞，并且成本低、部署靈活、過程可重復，是網絡攻防演練和測試研究的有效途徑。

網絡靶場概念最初在軍事領域提出，是為了滿足信息化武器系統的研究需求而構建的信息安全試驗平臺，是一個貼近實戰的信息戰模擬環境[1]。由于網絡靶場可以進行各種攻擊手段和防御技術的研究，針對性制定安全性策略以及安全方案，并可進行定量和定性的安全評估，因此其在軍事領域之外的其他信息安全研究領域也得到了廣泛的應用。

本文根據網絡攻擊及防護技術在真實網絡環境中的應用特點，基于云計算技術構建了網絡攻防靶場平臺，能夠為網絡攻防演練、滲透測試以及防護技術研究提供綜合模擬環境，可應用于政府、企業以及高校等行業的網絡安全實驗室。

2 OpenStack云計算技術

云計算是一種基于互聯網的計算方式和服務模式，它具有靈活動態分配資源、統一管理、有效降低管理維護成本等優勢，因此基于云計算平臺的網絡靶場也具有高性價比和便于管理維護等優點。OpenStack是由開源社區開發維護的一個開源云計算平臺，采用組件化的服務形式管理計算、存儲以及網絡資源池，支持自定義方式搭建靈活的云計算環境，其主要組件包括：

（1）運算組件Nova，是OpenStack的核心組件，負責虛擬運算和資源的調度；

（2）對象存儲組件Swift，其以分布式對象存儲方式存放虛擬機鏡像文件；

（3）區塊存儲組件Cinder，分塊存儲，為虛擬機提供塊存儲設備；

（4）網絡組件Quantum，管理虛擬網絡系統；

（5）身份認證組件Keystone，用于身份認證和授權；

（6）鏡像文件管理組件Glance，對虛擬機鏡像文件進行管理；

（7）儀表盤組件Horizon，提供UI操作界面。

OpenStack通過以上組件提供可擴展、靈活的云計算平臺，并且鑒于其開源特性以及強大的社區開發模式，本文采用OpenStack作為云平臺構建網絡靶場。

3 基于OpenStack技術的網絡攻防靶場平臺構建

3.1 設計目標

在實際業務環境中，網絡攻擊和防御是“道高一尺魔高一丈”的關系，手段也呈現多樣性特點，所以近似真實業務網絡是靶場設計的基本要求，并且靶場的設計應滿足以下目標：

（1）網絡攻防的指標參數應可以根據需要進行配置，比如拓撲結構、漏洞等級、設備參數以及評價指標等。

（2）可以進行多種模式的演練，以滿足不同的演練需求，包括紅藍對抗和單兵作戰。

（3）能夠對演練過程和成績進行實時監控和統計，并以圖形化界面全程展示演練情況，具備一定的態勢感知能力。

（4）在演練過程中，靶場應能夠在運行資源和管理資源方面支持不同攻防場景的快速部署，從而全方位地對靶場進行安全性評估，重點完善薄弱環節，也能夠通過豐富的演練場景，掌握網絡攻擊與防護的理論知識和實踐技能。

（5）演練數據應被詳細記錄，通過數據處理和分析，評估靶場的安全性以及演練人員的技能水平，并進一步形成和豐富網絡攻防實驗模型和實驗數據庫。

3.2 總體架構

根據前述設計目標，基于云平臺的網絡攻防靶場在OpenStack基礎設施之上模擬出多種設備和系統，包括網絡設備、安全設備、主機設備以及操作系統，并能夠完全貼近網絡安全的各應用領域，例如網絡設備安全、操作系統安全、數據庫安全、Web應用安全、主機程序安全、移動設備安全以及中間件安全。功能模塊主要有靶場信息管理系統、紅藍對抗系統和單兵作戰系統。靶場系統又包括各種靶場場景，可以預設和修改，主要靶場場景包括ServU漏洞利用靶場、Windows漏洞靶場、Linux漏洞靶場、webshell利用、SqlServer提權靶場、SQL注入靶場、cookie分析靶場、ftp弱口令利用靶場、telnet弱口令利用靶場、系統登錄弱口令利用靶場、電商網站靶場、新聞系統靶場、個人博客靶場、Wiki靶場、OA系統靶場等。系統總體架構如圖1所示。

3.3 功能模塊

3.3.1 靶場管理信息系統

靶場管理信息系統對整個靶場平臺進行統一管理調度，采用B/S架構模式，無需安裝客戶端，升級維護靈活方便。其一方面通過API接口訪問OpenStack云計算資源，另一方面負責對靶場場景進行鏡像管理和參數配置，并提供實時監控、分析統計、可視化展示、系統管理等功能。靶場管理信息系統自身具備較高的安全防護能力，能夠防止在攻防演練中受到攻擊導致整個靶場平臺的失效。

3.3.2 紅藍對抗系統

呈現紅藍對抗演練模式，即將演練者分為紅方和藍方兩組進行網絡攻防的對抗演練，以CTF（Capture the Flag）奪旗比賽模式進行，紅方試圖利用藍方的安全防護漏洞獲取藍方的Flag，藍方則盡力堵住自身安全漏洞，并反利用紅方漏洞獲取紅方Flag，是一種對抗激烈的演練模式，對演練者的技能水平有較高考驗。

3.3.3 單兵作戰系統

主要訓練考核演練者的攻擊水平，系統為演練者提供了兩臺攻擊機以及目標靶機，攻擊機分別為預置有攻擊工具的Windows操作系統和Kali Linux操作系統，目標靶機由系統管理員從靶場場景中選取設置，演練者通過攻擊機對靶機進行滲透，獲取過關文件，向系統提交過關文件后由系統自動進行判分，并給出實時成績。

4 網絡攻防滲透測試實例

本文對系統功能和各靶場場景逐一進行了測試，此處以Windows漏洞利用靶場場景為例闡述滲透測試過程。該靶場場景部署Windows xp SP1版本操作系統作為目標靶機，測試時使用靶場平臺提供的Kali Linux作為攻擊機，在攻擊機運行漏洞掃描程序對目標靶機進行漏洞掃描，發現目標靶機存在MS08-067高危漏洞。于是攻擊機啟動Metasploit攻擊框架，使用攻擊模塊，加載攻擊載荷，對靶機進行滲透，從而獲取到靶機的命令行權限，并添加用戶、提權，最終獲得靶機的最高控制權，取得Flag，滲透成功。

通過對網絡攻防靶場系統全部功能模塊和靶場場景的測試以及實踐檢驗，證明該系統功能全面、運行穩定，達到了預期設計目標。

5 結語

本文根據網絡攻擊及防護技術在真實網絡業務環境中的應用特點，基于OpenStack云計算技術構建了網絡攻防靶場平臺，能夠為網絡攻防演練、滲透測試以及防護技術研究提供綜合模擬環境，避免對真實網絡的影響和危害，可應用于政府、企業以及高校等行業的網絡安全實驗室。

參考文獻：

[1]韓衛國，徐明迪.面向賽博空間的網絡靶場建設思路[J].計算機與數字工程，2015（08）.