面向取證能力提升的網絡靶場訓練系統構建＊

徐國天 中國刑事警察學院

引言

2019年8月30日，中國互聯網絡信息中心（CNNIC）發布了第44次《中國互聯網絡發展狀況統計報告》。《報告》顯示，截至2019年6月，中國網民規模達8.54億，互聯網普及率為61.2%。其中，手機網民規模達8.47億。隨著網民數量的急劇增加，網絡犯罪也呈上升趨勢。2019年上半年，國家互聯網應急中心監測發現境內近4萬個網站的頁面被篡改，其中有222個政府網站，監測同時發現大約1.4萬個境外IP地址對我國境內2.6萬個網站植入后門，共發現2055個高危安全漏洞。統計數據顯示網絡安全事件已經嚴重危害我國信息網絡安全，甚至是國家安全。

網絡攻擊案件發生后，為防止易失型電子數據滅失，必須盡快進行現場或遠程勘驗，提取網絡入侵線索，追蹤犯罪嫌疑人。然而，在一些網絡入侵案件中，由于電子數據勘查不充分、不全面，獲取電子證據不足，導致犯罪分子逍遙法外，或被從輕處理。因此，總結不同類型網絡攻擊案件的取證對策，增強辦案人員的電子數據取證分析能力，對有效打擊網絡入侵類犯罪，遏制網絡入侵案件的發生有重要意義。

目前世界各國普遍采用網絡靶場進行專業人員培訓和實戰演練。網絡靶場可以模擬各種真實的網絡環境，參訓人員根據預設的任務目標，在靶場內完成特定的攻防演練任務，有效鍛煉提高參訓人員的網絡攻防實踐能力。但是目前已有的網絡靶場訓練系統側重攻防實踐能力的鍛煉，而很少甚至不能滿足網絡取證能力的培養需要。由于網絡取證能力是涉網案件調查人員必須具備的一項技能，因此有必要研究面向取證能力提升的網絡靶場建設方案。

本文在對比已有網絡攻防實驗系統的基礎上，提出基于OpenStack云平臺的網絡靶場構建方案；在靶場知識點組織方面，提出按照典型案例歸納涉及到的網絡攻防技術，凝練相應的取證方法；通過參訓學員反饋、題庫更新和最新案例引入等方式實現靶場知識體系的動態更新完善。

一、基于OpenStack云平臺構建網絡靶場

面向取證能力提升的網絡靶場需要滿足以下需求：（1）可以根據訓練需要動態生成復雜多樣的網絡拓撲，仿真真實網絡環境；（2）可以滿足訓練隔離需求，每組學員的訓練環境相互隔離，互不干擾；（3）在靶場測試任務結束后，學員可以登錄目標虛擬機，提取網絡攻擊痕跡。（4）可以捕獲分析全網各個節點的通信數據包，完成網絡取證分析任務；（5）靶場訓練環境可以完成快速部署，學員測試過程流暢，測試過程不對用戶終端軟硬件系統造成影響，測試結束后可以快速恢復原始狀態。

（一）早期網絡靶場組建方式

早期網絡攻防訓練測試大多在真實的網絡設備上進行，以某院校網絡安全實驗室為例，該實驗室于2006年組建，滿足一個班級50名學員的建設需求。訓練室內放置8臺圓形訓練桌，每桌坐6名學員，配備一組立式機柜，機柜內放置設備包括一臺無線路由器、一臺防火墻、一臺入侵檢測系統、兩臺2600路由器、一臺3750三層交換機、一臺2162二層交換機、一臺RCMS管理服務器。這種訓練環境的優勢是學員可以直觀地觀察到網絡設備的外觀形態，親手連接網絡線路，使用超級終端對設備進行調配，鍛煉了學員的動手能力。但是，幾輪教學下來缺點也暴露的非常明顯。學員進行分組訓練時，多數情況下是以三人為一組進行訓練，每人負責配置一臺網絡設備，這導致學員忙于完成自己的工作，對整體任務缺乏了解，即只了解局部，不了解整體。每組訓練結束后，教官都需要登錄該組訓練臺的RCMS設備清空訓練痕跡，然后下一組學員才能開始訓練。這導致上一組訓練進行時，下一組學員無事可做，如上一組遇到問題，耽誤了進度，會間接影響下一組學員的訓練進程。在訓練過程中，教官忙于清空各組訓練臺的痕跡數據，干擾了訓練指導工作。另外，受訓練設備數量影響，學員也僅能完成一些簡單的基礎性網絡訓練，一些復雜拓撲結構和新型網絡接口組網訓練任務無法完成。另外，在真實網絡設備上進行網絡攻防測試還可能對訓練設備的軟硬件系統造成破壞，增加了設備維護工作量。因此，這種采用真實設備作為載體，進行網絡攻防測試的訓練模式已逐漸不被采用。

采用思科、華為等網絡模擬器進行組網訓練在一定程度上可以解決上述不足，這種方式不受訓練設備數量的限制，可以靈活地搭建各類網絡環境，隨著模擬器的升級，最新的網絡設備也可以引入實踐教學。學員在演練過程中可以獨立完成全部組網任務，鍛煉了實踐動手能力，教官也從繁瑣的設備清痕工作中脫離出來，可以全身心投入到訓練指導工作。但是這種方式的缺點也比較明顯，在組網階段雖然可以選擇臺式計算機或服務器節點，但是在這類終端節點上僅能布置簡單的靜態測試網站，只能執行基礎的DOS命令，而在攻防訓練中，需要在服務器端布置不同類型的測試站點，同時需要能夠從服務器端提取日志等多種攻擊痕跡，這些是模擬器訓練方式無法完成的。另外，無論是基礎網絡訓練還是進階的網絡攻防訓練，都需要采集訓練過程中產生的網絡數據包，通過數據包分析掌握網絡協議相關原理，提取網絡攻擊痕跡特征，在模擬器網絡環境中，這一需求也無法完成。

采用真實設備進行網絡攻防訓練一方面成本高，另一方面訓練可能造成軟硬件系統的損壞，采用Vmware等虛擬機可以較好地解決這些問題。虛擬機技術可以在一臺計算機上模擬出多臺終端系統，根據訓練需求，終端可以選擇各種類型的操作系統，可以安裝各類測試工具軟件，和使用一臺真實計算機完全相同。當選擇Host-only聯網方式時，虛擬機和主機之間通過一臺虛擬集線器互聯，與外部互聯網完全隔離；當選擇NAT方式時，虛擬機通過主機代理方式接入互聯網；當選擇橋接方式時，全部虛擬機通過虛擬集線器接入真實交換設備，進而訪問互聯網。通過虛擬鏡像技術，在網絡攻防訓練結束后，可以將虛擬機快速還原到初始狀態，解決了網絡攻防訓練對軟硬件系統可能造成損壞的問題。同時，在虛擬機端安裝Wireshark等監聽工具可以捕獲全網通信數據，滿足攻防訓練的數據包分析需求。但是，虛擬機訓練方式的問題是很難組建復雜的網絡拓撲結構，不能模擬真實的網絡環境，一些復雜拓撲結構的網絡攻防訓練無法完成。雖然使用Win2000虛擬機可以模擬路由器進行組網訓練，但是受主機內存大小的限制，一臺主機只能運行有限個數的虛擬機，例如主機內存為16GB，可以流暢穩定運行3臺Windows 虛擬機，當虛擬機數量超過5臺時，主機運行速度將變得極為緩慢，不能正常使用。另外，學員在每次訓練過程中都需要進行IP地址設置、動態網站安裝等重復性基礎網絡配置，也影響了訓練任務的開展。

上述三種訓練方式無法滿足網絡靶場靈活、易拓展等諸多需求。現有部分網絡靶場采用C/S架構搭建，在學員終端上部署若干臺Windows和Linux虛擬機，虛擬機內部根據測試需要設置若干個鏡像資源。進行靶場演練時，通過客戶端軟件登錄控制服務器，獲得任務需求，根據題目要求在服務器端啟動相應的目標靶機完成攻防任務。這種方式可以詳細記錄學員的完整測試過程，實時顯示任務完成情況和積分排名，比較靈活地設置訓練任務。但是當學員進行攻防演練時，被測試目標虛擬機部署在服務器端，多個學員測試同一組目標虛擬機，訓練過程存在相互干擾的情況。同時，學員不能直接操作服務器端存儲的目標虛擬機，無法查看目標靶機被攻擊之后遺留的痕跡數據，不能完成服務器端數據包采集任務，不適合鍛煉學員的網絡攻擊案件調查取證能力。

（二）利用云計算和虛擬化技術組建網絡靶場

近年來，云計算和虛擬化技術快速發展，云平臺可以按需調度、分配資源池中的存儲、計算和網絡資源，動態組建靈活多樣的網絡拓撲結構，滿足靶場建設需求，一些網絡安全企業利用云平臺搭建靶場環境，取得了比較好的實際效果。目前共有三種類型的云平臺PaaS、SaaS和IaaS。PaaS（Platform as a Service）平臺即服務模式提供給用戶一個運行環境，如Java、SQL Server、Apache環境，用戶只需將自己的軟件系統部署到云平臺運行環境內即可使用，Google公司提供的GAE平臺就是這類云平臺。SaaS（Software as a Service）軟件即服務模式提供一個實現特定功能的軟件系統給用戶使用，例如云相冊、云備份、在線Office等都屬于這類應用。百度提供的百度網盤和Google公司提供的Google DOC都屬于這類云平臺。 IaaS（Infrastructure as a Service）基礎設施服務模式將計算能力，存儲能力、I/O設備整合成一個虛擬資源池，將用戶申請的各類資源整合為一臺虛擬服務器提供給用戶。用戶可以選擇虛擬服務器的硬件參數，包括CPU速率、內存和磁盤容量，可以選擇虛擬機的操作系統類型，可以在虛擬機上安裝任意軟件系統。IaaS類型云平臺靈活性強，用戶自主權大。目前商業版的IaaS云平臺主要有阿里云和亞馬遜EC2，免費開源云平臺主要有OpenStack、Eucalyptus等。與商業版相比，開源云平臺更受廣大用戶歡迎，其穩定性和成熟性越來越強。OpenStack最早由美國國家航空航天局NASA研發，旨在為用戶搭建公有云和私有云平臺，具有低耦合性、高拓展性，適合用于組建網絡測試靶場。

本文使用OpenStack云平臺組建網絡靶場，靶場模型如圖1所示，訓練室的硬件條件決定云平臺資源池規模。OpenStack屬于分布式系統，由多個服務組件構成，核心組件包括Nova計算服務、Neutron網絡服務、Swift存儲服務、Glance鏡像服務等。Nova計算服務對云平臺資源池中的全部硬件資源進行統一管理，按照用戶申請的硬件參數從資源池內組成多個虛擬機實例，提供給用戶使用。學員在靶場攻防演練過程中，可以在靶場虛擬機上運行Wireshark監聽工具，實時捕獲通信數據，在演練結束后，對捕獲數據包進行取證分析，也可以遠程登錄靶場內的目標虛擬機，提取日志、數據庫文件，查看攻擊遺留痕跡。上述特點可以鍛煉學員的網絡取證分析能力。Neutron網絡服務對虛擬機實例組成的網絡拓撲結構進行管理，包括L2、L3層網絡，可選用的描述元素包括子網、端口、DHCP服務、NAT服務、路由器、負載均衡器等。虛擬網絡之間相互隔離，互不影響，利用Neutron網絡服務可以組建復雜多樣的網絡拓撲，高度仿真真實的網絡環境，滿足靶場建設需要。Swift存儲服務提供分布式存儲功能，包含了數據恢復和冗余備份機制，適合大文件的分布式存儲。Glance鏡像服務負責管理虛擬機鏡像實例，在靶場測試過程中需要安裝使用不同的靶場環境，比如存在特定漏洞的PHP站點、存在特定漏洞的數據庫系統等，可以將不同的靶場環境存儲為鏡像文件，進行攻防測試時，通過Glance鏡像服務快速恢復虛擬機鏡像，實現靶場環境的快速部署和恢復。

教官可以通過管理系統對云平臺進行管理和維護，例如添加、修改、刪除鏡像文件，可以通過管理系統對靶場訓練題目進行調整。學員登錄管理系統注冊用戶，參加靶場演練，通過展示模塊了解演練進展情況，通過成績統計模塊掌握任務完成情況。

二、面向網絡取證能力提升的靶場內容建設

在基于OpenStack云平臺組建的靶場環境內，可以快速部署演練環境，學員可以進行各種攻防訓練，可以登錄目標虛擬機查看各種痕跡數據，為鍛煉提高學員的網絡取證分析能力提供了一個良好的硬件載體。有了良好的硬件平臺，靶場的訓練內容是否符合公安實踐需要，是否涵蓋了當前最新的攻防案例，能否鍛煉參訓學員的網絡取證能力，同樣至關重要。

（一）網絡靶場知識體系及前導后繼關系

本文總結的面向網絡取證能力提升的靶場知識點構成如表1所示，按照涉及的網絡攻防技術共劃分8個知識點。

?

1. 網絡安全協議漏洞

雖然安全性更好的IPV6協議已經推出10余年，但是由于網絡設備更新速度緩慢等諸多因素，目前IPV4協議仍是主流通信協議。而IPV4協議在設計之初，并未全面考慮網絡安全因素，造成IPV4協議漏洞較多，例如ARP欺騙、DNS欺騙、路由重定向，等安全漏洞，利用這些漏洞攻擊者可以監聽目標主機通信數據，提取敏感信息，篡改數據內容，甚至改變數據流向。掌握網絡安全協議漏洞相關原理，分析捕獲數據包，識別此類攻擊遺留痕跡需要學員具備TCP/IP協議族基礎知識，因此計算機網絡是其前導內容。

2. 網絡掃描、監聽

網絡攻擊實施之前，需要全面了解目標系統參數和漏洞情況。網絡掃描是采用主動攻擊方式發現目標網段內的活動主機，識別目標主機上開放的端口和漏洞信息。網絡監聽是采用被動攻擊方式收集目標服務器相關參數信息，提取以明文方式傳輸的通信內容。網絡掃描利用的是TCP協議三次握手建立連接和四次揮手中斷連接機制判斷活動端口，網絡監聽需要對捕獲的通信數據進行分析，這些都需要學員具備TCP、UDP協議分析基礎。

3. 網絡破解

破解加密文件密碼，移除計算機開機密碼在涉網案件辦理工作中有重要作用。本知識點除了包含暴力、字典和彩虹表等常規破解方法之外，還要涵蓋密碼移除等簡單高效方法。

4. WEB服務器攻擊類

WEB服務器內通常存儲了大量重要信息，很多公民個人信息泄露案件的源頭就是網站被入侵，數據庫內海量用戶信息被犯罪分子非法獲取，出售獲利。企事業單位門戶網站被入侵，主頁被替換的案件也時有發生，造成謠言傳播、社會恐慌等諸多問題。掌握WEB服務器被攻擊后的痕跡提取方法是網絡犯罪案件調查人員必須掌握的一項技能。這個知識點要求學員具備常見類型網站的構建能力和關鍵代碼分析能力，能對主流數據庫系統使用SQL命令進行關聯分析查詢。

5. 僵木蠕惡意程序類

僵木蠕是指僵尸程序、木馬程序和蠕蟲病毒。近年來，僵木蠕惡意程序在互聯網泛濫傳播，2017年出現的“永恒之藍”就是一種蠕蟲病毒，會加密被感染主機內全部重要文檔，受害者需通過暗網支付比特幣贖金完成解密。深入研究各類僵木蠕攻擊技術，才能更好地提取分析遺留的痕跡特征。

6. 日志流量分析類

用戶的正常網絡訪問行為記錄在日志文件中，同樣黑客實施的網絡攻擊行為也記錄在日志文件中，從海量日志數據中提取入侵痕跡是調查人員必須具備的一項取證能力。DDOS攻擊、網絡木馬蠕蟲攻擊痕跡可以從受害者主機收發的通信數據包內提取，對海量數據包的解析能力也是調查人員必須掌握的。這個知識點要求學員具備使用wireshark分析TCP/IP協議族的知識基礎。

7. 逆向分析類

逆向分析是指將惡意程序反編譯為匯編或Java源代碼，通過閱讀源代碼提取黑客主機域名、IP地址、郵箱賬號，等重要線索，分析惡意程序的邏輯功能。逆向分析是僵木蠕惡意程序取證分析的重要措施。Java語言、匯編語言和操作系統原理是逆向分析必須的知識基礎。

8. 防御技術類

重點包括對稱和公鑰加密技術、數字證書、網絡層安全協議IPsec、傳輸層安全協議SSL和TLS，應用層安全協議PGP，VPN技術，防火墻及入侵檢測技術。

（二）面向網絡取證能力培養的靶場任務組織模式

與常規靶場重點訓練網絡攻防技能不同，面向取證能力提升的網絡靶場重點培養學員的網絡攻防案件取證能力，為涉網案件調查分析服務。如何有效組織靶場任務，完成取證能力培養這一目標是一個關鍵問題。如圖2所示，本文提出一種按照常見涉網案件類型分類組織靶場任務的解決思路，先搜集典型涉網案件，分析總結每類案件涉及到的攻防技術，同步研究相應的取證方法和取證難點，再將脫密后的案件數據移植到網絡靶場內，靶場任務側重體現網絡取證方面的相關內容。

下面以一個實際案例為例介紹靶場任務的組織和開展。在一起網絡盜竊案件中，黑客在某電子商務網站主頁植入惡意代碼，用戶瀏覽主頁后，如主機瀏覽器未打補丁，會在惡意代碼作用下，通過兩級跳板從目標服務器下載1.swf和2.jar惡意程序，惡意程序利用瀏覽器漏洞自動觸發運行，竊取受害者主機內的敏感信息，將竊取數據發送到黑客指定的網絡服務器上。通過分析受害者主機在瀏覽網頁過程中收發的通信數據包可以還原惡意代碼的種植過程，可以提取出跳板和目標服務器的IP地址，獲得惡意代碼的存儲位置和樣本文件。通過對惡意程序樣本進行動態和靜態分析，可以得知程序的主要功能，獲得黑客設置的收信服務器IP地址數據，上述信息對案件辦理有重要作用。這類案件重點培養學員的網絡數據包分析和惡意代碼逆向解析能力。任務的組織流程如圖3所示。

（1）第一步：將案件信息脫密，生成虛擬機鏡像和網絡拓撲，對任務進行描述。案件信息脫密是一項重要工作，需要隱去案件相關信息，包括涉案人員身份信息，修改涉案服務器的域名、IP地址信息，將處理過的涉案網站樣本安裝到虛擬機上，生成鏡像文件，組織網絡拓撲，測試案例在云平臺內的運行情況。

（ 2）第二步：啟動靶場演練。通過鏡像文件快速部屬虛擬機實例。

（3）第三步：訪問目標網站，監聽通信數據，提取惡意程序樣本。根據任務描述提供的目標網站IP地址，參訓人員登錄目標網站，瀏覽主頁，同時使用Wireshark捕獲全部通信數據，利用Wireshark提供的文件還原功能，從通信數據中識別、提取惡意樣本文件。

（4）第四步：分析捕獲數據，逆向解析惡意程序，提交結論。根據靶場任務要求，參訓人員通過分析通信數據，可以還原整個控制中轉流程，獲得每個跳板的IP地址，確定惡意代碼的具體位置。通過對惡意樣本實施動態和靜態分析，獲取惡意代碼主要功能和重要涉案配置信息。

三、網絡靶場知識點動態更新機制

由于網絡攻防技術更新換代速度很快，新技術不斷涌現，陳舊過時的攻防技術逐漸退出歷史舞臺。一個安全漏洞出現后，廠商會迅速推出相應的補丁程序，彌補相關漏洞。靶場知識點也必須緊跟網絡技術前進的步伐，不斷推陳出新，新老更替，保證靶場內容能夠滿足實踐鍛煉的需要。

本文提出的網絡靶場知識點動態調整模型，如圖4所示。主要通過三個渠道調整靶場知識點：

1. 通過脫密案例更新補充知識點

例如早期勒索病毒通過互聯網遠程控制受害者主機，通過銀行卡收取贖金，辦案人員可以通過網絡線索和銀行支付線索調查黑客信息。在新型勒索病毒案件中，黑客通過暗網控制受害者主機，采用虛擬貨幣支付方式收取贖金，這導致傳統線索調查方法失效。通過引入新型案例，可以及時補充完善靶場知識體系。

2. 通過參訓學員的反饋意見動態調整靶場內容

例如偽基站類型案件從2013年左右開始出現，早期案例主要是以群發商業廣告居多，靶場以這一類型案例為主，考查學員偽基站短信發送任務提取和恢復能力。2016年左右開始出現利用偽基站傳播惡意鏈接，進而在受害者手機端種植木馬程序，竊取銀行卡資金的相關案例，通過參訓學員的反饋，及時在靶場內更新相關內容，淘汰陳舊案例。

3. 依據相關競賽題庫補充完善知識點

目前國內和國際上有多個比較有影響力的網絡安全賽事，題目內容涉及網絡滲透、逆向分析、漏洞挖掘和數據包解析等多個領域，這些賽事題目大多對外界公開。通過分析這些試題及選手的答題情況，可以了解目前主流網絡攻防技術的發展方向，及時調整、補充靶場的知識體系。

四、結語

本文提出一種面向取證能力提升的網絡靶場構建方案。采用OpenStack云平臺構建網絡靶場，通過分析典型涉網案件所涉及到的攻防技術，梳理相應的取證措施，凝練網絡靶場知識體系；采用最新案例引入、題庫更新和參訓學員反饋等方式實現靶場知識體系的動態更新完善。經過實踐檢驗，上述靶場系統可以有效鍛煉、提升參訓學員的涉網案件取證分析能力。