摘要： 虛擬技術(shù)在網(wǎng)絡(luò)技術(shù)中的應(yīng)用，主要涉及服務(wù)器的模擬、網(wǎng)絡(luò)設(shè)備的模擬，這兩者之間往往是各自獨(dú)立，完成各自領(lǐng)域的任務(wù)，但在大型項(xiàng)目案例中，比如基于Internet的黑客入侵案例中，需要將這兩者結(jié)合起來(lái)。該文探索了如何將網(wǎng)絡(luò)設(shè)備虛擬技術(shù)與服務(wù)器虛擬技術(shù)進(jìn)行融合，并以Internet環(huán)境的模擬和基于此環(huán)境的木馬入侵為例，探究了虛擬技術(shù)的綜合應(yīng)用及網(wǎng)絡(luò)安全中木馬入侵與防范方法。

關(guān)鍵詞：虛擬機(jī)；VMWare；GNS3；木馬；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）15-3493-04

只有知道黑客是如何攻擊和入侵的，網(wǎng)絡(luò)管理員才能更好的維護(hù)好自己所管理的網(wǎng)絡(luò)，對(duì)自己管理的網(wǎng)絡(luò)做好安全防護(hù)，正所謂“知己知彼，方能百戰(zhàn)不貽”。

運(yùn)用虛擬技術(shù)，用一臺(tái)電腦，就可模擬出Ineternet的環(huán)境并模擬多種木馬入侵場(chǎng)景，從而提高網(wǎng)絡(luò)管理員的安全防護(hù)技能；同時(shí)，也可改變網(wǎng)絡(luò)安全相關(guān)課程的教學(xué)培訓(xùn)和實(shí)踐困難的現(xiàn)狀，提高教師的備課質(zhì)量和學(xué)生的知識(shí)水平動(dòng)手及實(shí)踐能力。

1 在一臺(tái)PC機(jī)中，通過虛擬技術(shù)模擬復(fù)雜的Internet環(huán)境

復(fù)雜的Internet環(huán)境中，存在著眾多的網(wǎng)絡(luò)互聯(lián)設(shè)備、服務(wù)器和客戶機(jī)等。采用虛擬技術(shù)軟件VMWare 和GNS3，可分別用來(lái)模擬網(wǎng)絡(luò)設(shè)備和主機(jī)。其中，VMWare可用來(lái)模擬服務(wù)器或客戶機(jī)，在一臺(tái)真機(jī)上，利用VMWare，可安裝多個(gè)的Windows、Linux等操作系統(tǒng)，從而模擬出多臺(tái)服務(wù)器或客戶機(jī)；而GNS3則是采用真實(shí)路由器的IOS來(lái)模擬路由器的，模擬出來(lái)的路由器等設(shè)備的操作命令及功能與真實(shí)路由器一致。在同一臺(tái)真機(jī)上，可同時(shí)安裝VMWare和GNS3，并讓它們虛擬出來(lái)的主機(jī)與網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)互聯(lián)。下面，對(duì)它們的用法進(jìn)行分別介紹。

1.1 GNS3的用法

GNS3剛安裝好后，先要進(jìn)行相關(guān)配置，方法如下：

1）通過Edit/IOS images and hypervisors，選擇路由器的IOS文件；

2）計(jì)算Idle PC。不合適的Idle PC值，會(huì)導(dǎo)致真機(jī)系統(tǒng)CPU占用率過大，甚至達(dá)100%，為了能正常使用，需要計(jì)算并選擇合適的Idle PC值。方法是：在GNS3中，拖出一臺(tái)路由器，右擊運(yùn)行，右擊選“Idle PC”，系統(tǒng)會(huì)計(jì)算出一些Idle PC值，打“*”號(hào)的是系統(tǒng)推薦的值，要獲得一個(gè)好的值需要在使用過程中反復(fù)嘗試、不斷調(diào)整。

1.2 VMWare的用法

VMWare安裝好后，可通過操作系統(tǒng)安裝盤的ISO文件，進(jìn)行windows等各種操作系統(tǒng)的安裝，安裝完第一個(gè)操作系統(tǒng)，還可通過克隆等方式，快速生成多個(gè)操作系統(tǒng)，用于模擬多臺(tái)客戶機(jī)或服務(wù)器。VMWare的用法在筆者的文章《運(yùn)用虛擬化技術(shù)模擬黑客入侵與防御》中有詳細(xì)論述，此處不再贅述。

1.3 虛擬主機(jī)與虛擬網(wǎng)絡(luò)設(shè)備的互聯(lián)

對(duì)于大型項(xiàng)目案例，需要將虛擬服務(wù)器與虛擬網(wǎng)絡(luò)設(shè)備連接起來(lái)，方法如下：

1） 默認(rèn)情況下，能實(shí)現(xiàn)將一臺(tái)虛擬的路由器與真機(jī)相連或與一臺(tái)VMWare虛擬主機(jī)相連，若要模擬多個(gè)網(wǎng)絡(luò)的環(huán)境，實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)設(shè)備與多臺(tái)虛擬主機(jī)相連，則需要在VMWare中，添加新的虛擬網(wǎng)絡(luò)。方法是：打開VMWare，選擇Edit/Virtual Network Edit...，選擇“Add Network”，添加VMnet2、VMnet3等虛擬網(wǎng)絡(luò)，然后重啟真機(jī)使之生效。

2） 在VMWare中，將不同網(wǎng)絡(luò)的主機(jī)連接到不同的VMnet。如：將一臺(tái)路由器與一臺(tái)主機(jī)通過虛擬網(wǎng)絡(luò)VMnet1互聯(lián)，步驟如下：

1）在VMWare中，啟動(dòng)PC1，將其連接到VMnet1。

2）啟動(dòng)GNS3，拖出一臺(tái)路由器R1，一臺(tái)主機(jī)C1。此主機(jī)C1將代表VMWare中的主機(jī)PC1。

3）在GNS3中，右擊C1，選擇“配置”，刪除原有默認(rèn)網(wǎng)卡，再選中VMnet1，點(diǎn)擊“添加”。

4）在GNS3中，將R1與PC1連接到了網(wǎng)絡(luò)VMnet1中。方法：選擇手工連接；點(diǎn)擊C1，選VMnet1；再點(diǎn)擊R1，選f0/0。

5）在VMWaret中給主機(jī)PC1設(shè)置IP地址。

6）在GNS3中，啟動(dòng)R1，給R1的f0/0設(shè)置與PC1同網(wǎng)段的IP地址。

7）Ping測(cè)試，主機(jī)PC1能連通路由器R1。

1.4 用虛擬技術(shù)搭建Internet環(huán)境

規(guī)劃如下：柳州A學(xué)院局域網(wǎng)兩臺(tái)主機(jī)、南寧B公司局域網(wǎng)一臺(tái)主機(jī)、桂林市公網(wǎng)一臺(tái)Web服務(wù)器。共涉及四臺(tái)主機(jī)（或服務(wù)器）、三臺(tái)路由器、一臺(tái)交換機(jī)。拓?fù)浣Y(jié)構(gòu)如下：

搭建方法如下：

1）打開四個(gè)VMWare，啟動(dòng)四臺(tái)PC機(jī)，PC1和PC2模擬柳州A學(xué)院局域網(wǎng)內(nèi)的兩臺(tái)主機(jī)，PC3模擬南寧B公司局域網(wǎng)內(nèi)的一臺(tái)主機(jī)，PC4模擬桂林市公網(wǎng)上的一臺(tái)Web服務(wù)器。將PC1～PC4分別連接到VMnet1～VMnet4。

2）打開GNS3，拖出三臺(tái)路由器，四臺(tái)主機(jī)，一臺(tái)交換機(jī)，為R2添加一個(gè)模塊NM-1FE-TX，GNS3中的C1～C4對(duì)應(yīng)于VMWare中的PC1～PC4，將C1～C4的網(wǎng)卡分別設(shè)置為VMnet1～VMnet4。

3）在GNS3中，選擇“手動(dòng)連接”，按上圖拓?fù)?，將C1的VMnet1連接到SW1的1口，C2的VMnet2連接到SW1的2口，SW1的8口連接到R1的f0/1口，R1的f0/0口連接到R2的f0/0口，R2的f0/1口連接到R3的f0/0口，R3的f0/1口連接到C3的VMnet3，R2的f1/0連接到C4的VMnet4。

4）為R1的各端口設(shè)置IP地址、設(shè)置默認(rèn)路由、設(shè)置NAT，使192.168.43.0網(wǎng)段的柳州A學(xué)院的計(jì)算機(jī)能訪問外網(wǎng)，但外網(wǎng)不能訪問內(nèi)網(wǎng)。配置命令如下：

interface FastEthernet0/0

ip address 202.103.225.2 255.255.255.0

ip nat outside

interface FastEthernet0/1

ip address 192.168.43.1 255.255.255.0

ip nat inside

ip route 0.0.0.0 0.0.0.0 202.103.225.1

access-list 1 permit 192.168.43.0 0.0.0.255

ip nat inside source list 1 interface FastEthernet0/0 overload

5）為R2的各端口設(shè)置IP地址。配置命令如下：

int f0/0

ip add 202.103.225.1 255.255.255.0

int f0/1

ip add 202.103.224.1 255.255.255.0

int f1/0

ip add 202.103.210.1 255.255.255.0

6）為R3的各端口設(shè)置IP地址、設(shè)置默認(rèn)路由、設(shè)置NAT，使192.168.1.0網(wǎng)段的南寧B公司內(nèi)部的計(jì)算機(jī)能訪問外網(wǎng)，但外網(wǎng)不能訪問內(nèi)網(wǎng)。配置命令如下：

int f0/0

ip add 202.103.224.2 255.255.255.0

ip nat outside

int f0/1

ip add 192.168.1.1 255.255.255.0

ip nat inside

ip route 0.0.0.0 0.0.0.0 202.103.224.1

access-list 1 permit 192.168.1.0 0.0.0.255

ip nat inside source list 1 interface f0/0 overload

7）在VMWare中，配置各主機(jī)的IP地址、缺省網(wǎng)關(guān)。為服務(wù)器安裝Web服務(wù)。完成后，柳州A學(xué)院內(nèi)網(wǎng)計(jì)算機(jī)和南寧B公司內(nèi)網(wǎng)的計(jì)算機(jī)互相間不能訪問，但都能訪問桂林公網(wǎng)上的Web服務(wù)器，公網(wǎng)上的Web服務(wù)器不能訪問內(nèi)網(wǎng)。

2 模擬木馬入侵

根據(jù)前面搭建好的Internet環(huán)境，可進(jìn)一步模擬木馬入侵。公網(wǎng)服務(wù)器入侵內(nèi)網(wǎng)計(jì)算機(jī)已在筆者的文章《運(yùn)用虛擬化技術(shù)模擬黑客入侵與防御》中詳細(xì)論述，該文重點(diǎn)探討利用局域網(wǎng)內(nèi)部計(jì)算機(jī)通過網(wǎng)頁(yè)掛馬的形式分別入侵同一局域網(wǎng)中的計(jì)算機(jī)，入侵不同局域網(wǎng)中的計(jì)算機(jī)以及公網(wǎng)中的服務(wù)器。

2.1 局域網(wǎng)內(nèi)部的入侵

以黑客在柳州A學(xué)院局域網(wǎng)內(nèi)部通過C1入侵C2為例，步驟如下：

1）搭建黑客網(wǎng)站。在VMWare的PC1上，搭建黑客網(wǎng)站www.heike.com，黑客將通過網(wǎng)頁(yè)掛馬的形式，供受害者瀏覽，受害者一旦瀏覽，將會(huì)中毒受控。

2）在PC1和PC2上，編輯hosts文件，將www.heike.com解析為192.168.43.2，即黑客網(wǎng)站所在計(jì)算機(jī)的IP地址。

3）生成木馬服務(wù)器端。在PC1上，啟動(dòng)灰鴿子客戶端，點(diǎn)擊“配置服務(wù)程序”，將服務(wù)程序IP地址或域名設(shè)置為：“www.heike.com”，點(diǎn)擊“生成服務(wù)器”，生成server.exe。生成的木馬服務(wù)器端將由黑客通過網(wǎng)頁(yè)掛馬、電子郵件、捆綁到游戲中等形式，引誘受害者瀏覽或下載運(yùn)行。本例中，通過網(wǎng)頁(yè)掛馬的形式發(fā)布木馬病毒。

4）生成掛馬首頁(yè)。在PC1上，將灰鴿子服務(wù)端server.exe復(fù)制到黑客網(wǎng)站根目錄；運(yùn)行網(wǎng)馬生成器，輸入網(wǎng)頁(yè)木馬路徑：http：//www.heike.com/server.exe，生成網(wǎng)馬文件，將網(wǎng)馬文件重命名為default.htm，復(fù)制到黑客網(wǎng)站根目錄。

5）控制受害者。在PC2上瀏覽黑客網(wǎng)站，片刻后，PC1上的灰鴿子客戶端會(huì)發(fā)現(xiàn)PC2上線，從而黑客可在PC1上控制受害者PC2。這是因?yàn)?，一旦受害者瀏覽掛馬網(wǎng)站，木馬服務(wù)器端就會(huì)自動(dòng)下載到受害者的計(jì)算機(jī)上運(yùn)行，然后主動(dòng)連接到黑客所在的木馬客戶端。這一切都是在受害者毫不知情的情況下發(fā)生的，而木馬服務(wù)端還會(huì)將自己設(shè)置成開機(jī)加載，就算受害者重啟計(jì)算機(jī)，仍然會(huì)被控。

2.2 在前面配置的基礎(chǔ)上，黑客還可進(jìn)一步入侵公網(wǎng)或其它局域網(wǎng)上的計(jì)算機(jī)

下面，以黑客在柳州A學(xué)院局域網(wǎng)內(nèi)部的C1入侵桂林市公網(wǎng)上的Web服務(wù)器C4、入侵南寧B公司局域網(wǎng)內(nèi)部的C3為例。

1）外網(wǎng)是不能訪問內(nèi)網(wǎng)的，如何使外網(wǎng)和其它局域網(wǎng)能訪問黑客所在局域網(wǎng)內(nèi)部的掛馬網(wǎng)站呢？這需要黑客有權(quán)限配置所在局域網(wǎng)的網(wǎng)關(guān)R1，將掛馬網(wǎng)站的IP地址進(jìn)行NAT端口映射，此處要映射的是80端口，也就是http協(xié)議使用的端口。命令如下：

ip nat inside source static tcp 192.168.43.2 80 interface f0/0 80

若黑客是在家中通過寬帶路由上網(wǎng)，因?yàn)槊看紊暇W(wǎng)，黑客計(jì)算機(jī)獲得的公網(wǎng)IP地址都有可能不一樣，因此需要通過申請(qǐng)動(dòng)態(tài)域名，利用花生殼之類的軟件將黑客網(wǎng)站與動(dòng)態(tài)域名捆綁，獲得動(dòng)態(tài)域名的支持，再進(jìn)一步通過寬帶路由器的圖形界面，設(shè)置NAT端口映射。

2）以上配置完成后，外網(wǎng)或其它局域網(wǎng)用戶訪問黑客網(wǎng)站所用的IP地址不再是黑客所在局域網(wǎng)的內(nèi)網(wǎng)地址192.168.43.2，而是網(wǎng)關(guān)連接外網(wǎng)接口的地址，也就是202.103.225.2，因此，需在PC3、PC4上，編輯hosts文件，將www.heike.com解析為202.103.225.2。

此時(shí)，PC3、PC4都可以通過域名“www.heike.com”訪問PC1上的黑客網(wǎng)站，但受害者計(jì)算機(jī)上的木馬服務(wù)端主動(dòng)聯(lián)系的是202.103.225.2的8000端口，此端口還未與192.168.43.2作NAT端口映射，所以黑客還無(wú)法控制PC3、PC4。

3）為使外網(wǎng)和其它局域網(wǎng)中毒的計(jì)算機(jī)能被PC1上的灰鴿子客戶端控制，黑客還要配置R1，將黑客網(wǎng)站的內(nèi)網(wǎng)IP地址與外網(wǎng)接口進(jìn)行8000端口的NAT映射，命令如下：

ip nat inside source static tcp 192.168.43.2 8000 interface f0/0 8000

通過以上配置，黑客不僅可控制同一局域網(wǎng)內(nèi)的計(jì)算機(jī)PC2，還能控制不同局域網(wǎng)內(nèi)的計(jì)算機(jī)PC3和公網(wǎng)服務(wù)器PC4。

通過以上演示，網(wǎng)絡(luò)管理員可以清楚了解到黑客是如何通過木馬達(dá)到入侵目的的，網(wǎng)絡(luò)管理員進(jìn)一步需要及時(shí)更新系統(tǒng)，添加防火墻、安裝殺毒軟件的方式加強(qiáng)防護(hù)。GNS3不但支持路由器、交換機(jī)等網(wǎng)絡(luò)互聯(lián)設(shè)備的模擬，也支持ASA等硬件防火墻的模擬；在VMWare支持的操作系統(tǒng)上，也可安裝軟件防火墻、部署殺毒軟件、安裝入侵檢測(cè)系統(tǒng)。因此，充分運(yùn)用這兩種虛擬技術(shù)，可以很好的提高管理員的安全防護(hù)能力。

參考文獻(xiàn)

[1] 阿博泰克.構(gòu)建大型企業(yè)網(wǎng)絡(luò)[M].北京：科學(xué)技術(shù)文獻(xiàn)出版社：2009

[2] 秦?zé)?，勞翠?運(yùn)用虛擬化技術(shù)模擬黑客入侵與防御[J].電腦知識(shí)與技術(shù)，2011（23）.

[3] 秦?zé)?通過虛擬機(jī)探討網(wǎng)絡(luò)隱身及木馬攻擊[J].硅谷，2012（12）.