崔陽華（延邊大學(xué)工學(xué)院,吉林　延邊　133002）

基于Openstack的網(wǎng)絡(luò)攻防實驗平臺設(shè)計與實現(xiàn)

崔陽華
（延邊大學(xué)工學(xué)院,吉林延邊133002）

網(wǎng)絡(luò)攻防環(huán)境難以構(gòu)建和管理是一個普遍性的難題，本文介紹了一個使用開源的Openstack技術(shù)構(gòu)建網(wǎng)絡(luò)攻防實驗平臺的設(shè)計方案。在校園網(wǎng)中的運行測試結(jié)果顯示，這種基于云計算的網(wǎng)絡(luò)攻防平臺可以顯著降低管理和實驗成本，提高學(xué)習(xí)效率。

網(wǎng)絡(luò)攻防；云計算；Openstack

1　云平臺網(wǎng)絡(luò)攻防實驗平臺需求

近年來，隨著多起安全相關(guān)事件在互聯(lián)網(wǎng)上曝光，網(wǎng)絡(luò)安全成為當(dāng)前技術(shù)研究熱點，網(wǎng)絡(luò)安全課程和網(wǎng)絡(luò)安全競賽也得到了更多的重視。

我們在網(wǎng)絡(luò)安全課程的學(xué)習(xí)和網(wǎng)絡(luò)安全競賽的訓(xùn)練過程中，做了大量網(wǎng)絡(luò)攻防方面的實驗，比較深切地感受到現(xiàn)有的網(wǎng)絡(luò)攻防實驗手段的不足。

考慮到網(wǎng)絡(luò)攻防相關(guān)實驗往往都帶有一定的破壞性，在真實網(wǎng)絡(luò)環(huán)境里進(jìn)行攻防實驗還會遇到法律授權(quán)方面的麻煩，一般都是通過安裝VMware、Virtualbox等模擬軟件構(gòu)建虛擬網(wǎng)絡(luò)環(huán)境去進(jìn)行攻防實驗。

經(jīng)考慮，我們準(zhǔn)備借助云計算技術(shù)來構(gòu)建網(wǎng)絡(luò)攻防實驗平臺。云計算技術(shù)可以靈活地按需提供虛擬化、并行計算、網(wǎng)絡(luò)存儲和負(fù)載均衡等服務(wù)，因此如果能把網(wǎng)絡(luò)攻防所需的各種工具軟件、攻擊機(jī)和靶機(jī)鏡像、操作指南等文檔資料統(tǒng)一安放到云平臺中，則可以極大地改進(jìn)管理工作。例如，可以省去本地安裝配置工作，只要有網(wǎng)絡(luò)隨時能用注冊賬號登錄到云平臺上做有操作權(quán)限的網(wǎng)絡(luò)攻防實驗；所有的技術(shù)文檔、操作指南等統(tǒng)一存儲在云平臺，非常容易檢索；在攻防實驗平臺的存儲空間、CPU性能出現(xiàn)瓶頸時，也非常容易進(jìn)行擴(kuò)充升級。

2　基于Openstack云平臺的設(shè)計和實現(xiàn)

Openstack是一個美國國家航空航天局和Rackspace合作研發(fā)的，旨在為公共及私有云的建設(shè)與管理提供軟件的開源項目。Openstack正處于高速發(fā)展和推廣應(yīng)用過程中，目前已經(jīng)是各種公有云和私有云建設(shè)的主流方案。

基于Openstack的云平臺部署非常靈活，既可以只裝在單節(jié)點服務(wù)器上，也可以部署到大規(guī)模集群服務(wù)器組，經(jīng)綜合考量，我們使用兩臺服務(wù)器去實現(xiàn)網(wǎng)絡(luò)攻防實驗用云平臺，其中一臺服務(wù)器部署為控制節(jié)點，另一臺部署為計算節(jié)點，這也是目前廣泛使用的方案，足以應(yīng)付通常的實驗，以后如果有需求，可以再添加計算節(jié)點以提高性能。服務(wù)器可以只放在私有局域網(wǎng)中，也可以接入校園網(wǎng)提高公開服務(wù)，因此每臺服務(wù)器都裝上雙網(wǎng)卡，一塊連接到外網(wǎng)，另一塊連接內(nèi)網(wǎng)。（如圖所示）

設(shè)計的云平臺服務(wù)器使用操作系統(tǒng)CentOSLinux6.4版，下載OpenStack的Icehouse版本進(jìn)行安裝配置，根據(jù)Openstack的官方安裝指導(dǎo)，在控制節(jié)點先后安裝并配置Mysql、RabbitMQ、keystone、 Nova、Neutron、Cinder、Glance、Horizon和Apache等服務(wù)項目，而在計算節(jié)點上只需安裝配置Nova和Neutron。

Openstack安裝完成后，借助Dashboard服務(wù)可以通過Web界面登錄后進(jìn)行管理。

登錄進(jìn)入云平臺管理頁面后，即可非常便捷地進(jìn)行各種虛擬機(jī)鏡像的創(chuàng)建、上傳、配置、運行、刪除等配置工作。這些虛擬機(jī)鏡像運行后，借助VNC等遠(yuǎn)程控制工具，可以讓多人同時通過網(wǎng)絡(luò)訪問，從而充分發(fā)揮云平臺的作用。

3　攻擊機(jī)和靶機(jī)的配置

攻擊機(jī)的鏡像相對比較容易解決，我們首先制作了基于Windows操作系統(tǒng)的攻擊機(jī)鏡像，在系統(tǒng)中事先封裝了大量網(wǎng)絡(luò)安全滲透測試用工具，包括各種掃描工具、嗅探工具、加解密工具、遠(yuǎn)程滲透攻擊測試工具、動態(tài)調(diào)試工具、靜態(tài)反編譯工具等等。其中最常見最有用的一些工具包括Metasp loit開源安全漏洞測試工具、Nmap掃描器、W ireshark嗅探器、burpsuite集成Web滲透測試工具集、sqlmap注入工具、O llydbg動態(tài)調(diào)試器、IDA反編譯工具等。

靶機(jī)的制作則相對比較麻煩，因為這不是簡單安裝好操作系統(tǒng)和軟件就行了，還經(jīng)常需要自己在靶機(jī)上挖掘出或人為生成需要的某種安全漏洞以供攻擊機(jī)做網(wǎng)絡(luò)攻擊實驗。我們首先自己制作了一些基于Windows2000、WindowsXP、Windows2003、Windows2003、Windows7等操作系統(tǒng)的鏡像，都是沒有打足補丁留下系統(tǒng)漏洞用于系統(tǒng)攻擊測試，然后我們還在一些Windows鏡像中創(chuàng)建了各種基于ASP、ASP. NET、PHP和JSP技術(shù)的有已知漏洞的Web網(wǎng)站用于Web滲透測試。另外，我們下載了一些開源免費靶機(jī)資源，例如OWASP組織發(fā)布的一些靶機(jī)鏡像資源。

4　網(wǎng)絡(luò)攻防平臺應(yīng)用和測試

為了更方便地使用和管理實驗平臺，我們另外編寫并部署了一個管理網(wǎng)站，主要就是將云平臺中的各種虛擬機(jī)資源及各種網(wǎng)絡(luò)攻防實驗所需的學(xué)習(xí)資料進(jìn)行了分類組織顯示。

事先獲取權(quán)限的網(wǎng)絡(luò)攻防練習(xí)者登錄到這個網(wǎng)站后，可以非常便利地查看學(xué)習(xí)資料，更重要的是可以啟動云平臺上各種虛擬機(jī)鏡像，從而實際連接到運行中的攻擊機(jī)和靶機(jī)進(jìn)行各種攻防操作。

通過在攻防平臺上的檢測發(fā)現(xiàn)，在同時練習(xí)人數(shù)不多的情況下，攻擊機(jī)和靶機(jī)的連接速度和運行速度基本能夠滿足要求。

5　結(jié)論

用基于Openstack技術(shù)構(gòu)建的云平臺可以顯著提高網(wǎng)絡(luò)安全，尤其是網(wǎng)絡(luò)攻防操作的學(xué)習(xí)效率，可以作為課程學(xué)習(xí)及競賽培訓(xùn)的有益助手。當(dāng)然，目前云平臺上的網(wǎng)絡(luò)攻防系統(tǒng)遠(yuǎn)不夠成熟，存在標(biāo)準(zhǔn)不統(tǒng)一、界面不夠友好、制作繁瑣、很難支持大規(guī)模應(yīng)用等缺點，有待技術(shù)的進(jìn)一步發(fā)展和更多的開發(fā)工作。

[1]Instal lGuideshttp://docs.openstack.org[Z].

[2]Nmap腳本使用總結(jié)WooYun知識庫ht tp://drops.wooyun.org/ tips/2188[Z].

[3]康辰,朱志祥.基于云計算技術(shù)的網(wǎng)絡(luò)攻防實驗平臺[J].西安郵電大學(xué)學(xué)報,2013(05).