盤(pán)煒生

摘要：計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)驗(yàn)課程的特殊性使建立網(wǎng)絡(luò)安全環(huán)境比較困難，提出運(yùn)用VMWare創(chuàng)建虛擬機(jī)搭建網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)網(wǎng)絡(luò)的方案。根據(jù)虛擬機(jī)的特點(diǎn)、網(wǎng)絡(luò)連接模式，以及網(wǎng)絡(luò)安全課程實(shí)驗(yàn)項(xiàng)目，詳細(xì)地給出實(shí)驗(yàn)案例DoS/DDoS攻擊和防范在虛擬網(wǎng)絡(luò)環(huán)境中的實(shí)現(xiàn)過(guò)程。實(shí)踐證明，運(yùn)用VMWare建立的網(wǎng)絡(luò)安全虛擬網(wǎng)絡(luò)和真實(shí)網(wǎng)絡(luò)環(huán)境的步驟、界面、系統(tǒng)響應(yīng)是一致的，能滿足網(wǎng)絡(luò)安全實(shí)驗(yàn)的教學(xué)需求，教學(xué)效果良好。

關(guān)鍵詞：VMWare；網(wǎng)絡(luò)安全；虛擬機(jī)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）33-0021-02

Network Security Design of Experiment Based on VMWare

PAN Wei-sheng

（Education Technology and Computer Center ，Zhao Qing University， Zhaoqing 526061， China）

Abstract： The particularity of computer network security experiment makes building network security environment has become more difficult. We use the VMWare to create a virtual machine to build virtual experiment network of network security. According to the characteristics of the virtual machine and network connection mode， as well as the network security course experiment project， Test case is given in detail of the DoS/DDoS attack and guard against implementation process in virtual network environment. Practice has proved that using VMWare to establish the virtual network of network security ， its operational steps， interface， system response is consistent to the real network environment .Also its can satisfy the need of network security experiment teaching， and the teaching effect is good.

Key words： VMWare；network security；virtual machine

隨著互聯(lián)網(wǎng)的迅速普及，網(wǎng)絡(luò)應(yīng)用越來(lái)越深入地滲透到人們生活之中。然而互聯(lián)網(wǎng)在給人們帶來(lái)極大的便利的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越嚴(yán)重[1-2]。因此網(wǎng)絡(luò)安全也就成為社會(huì)現(xiàn)代化以及國(guó)家信息化的核心內(nèi)容之一。為適應(yīng)社會(huì)需要，目前國(guó)內(nèi)高校的計(jì)算機(jī)專(zhuān)業(yè)都設(shè)置了網(wǎng)絡(luò)安全課程。然而由于網(wǎng)絡(luò)安全教學(xué)實(shí)驗(yàn)需要專(zhuān)門(mén)的硬件測(cè)試設(shè)備和設(shè)置復(fù)雜的實(shí)驗(yàn)步驟，而且網(wǎng)絡(luò)安全實(shí)驗(yàn)對(duì)主機(jī)系統(tǒng)、所在的局域網(wǎng)系統(tǒng)、校園網(wǎng)都有一定的破壞性和危害性，如果主機(jī)或網(wǎng)絡(luò)系統(tǒng)被破壞，將會(huì)造成難以預(yù)測(cè)的后果。另外如果建設(shè)專(zhuān)業(yè)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室，由需要投入較大資金，技術(shù)要求高，而且只為少數(shù)幾門(mén)網(wǎng)絡(luò)課程所使用，導(dǎo)致利用率很低。因此，引入虛擬機(jī)技術(shù)搭建網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，以保證網(wǎng)絡(luò)安全教學(xué)的順利進(jìn)行，顯得非常必要[3]。

1 VMWare虛擬機(jī)技術(shù)

1.1 虛擬機(jī)

虛擬機(jī)就是以軟件虛擬機(jī)的方法把一臺(tái)物理電腦的硬盤(pán)和內(nèi)存虛擬出若干臺(tái)電腦主機(jī)，這些主機(jī)都擁有各自獨(dú)立的芯片和內(nèi)存、硬盤(pán)、網(wǎng)卡，可以像真正的計(jì)算機(jī)那樣運(yùn)行，如用戶可以在其中安裝Windows、Linux、Unix等操作系統(tǒng)，安裝各種應(yīng)用程序，訪問(wèn)網(wǎng)絡(luò)空間資源，如同真正的計(jì)算機(jī)一樣[4]。

1.2 VMWare虛擬軟件

VMWare WorkStation是美國(guó)VMWare公司研發(fā)的虛擬機(jī)軟件，操作簡(jiǎn)單，功能強(qiáng)大，是目前主流的虛擬機(jī)軟件，也是個(gè)人桌面虛擬化的首要選擇[5]。VMWare可以非常方便地構(gòu)建不同操作系統(tǒng)的虛擬機(jī)，例如在宿主機(jī)上可以建立Windows、Linux、Mac等虛擬機(jī)。因此VMWware虛擬機(jī)可以很好地滿足網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)的需求。在VMWare中，可以同時(shí)運(yùn)行多個(gè)虛擬機(jī)，不同的虛擬機(jī)系統(tǒng)之間可以很方便通過(guò)窗口切換；同時(shí)還提供快照功能以保存虛擬機(jī)當(dāng)前的工作狀態(tài)，并能快速?gòu)目煺諣顟B(tài)恢復(fù)回工作狀態(tài)，這為迅速進(jìn)入和退出虛擬機(jī)提供極大的方便?？寺」δ苡煽梢钥焖俚刂谱饕寻惭b和完成配置的虛擬機(jī)副本、節(jié)省存儲(chǔ)空間。此外，VMWare還可以在宿主機(jī)和各個(gè)虛擬機(jī)之間建立異構(gòu)的局域網(wǎng)，從而方便網(wǎng)絡(luò)應(yīng)用的開(kāi)發(fā)和測(cè)試。這些使得VMWare成為構(gòu)建虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境的理想選擇[6]。

2 虛擬實(shí)驗(yàn)環(huán)境的構(gòu)建過(guò)程

2.1 建立虛擬機(jī)

本文采用VMWare Workstation 8.0 搭建網(wǎng)絡(luò)安全實(shí)驗(yàn)的虛擬環(huán)境。VMWare Workstation 8.0體積較小，技術(shù)成熟，對(duì)系統(tǒng)的硬件配置要求不高，支持目前市場(chǎng)上多種流行操作系統(tǒng)的虛擬機(jī)構(gòu)建。在計(jì)算機(jī)實(shí)驗(yàn)室的主機(jī)上先安裝VMWare軟件，然后建立用于網(wǎng)絡(luò)安全實(shí)驗(yàn)所需要的虛擬機(jī)，同時(shí)在虛擬機(jī)中安裝相應(yīng)的網(wǎng)絡(luò)安全實(shí)驗(yàn)所需軟件。為方便學(xué)生在進(jìn)入實(shí)驗(yàn)至后能迅速地進(jìn)行實(shí)驗(yàn)，將安裝好的虛擬機(jī)文件存放于服務(wù)器中，其中可包含Windows操作系統(tǒng)的虛擬機(jī)和Linux操作系統(tǒng)的虛擬機(jī)，學(xué)生只需要將所需要虛擬機(jī)文件從服務(wù)器下載至本機(jī)中，然后再作一些網(wǎng)絡(luò)IP設(shè)置就可以進(jìn)行實(shí)驗(yàn)。

2.2 虛擬機(jī)網(wǎng)絡(luò)配置

VMWare創(chuàng)建的虛擬機(jī)需要配置網(wǎng)絡(luò)，才能與其他虛擬機(jī)或宿主機(jī)組建網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn)。運(yùn)行VMWare的電腦主機(jī)稱(chēng)為宿主機(jī)。VMWare為虛擬機(jī)提供三種網(wǎng)絡(luò)工作模式：橋接模式（Bridged）、網(wǎng)絡(luò)地址轉(zhuǎn)換模式（NAT）、主機(jī)模式（Host-only）。進(jìn)行網(wǎng)絡(luò)配置后，虛擬機(jī)可以訪問(wèn)網(wǎng)絡(luò)中其他計(jì)算機(jī)的資源。

在橋接模式下，虛擬機(jī)是與宿主機(jī)一樣相互獨(dú)立，如同連接同一交換機(jī)的兩臺(tái)主機(jī)。橋接模式是VMWare創(chuàng)建虛擬機(jī)的默認(rèn)方式，也是最簡(jiǎn)單的方式。

在NAT模式中，宿主機(jī)與虛擬機(jī)通過(guò)VMnet8虛擬網(wǎng)卡進(jìn)行連接，雙方在同一網(wǎng)段進(jìn)行通信。虛擬機(jī)系統(tǒng)中的IP配置由VMnet8虛擬網(wǎng)中的DHCP服務(wù)器完成配置，不需要人工參與。但要注意的是，此模式下模擬機(jī)不能與其他宿主機(jī)相互訪問(wèn)。

對(duì)于Host-only模式，宿主機(jī)和虛擬機(jī)系統(tǒng)之間是通過(guò)虛擬交換機(jī)VMnet1進(jìn)行的，虛擬機(jī)只能訪問(wèn)其他宿主機(jī)的虛擬機(jī)，而不能與其他宿主機(jī)進(jìn)行通信。

綜上所述，橋接模式是最適合于建立網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)網(wǎng)的，因?yàn)樗拗鳈C(jī)與虛擬機(jī)處于同一網(wǎng)段，便于組建局域網(wǎng)進(jìn)行網(wǎng)絡(luò)攻防等實(shí)驗(yàn)。

3 虛擬網(wǎng)絡(luò)安全實(shí)驗(yàn)設(shè)計(jì)

3.1實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)

網(wǎng)絡(luò)安全教學(xué)的目的在于使學(xué)生能全面掌握計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)，培養(yǎng)學(xué)生熟悉地操作計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)防御的能力，以及運(yùn)用相關(guān)技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全配置和防護(hù)的能力。而采用虛擬機(jī)系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn)，可以構(gòu)建虛擬的實(shí)驗(yàn)教學(xué)平臺(tái)以確保網(wǎng)絡(luò)安全各種實(shí)驗(yàn)的順利進(jìn)行?；谶@些考慮，我們?cè)O(shè)計(jì)的實(shí)驗(yàn)項(xiàng)目如下：

表1 網(wǎng)絡(luò)安全實(shí)驗(yàn)項(xiàng)目表

[序號(hào)＼&實(shí)驗(yàn)名稱(chēng)＼&1＼&ping和arp命令的使用＼&2＼&nslookup、tracert和netstat命令的使用＼&3＼&windump和流量分析＼&4＼&使用Sniffer工具嗅探＼&5＼&網(wǎng)絡(luò)端口掃描＼&6＼&綜合掃描及安全評(píng)估＼&7＼&帳號(hào)口令破解＼&8＼&木馬攻擊與防范＼&9＼&DoS/DDoS攻擊與防范＼&10＼&古典密碼算法＼&11＼&對(duì)稱(chēng)密碼算法DES＼&12＼&非對(duì)稱(chēng)密碼算法RSA＼&13＼&緩沖區(qū)溢出攻擊與防范＼&14＼&防火墻＼&15＼&入侵檢測(cè)系統(tǒng)＼&16＼&病毒防范＼&]

為方便讀者理解在虛擬網(wǎng)如何進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn)，下面給出一個(gè)有代表性的案例。

3.2 案例：DoS/DDoS攻擊與防范

DoS/DDoS攻擊上網(wǎng)絡(luò)上的常見(jiàn)攻擊技術(shù)，它利用TCP/IP協(xié)議的缺陷，運(yùn)用欺騙策略對(duì)網(wǎng)絡(luò)發(fā)起攻擊，導(dǎo)致目標(biāo)主機(jī)資源被全部耗盡而無(wú)法處理正常用戶的請(qǐng)求，對(duì)外表現(xiàn)為拒絕服務(wù)。本案例在模擬機(jī)中采用黑客工具TFN2K[7]對(duì)一臺(tái)主機(jī)發(fā)起攻擊，虛擬機(jī)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。其中攻擊者端、兩個(gè)主控端均安裝Redhat Linux 9.0，三者IP分別為172.25.31.101、172.25.31.201、172.25.31.202；而被攻擊者端安裝Windows XP，設(shè)置IP為172.25.31.1。實(shí)驗(yàn)步驟如下：

1）在攻擊者端執(zhí)行make命令對(duì)行情T(mén)FN2K進(jìn)行編譯，輸入控制密碼并記牢，如果編譯通過(guò)，同時(shí)生成tfn和td。

2）將td上傳至兩臺(tái)主控端虛擬機(jī)中，并在兩臺(tái)主控端中分別執(zhí)行td，在后臺(tái)運(yùn)行，等待接收來(lái)自攻擊者命令。

3）在攻擊者端建立文本文件host.txt，內(nèi)容為兩臺(tái)主控端虛擬機(jī)的IP。

4）在攻擊者端的終端中輸入以下命令

tfn -f host.txt -c -5 -i 172.25.31.1

這樣攻擊者端就向兩臺(tái)主控端發(fā)出命令，要求它們對(duì)目標(biāo)主機(jī)發(fā)起SYN flood攻擊。

5）在目標(biāo)主機(jī)上打開(kāi)任務(wù)管理器，觀察CPU的使用情況。

4 結(jié)束語(yǔ)

運(yùn)用VMware建立網(wǎng)絡(luò)安全虛擬實(shí)驗(yàn)網(wǎng)絡(luò)，在現(xiàn)有計(jì)算機(jī)實(shí)驗(yàn)室就能夠建立網(wǎng)絡(luò)安全實(shí)驗(yàn)環(huán)境，既升級(jí)了實(shí)驗(yàn)環(huán)境，又節(jié)省了資金投入。所建立的虛擬實(shí)驗(yàn)絡(luò)與真實(shí)的網(wǎng)絡(luò)相比較，無(wú)論窗口界面，還是操作步驟、命令響應(yīng)都是一樣的，不僅可以多次無(wú)損地重復(fù)進(jìn)行，之前由于設(shè)備數(shù)量所限而無(wú)法實(shí)現(xiàn)的內(nèi)容，現(xiàn)在也可以很容易地實(shí)現(xiàn)。在虛擬網(wǎng)絡(luò)中學(xué)生能按自己的想法大膽嘗試，無(wú)需擔(dān)心實(shí)驗(yàn)環(huán)境被破壞，能調(diào)動(dòng)學(xué)生的學(xué)習(xí)積極性和提高學(xué)生的創(chuàng)造能力。另外，在虛擬網(wǎng)絡(luò)中進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)，在提高實(shí)驗(yàn)教學(xué)效果的同時(shí)又促進(jìn)理論教學(xué)， 保證了網(wǎng)絡(luò)安全教學(xué)內(nèi)容的廣度和深度，有效地提高學(xué)生的學(xué)習(xí)興趣和課程的教學(xué)質(zhì)量。我校的計(jì)算機(jī)專(zhuān)業(yè)采用此方案進(jìn)行網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)，取得了良好的教學(xué)效果。

參考文獻(xiàn)：

[1] 石志國(guó).計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M]2版.北京：清華大學(xué)出版社，2012.

[2] 李劍.信息安全概論[M].北京：機(jī)械工業(yè)出版社，2009.

[3] 黃曉華.軟件還原與虛擬機(jī)技術(shù)在計(jì)算機(jī)實(shí)驗(yàn)教學(xué)中的應(yīng)用[J].軟件導(dǎo)刊，2014，13（10）：194-196.

[4] 李玉峰，王睿.在虛擬機(jī)下搭建網(wǎng)絡(luò)安全課程教學(xué)平臺(tái)[J].內(nèi)蒙古農(nóng)業(yè)大學(xué)學(xué)報(bào)，2010，31（3）：277-281.

[5] Ferrari M. Release： VMware Workstation 9[J]. Red， 2015.

[6] 賈美娟，介龍梅，程曉旭.虛擬機(jī)技術(shù)在計(jì)算機(jī)安全技術(shù)實(shí)驗(yàn)教學(xué)中的應(yīng)用[J].計(jì)算機(jī)教育，2012，12：82-85 .

[7] Wang Y， Jiang H， Liu Z， et al. A CRF-Based Method for DDoS Attack Detection[C]//Proceedings of the 4th International Conference on Computer Engineering and Networks. Springer International Publishing， 2015： 81-87.