浙江工業(yè)職業(yè)技術(shù)學(xué)院 楊 瓊
網(wǎng)絡(luò)攻防是網(wǎng)絡(luò)信息安全方向的重要課程,主要以網(wǎng)絡(luò)攻擊步驟為線索向?qū)W生介紹黑客攻擊各階段常用的攻擊方法和原理,以及對(duì)相應(yīng)網(wǎng)絡(luò)攻擊的防護(hù)策略和手段[1]。網(wǎng)絡(luò)攻防課程實(shí)踐性強(qiáng),具體的攻防方法往往是針對(duì)現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)服務(wù),對(duì)網(wǎng)絡(luò)極具破壞性,倘若在真實(shí)網(wǎng)絡(luò)環(huán)境中進(jìn)行實(shí)驗(yàn),勢(shì)必產(chǎn)生不可逆的災(zāi)難性后果。另外,網(wǎng)絡(luò)攻防實(shí)驗(yàn)涉及網(wǎng)絡(luò)搭建、環(huán)境配置、攻擊目標(biāo)定制、數(shù)據(jù)處理、防護(hù)及綜合滲透測(cè)試等過程,物理實(shí)驗(yàn)環(huán)境的搭建及其維護(hù)成本很高。因此,此類課程非常有必要借助虛擬仿真技術(shù)搭建虛擬實(shí)驗(yàn)環(huán)境進(jìn)行實(shí)驗(yàn),構(gòu)建基于虛擬技術(shù)的驗(yàn)平臺(tái)具有十分重要的現(xiàn)實(shí)意義。能有效克服大規(guī)模網(wǎng)絡(luò)環(huán)境缺乏,與現(xiàn)實(shí)網(wǎng)絡(luò)隔離,達(dá)到實(shí)驗(yàn)對(duì)現(xiàn)有網(wǎng)絡(luò)環(huán)境破壞的隔離,可恢復(fù)和可控的效果。
虛擬現(xiàn)實(shí)技術(shù)能夠?yàn)閷W(xué)生和教師提供逼真、生動(dòng)的環(huán)境,又具有較強(qiáng)的可參與性,從而使學(xué)生和教師都能進(jìn)入虛擬環(huán)境進(jìn)行角色扮演,成為與傳統(tǒng)教育環(huán)境完全不同的教學(xué)模式,突破傳統(tǒng)教學(xué)的缺陷,重視學(xué)生的技能的培養(yǎng),可以充分調(diào)動(dòng)學(xué)生學(xué)習(xí)積極性[2]。
采用虛擬現(xiàn)實(shí)技術(shù),一方面,會(huì)幫助減少人力、物力和其他教育資源的需求。另一方面,為學(xué)生提供更加貼近現(xiàn)實(shí)的動(dòng)手操作機(jī)會(huì),提升學(xué)生的實(shí)踐能力,加快技術(shù)熟練程度。[3]這樣,職業(yè)院校培養(yǎng)出來(lái)的學(xué)生能夠在盡可能短的時(shí)間內(nèi)適應(yīng)工作崗位。從教學(xué)效果上來(lái)看,虛擬現(xiàn)實(shí)技術(shù)有助于營(yíng)造非常貼近現(xiàn)實(shí)的教學(xué)整體環(huán)境,學(xué)生受到環(huán)境的刺激,調(diào)動(dòng)學(xué)習(xí)積極性、激發(fā)探究的欲望,有利于其對(duì)于相關(guān)知識(shí)和技術(shù)的進(jìn)一步深入的鉆研和學(xué)習(xí)。尤其是虛擬現(xiàn)實(shí)技術(shù)的高仿真和強(qiáng)交互性,會(huì)推動(dòng)學(xué)生主動(dòng)學(xué)習(xí)。
網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)要解決網(wǎng)絡(luò)攻防課程的課堂演示和實(shí)驗(yàn)環(huán)境搭建問題,其總體結(jié)構(gòu)如圖1所示。該實(shí)驗(yàn)平臺(tái)設(shè)計(jì)的總體目標(biāo)是:(1)要能夠再現(xiàn)攻擊技術(shù)手段,可以實(shí)現(xiàn)攻防方法的演示。做到為每個(gè)用戶(學(xué)生)提供單獨(dú)且真實(shí)的網(wǎng)絡(luò)環(huán)境,即每個(gè)用戶的網(wǎng)絡(luò)、試驗(yàn)資源是完全獨(dú)享;(2)網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)要實(shí)現(xiàn)與現(xiàn)實(shí)網(wǎng)絡(luò)的物理隔絕,實(shí)現(xiàn)教學(xué)和實(shí)驗(yàn)操作中攻擊行為的隔離和可控,以防止對(duì)現(xiàn)實(shí)網(wǎng)絡(luò)和服務(wù)造成干擾和破壞;(3) 支持對(duì)抗性的攻防演練。對(duì)抗安全實(shí)驗(yàn)項(xiàng)目包含:主機(jī)安全、應(yīng)用安全、Web 安全、數(shù)據(jù)安全、數(shù)據(jù)恢復(fù)、木馬病毒、漏洞利用、網(wǎng)絡(luò)攻防等不同場(chǎng)景;涵蓋Linux、Windows等各種主流操作系統(tǒng)平臺(tái)。
圖1 平臺(tái)總體功能結(jié)構(gòu)圖
網(wǎng)絡(luò)攻擊實(shí)驗(yàn)的目的是讓學(xué)生通過攻擊模型的建立以及攻擊的實(shí)施,全面了解網(wǎng)絡(luò)攻擊模型的架構(gòu),理解并掌握具有代表性的網(wǎng)絡(luò)攻擊方法,及其產(chǎn)生的原因和背后的攻擊原理。根據(jù)網(wǎng)絡(luò)攻擊類型的不同,平臺(tái)設(shè)計(jì)包含4 類網(wǎng)絡(luò)攻擊實(shí)驗(yàn),如圖2所示:
(1)信息收集型攻擊,其中涉及的網(wǎng)絡(luò)攻擊方法包括:地址、端口的掃描、反向映射、體系結(jié)構(gòu)探測(cè),F(xiàn)inger服務(wù)、LDAP服務(wù)、DNS轉(zhuǎn)換等;
(2)利用型攻擊,其中涉及到的網(wǎng)絡(luò)攻擊方法包括:口令破解、特洛伊木馬、緩沖區(qū)溢出攻擊等等;
(3)拒絕服務(wù)攻擊(DOS),其中涉及的網(wǎng)絡(luò)攻擊方法包括:ping of death、teardrop、UDP-Flood、SYN-Flood、Land、Surmf、電子郵件炸彈和畸形消息等;
(4)虛假消息攻擊,其中涉及的網(wǎng)絡(luò)攻擊方法包括:DNS 高速緩存污染、偽造電子郵件等。
圖2 網(wǎng)絡(luò)攻擊實(shí)驗(yàn)功能模塊圖
網(wǎng)絡(luò)防御實(shí)驗(yàn)的目的是:通過實(shí)驗(yàn)過程中網(wǎng)絡(luò)防護(hù)相關(guān)的管理和配置操作,讓學(xué)生掌握各種典型的網(wǎng)絡(luò)防御工具的使用方法和操作技巧,并且理解他們背后的實(shí)現(xiàn)原理,以期達(dá)到能夠舉一反三的效果。另外,通過網(wǎng)絡(luò)防御實(shí)驗(yàn)過程中,系統(tǒng)表現(xiàn)出的各種現(xiàn)象和狀態(tài),讓學(xué)生直觀地觀察和感受到各種網(wǎng)絡(luò)異?,F(xiàn)象,有助于學(xué)生在日后的工作中具備根據(jù)網(wǎng)絡(luò)異?,F(xiàn)象分析和判斷當(dāng)前網(wǎng)絡(luò)狀況的能力。根據(jù)網(wǎng)絡(luò)防御所涉及技術(shù)的不同,該模塊所包含的主要功能如圖3所示,主要包括:漏洞掃描,病毒木馬掃描查殺,防火墻配置,系統(tǒng)進(jìn)程、網(wǎng)絡(luò)流量、端口監(jiān)測(cè),以及系統(tǒng)日志分析。
圖3 網(wǎng)絡(luò)防御實(shí)驗(yàn)功能模塊圖
本文采用虛擬技術(shù)設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái),以虛擬技術(shù)與網(wǎng)絡(luò)安全物理設(shè)備相結(jié)合的方式,為用戶提供更加貼合實(shí)際場(chǎng)景的網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境。網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)的實(shí)驗(yàn)環(huán)境與現(xiàn)有網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)物理隔離,能夠支持復(fù)雜網(wǎng)絡(luò)的快速搭建,以及具有破壞性和不可逆性的網(wǎng)絡(luò)攻防實(shí)驗(yàn),并能夠同時(shí)模擬足夠多的相同實(shí)驗(yàn)環(huán)境。其構(gòu)建具有以下現(xiàn)實(shí)意義:首先,有助于節(jié)省實(shí)驗(yàn)設(shè)備空間;其次,可實(shí)現(xiàn)實(shí)驗(yàn)資料的開放和共享,節(jié)省資源;最后,幫助降低教師以及實(shí)驗(yàn)管理員的勞動(dòng)強(qiáng)度。該平臺(tái)在網(wǎng)絡(luò)攻防課程的實(shí)踐教學(xué)中已初見成效。
[1]尹中旭等.網(wǎng)絡(luò)攻防演練平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)教育,2011(02):108-112.
[2]李建榮與孔素真.虛擬現(xiàn)實(shí)技術(shù)在教育中的應(yīng)用研究[J].實(shí)驗(yàn)室科學(xué),2014(03):98-100+103.
[3]史建燾,李秀坤與張兆心.基于CloudStack的網(wǎng)絡(luò)攻防虛擬實(shí)驗(yàn)云平臺(tái)[J].實(shí)驗(yàn)室研究與探索,2017(05):75-78+147.