俞海

摘 要： 計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)面臨許多困難，如：課時(shí)少，教學(xué)任務(wù)重；網(wǎng)絡(luò)安全實(shí)踐的對(duì)抗性極強(qiáng)，多數(shù)實(shí)驗(yàn)破壞性大；網(wǎng)絡(luò)安全的虛擬仿真主要針對(duì)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)設(shè)備，而對(duì)網(wǎng)絡(luò)攻擊和防御過(guò)程的場(chǎng)景仿真及分析存在很大的局限性。文章利用虛擬機(jī)軟件VMware對(duì)網(wǎng)絡(luò)安全的場(chǎng)景進(jìn)行仿真，并通過(guò)Wireshark軟件對(duì)網(wǎng)絡(luò)安全場(chǎng)景的仿真做進(jìn)一步分析，從而達(dá)到提高計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)效率的目的。文章以一個(gè)攻擊過(guò)程為例，說(shuō)明網(wǎng)絡(luò)安全場(chǎng)景仿真及分析在教學(xué)中的應(yīng)用。

關(guān)鍵詞： VMware； Wireshark； 場(chǎng)景仿真； 網(wǎng)絡(luò)安全教學(xué)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）10-57-04

Application of scene simulation and analysis in network security teaching

Yu Hai

（Department of Computer Science and Technology， Shaoxing College of Arts and Sciences， Shaoxing， Zhejiang 312000， China）

Abstract： The computer network security teaching is faced with many difficulties， such as limited class hour， heavy teaching task； the antagonism of network security practice is extremely strong， most experiments are destructive； virtual simulation of network security is mainly for network protocol and network equipment， and the scene simulation and analysis of network attack and defense process have a great limitation. In this paper， the computer network security scene is simulated by VMware and the scene simulation is further analyzed by Wireshark， so as to improve the teaching efficiency of the computer network security. An example of network attack is given to explain the application of scene simulation and analysis in network security teaching.

Key words： VMware； Wireshark； scene simulation； network security teaching

0 引言

由于計(jì)算機(jī)網(wǎng)絡(luò)安全課程內(nèi)容更新快、課程知識(shí)涉及面廣、理論與實(shí)踐結(jié)合緊密，許多文獻(xiàn)提出了教學(xué)改革方法，在教學(xué)理念上提出了基于CDIOD的教學(xué)法[1]；在教學(xué)方法上提出了項(xiàng)目驅(qū)動(dòng)或任務(wù)驅(qū)動(dòng)教學(xué)法、案例教學(xué)法、類比教學(xué)法、“角色互換”教學(xué)法[2]。

盡管如此，計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)仍然需要面對(duì)一些現(xiàn)實(shí)困難。①課時(shí)少，教學(xué)任務(wù)重。一般每學(xué)期只安排32節(jié)理論課時(shí)加上16或32節(jié)實(shí)驗(yàn)課時(shí)。②網(wǎng)絡(luò)安全實(shí)踐的對(duì)抗性極強(qiáng)，多數(shù)實(shí)驗(yàn)破壞性大。③網(wǎng)絡(luò)安全的攻防實(shí)驗(yàn)環(huán)境要求復(fù)雜、實(shí)驗(yàn)步驟較多，通過(guò)虛擬機(jī)仿真的網(wǎng)絡(luò)安全實(shí)驗(yàn)過(guò)程，要在后續(xù)教學(xué)中再現(xiàn)就比較復(fù)雜，而且虛擬軟件（例如OPENT、NS-2）仿真主要針對(duì)網(wǎng)絡(luò)協(xié)議、通信情況，也有虛擬軟件（例如Packet Tracer5.3）主要通過(guò)模擬交換機(jī)、路由器、無(wú)線接入點(diǎn)和網(wǎng)卡等網(wǎng)絡(luò)設(shè)備來(lái)模擬網(wǎng)絡(luò)安全場(chǎng)景，但是對(duì)于網(wǎng)絡(luò)攻擊和防御過(guò)程的場(chǎng)景仿真及分析存在很大的局限性。

為了提高計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)的效率，利用虛擬機(jī)軟件VMware+Wireshark（網(wǎng)絡(luò)分析工具）可以實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全的攻擊和防御過(guò)程的場(chǎng)景仿真以及進(jìn)一步的分析。

1 場(chǎng)景仿真虛擬機(jī)VMware及網(wǎng)絡(luò)分析軟件Wireshark簡(jiǎn)介

1.1 虛擬機(jī)技術(shù)

虛擬機(jī)技術(shù)利用軟件在單臺(tái)物理機(jī)上模擬出多臺(tái)具有完整硬件系統(tǒng)功能的、相互獨(dú)立的邏輯計(jì)算機(jī)，其核心是虛擬機(jī)監(jiān)控程序（Virtual Machine Monitor，VMM）為上層邏輯計(jì)算機(jī)提供一套獨(dú)立于實(shí)際硬件的虛擬硬件，并仲裁它們對(duì)底層硬件的訪問(wèn)。虛擬機(jī)技術(shù)常采用兩種虛擬化架構(gòu)：寄居架構(gòu)和“裸金屬”架構(gòu)，以滿足不同用戶的需求。在寄居架構(gòu)中，VMM 運(yùn)行在宿主機(jī)操作系統(tǒng)之上，可將其視為宿主機(jī)操作系統(tǒng)的一個(gè)應(yīng)用，常應(yīng)用于多操作系統(tǒng)環(huán)境下的學(xué)習(xí)及測(cè)試，典型的產(chǎn)品有VMware Server及Workstation、Microsoft的Virtual PC等[3]。

1.2 虛擬機(jī)VMware的網(wǎng)絡(luò)配置

本文選用VMware虛擬機(jī)中的多臺(tái)邏輯計(jì)算機(jī)仿真網(wǎng)絡(luò)安全的攻擊計(jì)算機(jī)和防御計(jì)算機(jī)，并通過(guò)VMware提供的網(wǎng)絡(luò)連接仿真攻擊過(guò)程和防御過(guò)程。VMware主要提供了Bridge、Host On1y以及NAT三種網(wǎng)絡(luò)連接模式[3]：Bridge將虛擬機(jī)連接到宿主機(jī)所在的網(wǎng)絡(luò)上，可與其他計(jì)算機(jī)相互訪問(wèn)；Host Only將虛擬機(jī)與宿主機(jī)所在的網(wǎng)絡(luò)隔離開(kāi)，僅位于同一宿主機(jī)的虛擬機(jī)可相互通信；NAT使虛擬機(jī)可借助NAT功能來(lái)通過(guò)宿主機(jī)訪問(wèn)外部網(wǎng)絡(luò)。根據(jù)實(shí)際需要選擇合適的網(wǎng)絡(luò)連接模式。

1.3 網(wǎng)絡(luò)分析工具Wireshark

Wireshark是網(wǎng)絡(luò)數(shù)據(jù)包分析軟件，Wireshark[4-6]能夠在網(wǎng)卡接口處捕捉數(shù)據(jù)包、并實(shí)時(shí)顯示包的詳細(xì)協(xié)議信息；能夠打開(kāi)/保存捕捉的包、導(dǎo)入/導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式。

Wireshark工作界面被分成三部分[5]：上部分顯示捕獲的數(shù)據(jù)包列表，用來(lái)顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息；中間部分為協(xié)議信息，用來(lái)顯示選定的數(shù)據(jù)包中的協(xié)議信息；下部分是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容，用來(lái)顯示數(shù)據(jù)在物理層上傳輸時(shí)的最終形式。

在捕捉到的包中可以有選擇性的顯示不同條件的數(shù)據(jù)包；還可以顯示多種統(tǒng)計(jì)分析結(jié)果（比如TCP、UDP流、各個(gè)協(xié)議層統(tǒng)計(jì)信息等）。

利用VMware虛擬機(jī)中的多臺(tái)計(jì)算機(jī)仿真網(wǎng)絡(luò)安全的攻擊和防御過(guò)程，同時(shí)利用Wireshark捕獲這些攻擊和防御過(guò)程的數(shù)據(jù)包，并以.pacp格式導(dǎo)出到文件中。網(wǎng)絡(luò)分析工具Wireshark可以根據(jù)不同需要對(duì)這些數(shù)據(jù)包進(jìn)行分析并得到相應(yīng)的分析結(jié)果。

2 場(chǎng)景仿真及分析在計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)中的應(yīng)用

下面以客戶端上傳文件到FTP服務(wù)器時(shí)，F(xiàn)TP服務(wù)器受到攻擊的場(chǎng)景為例，說(shuō)明計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)中的場(chǎng)景仿真及其分析過(guò)程。具體步驟如下。

在VMware中分別啟動(dòng)服務(wù)器操作系統(tǒng)Windows Server 2003計(jì)算機(jī)A和客戶端Windows XP計(jì)算機(jī)，將計(jì)算機(jī)A配置成FTP服務(wù)器，IP地址為169.1.1.1。將計(jì)算機(jī)A設(shè)定為被攻擊對(duì)象（靶機(jī)），計(jì)算機(jī)B設(shè)定為攻擊機(jī)。

配置計(jì)算機(jī)B的IP地址為169.1.1.3，通過(guò)FTP協(xié)議可以正常上傳文件到FTP服務(wù)器A，如圖1所示。

考慮到課程的教學(xué)效果，將網(wǎng)絡(luò)分析軟件Wireshark和攻擊軟件都安裝在客戶端計(jì)算機(jī)B上。先啟動(dòng)計(jì)算機(jī)B上的Wireshark軟件，設(shè)置Wireshark捕獲服務(wù)器A的數(shù)據(jù)包，捕獲條件為“host 169.1.1.1”，如圖2所示，并使Wireshark開(kāi)始處于監(jiān)聽(tīng)狀態(tài)。

⑷ 在計(jì)算機(jī)B上安裝攻擊軟件，選擇攻擊目標(biāo)為計(jì)算機(jī)A：169.1.1.1，選擇攻擊的強(qiáng)度，當(dāng)計(jì)算機(jī)B再次上傳文件時(shí)，開(kāi)始對(duì)服務(wù)器A實(shí)施攻擊，如圖3所示。

計(jì)算機(jī)B上的Wireshark軟件同時(shí)捕獲了上傳文件的過(guò)程數(shù)據(jù)包和攻擊FTP服務(wù)器A的過(guò)程數(shù)據(jù)包，如圖4所示。

在教學(xué)中可以根據(jù)需要對(duì)捕獲的數(shù)據(jù)包進(jìn)行多種分析，這里選取其中的“FTP-DATA”數(shù)據(jù)流對(duì)FTP文件數(shù)據(jù)傳輸過(guò)程進(jìn)行分析。點(diǎn)擊一個(gè)“FTP-DATA”數(shù)據(jù)包，依次選擇菜單項(xiàng)“statistics”→“TCP stream Graph”→“Time-Sequence Graph（Stevens）”，生成單位時(shí)間傳輸數(shù)據(jù)字節(jié)數(shù)的圖形。通過(guò)比對(duì)攻擊前后所捕獲的數(shù)據(jù)包文件所生成的每秒傳輸數(shù)據(jù)字節(jié)數(shù)的兩個(gè)圖形，可以發(fā)現(xiàn)：使用FTP協(xié)議上傳同樣大小的文件所花費(fèi)的時(shí)間、上傳文件的連續(xù)性、上傳文件過(guò)程的平滑度都出現(xiàn)較大差別，分別如圖5（a）、圖5（b）所示。

3 結(jié)束語(yǔ)

本文通過(guò)實(shí)例說(shuō)明了網(wǎng)絡(luò)安全攻擊和防御過(guò)程的場(chǎng)景仿真及分析方法，該方法便于教師充分利用教學(xué)時(shí)間和教學(xué)資源開(kāi)展計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)活動(dòng)，同時(shí)能夠幫助學(xué)生盡快掌握網(wǎng)絡(luò)安全的知識(shí)，提升學(xué)生對(duì)于網(wǎng)絡(luò)安全的分析能力，從而提高計(jì)算機(jī)網(wǎng)絡(luò)安全課程教學(xué)效率，增強(qiáng)教學(xué)效果。

（a） 正常FTP文件上傳過(guò)程

（b） 受到攻擊時(shí)FTP文件上傳過(guò)程

圖5 數(shù)據(jù)包文件生成的每秒傳輸數(shù)據(jù)字節(jié)數(shù)比對(duì)

參考文獻(xiàn)（References）：

[1] 齊鳴鳴，陳建軍.基于CDIO的網(wǎng)絡(luò)安全課程協(xié)作性教學(xué)研究[J].

計(jì)算機(jī)時(shí)代，2015：87-89

[2] 馬莉，黃營(yíng)，霍穎瑜.計(jì)算機(jī)網(wǎng)絡(luò)安全課程的教學(xué)模式探究與

實(shí)踐[J].教育界：高等教育研究（下），2015：187-188

[3] 何凱，劉偉.基于虛擬機(jī)的網(wǎng)絡(luò)管理與維護(hù)實(shí)驗(yàn)教學(xué)探索[J].

實(shí)驗(yàn)技術(shù)與管理，2016：201-204

[4] 羅青林，徐克付，臧文羽，劉金剛.Wireshark環(huán)境下的網(wǎng)絡(luò)協(xié)

議解析與驗(yàn)證方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011：770-773

[5] 肖媛娥，康永平，賀衛(wèi)東，譚云蘭.網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)

實(shí)驗(yàn)中的實(shí)現(xiàn).煤炭技術(shù)，2011：195-196

[6] （以色列）Yoram Orzah.Wireshark網(wǎng)絡(luò)分析實(shí)戰(zhàn)[M].人民郵

電出版社，2015.