姚罡 譚慶浩

【摘 要】信息安全學(xué)習(xí)者學(xué)習(xí)網(wǎng)絡(luò)攻防技術(shù)在學(xué)習(xí)過(guò)程中往往進(jìn)入一個(gè)誤區(qū)，依賴于現(xiàn)成網(wǎng)絡(luò)攻防工具，而大部分工具的使用并不需要進(jìn)行相應(yīng)參數(shù)設(shè)置，是“傻瓜式”應(yīng)用，并不清楚這些工具的工作原理，不理解涉及的網(wǎng)絡(luò)協(xié)議，僅僅停留在“用”的層次。那么開(kāi)發(fā)一個(gè)網(wǎng)絡(luò)協(xié)議安全分析平臺(tái)，剖析TCP/IP協(xié)議漏洞利用及攻擊檢測(cè)方法，將有助于提高學(xué)習(xí)者的學(xué)習(xí)效率和分析能力，有效化解學(xué)習(xí)者在學(xué)習(xí)網(wǎng)絡(luò)安全協(xié)議過(guò)程中所面臨的概念抽象、分析困難等障礙。

【關(guān)鍵詞】協(xié)議安全；實(shí)驗(yàn)教學(xué)

中圖分類號(hào)： TP393.04；G642.423 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2018）24-0094-002

DOI：10.19694/j.cnki.issn2095-2457.2018.24.045

【Abstract】Information security learners learn network attack and defense technology often enters a misunderstanding in the learning process， just relying on network attack and defense tools， and most tools do not need to set the corresponding parameters， it is a “fool” application. It is not easy for the learners to understand the network protocols involved， just stay at the “use” level. Then develop a network protocol security analysis platform， analyze TCP/IP protocol exploit and attack detection methods， which will help improve learners learning efficiency and analysis ability， and effectively discuss the concepts that learners face in learning network security protocols.

【Key words】Protocol Security； Experimental Teaching

0 引言

通過(guò)對(duì)國(guó)內(nèi)主流網(wǎng)絡(luò)安全教學(xué)平臺(tái)進(jìn)行分析，TCP/IP協(xié)議的安全分析只是一個(gè)功能模塊，并沒(méi)有從分層的角度去逐層分析，而且大部分運(yùn)用網(wǎng)絡(luò)仿真工具，模擬主機(jī)、路由器等設(shè)備，即以可視化的方法分析數(shù)據(jù)包流動(dòng)，動(dòng)畫顯示網(wǎng)絡(luò)攻防過(guò)程，學(xué)習(xí)者只能看，無(wú)法進(jìn)行驗(yàn)證。網(wǎng)絡(luò)安全涉及的空間巨大且系統(tǒng)復(fù)雜，網(wǎng)絡(luò)安全研究需要在攻擊和破壞情況下進(jìn)行，運(yùn)用實(shí)況仿真技術(shù)進(jìn)行研究非常必要，即利用真實(shí)主機(jī)、路由器、交換機(jī)等設(shè)備組成獨(dú)立網(wǎng)絡(luò)，進(jìn)行攻擊和檢測(cè)、防范的實(shí)時(shí)實(shí)況仿真。

1 TCP/IP協(xié)議安全分析平臺(tái)設(shè)計(jì)思路

研究TCP/IP協(xié)議工作原理、攻擊與防范技術(shù)，實(shí)現(xiàn)集成網(wǎng)絡(luò)協(xié)議分析、常見(jiàn)協(xié)議攻擊、防范功能模塊的實(shí)況仿真平臺(tái)，通過(guò)以下技術(shù)實(shí)現(xiàn)。

1.1 數(shù)據(jù)包捕獲、解析、構(gòu)造技術(shù)

研究基于WinPcap的網(wǎng)絡(luò)分析技術(shù)的實(shí)現(xiàn)原理及使用方法。其中包括WinPcap內(nèi)核驅(qū)動(dòng)，編譯與使用，數(shù)據(jù)包的捕獲、發(fā)送、內(nèi)核過(guò)濾與接收，以及網(wǎng)絡(luò)流量的統(tǒng)計(jì)與網(wǎng)絡(luò)狀態(tài)的分析等重要內(nèi)容。對(duì)TCP/IP協(xié)議了解深入，構(gòu)造符合要求的數(shù)據(jù)包，能構(gòu)造ARP報(bào)文、DHCP報(bào)文、TCP報(bào)文（根據(jù)學(xué)習(xí)者的需求設(shè)置數(shù)據(jù)包字段，如MAC地址、IP地址、標(biāo)志位等），實(shí)現(xiàn)網(wǎng)絡(luò)攻擊仿真。

1.2 網(wǎng)絡(luò)協(xié)議攻擊與防范技術(shù)

實(shí)現(xiàn)網(wǎng)絡(luò)掃描及其檢測(cè)技術(shù)，實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)協(xié)議的攻擊，以ARP欺騙為例，ARP欺騙攻擊輕則掉線斷網(wǎng)，重則攻擊者能實(shí)現(xiàn)監(jiān)聽(tīng)，暴力的獲取別人發(fā)送的數(shù)據(jù)包。網(wǎng)絡(luò)中網(wǎng)關(guān)的物理地址和IP地址是唯一對(duì)應(yīng)的，通過(guò)在啟動(dòng)時(shí)會(huì)獲得一次真實(shí)的網(wǎng)管信息，然后保存，并加入檢測(cè)規(guī)則集合中，當(dāng)發(fā)現(xiàn)這一對(duì)應(yīng)關(guān)系被篡改，就會(huì)被檢測(cè)出來(lái)。

1.3 入侵檢測(cè)系統(tǒng)技術(shù)

采集內(nèi)網(wǎng)用戶間的數(shù)據(jù)包，利用數(shù)據(jù)庫(kù)存儲(chǔ)并整理采集到的數(shù)據(jù)，對(duì)數(shù)據(jù)庫(kù)中所整理數(shù)據(jù)進(jìn)行特定條件的檢查，看這些數(shù)據(jù)是否滿足預(yù)置的入侵特征，以提示入侵行為。

1.4 簡(jiǎn)單蜜罐技術(shù)

主要針對(duì)利用ARP、TCP掃描。當(dāng)發(fā)現(xiàn)有主機(jī)掃描網(wǎng)絡(luò)時(shí)，平臺(tái)將回復(fù)虛假應(yīng)答給該主機(jī)，記錄該主機(jī)并迷惑該主機(jī)，加大攻擊者的攻擊難度，化被動(dòng)為主動(dòng)。

2 TCP/IP協(xié)議安全分析平臺(tái)主要功能模塊

通過(guò)分析常見(jiàn)TCP/IP協(xié)議安全漏洞，研究ARP欺騙、DNS、DHCP服務(wù)器常見(jiàn)攻擊的工作原理，實(shí)現(xiàn)基于WinPcap和Qt的TCP/IP協(xié)議安全分析平臺(tái)。

2.1 數(shù)據(jù)報(bào)文捕獲與解析模塊

數(shù)據(jù)報(bào)文捕獲與解析是整個(gè)平臺(tái)的基礎(chǔ)，流動(dòng)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文將會(huì)以列表和圖表的形式顯示，并且用戶在捕獲前可以設(shè)置過(guò)濾條件，只捕獲自己想要的數(shù)據(jù)報(bào)文。用戶還可以查看某一數(shù)據(jù)報(bào)文的詳細(xì)字段信息，分析所處的網(wǎng)絡(luò)環(huán)境的情況，顯示當(dāng)前網(wǎng)卡的MAC地址、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)和網(wǎng)速，更好地協(xié)助用戶分析網(wǎng)絡(luò)環(huán)境的狀況。

2.2 數(shù)據(jù)報(bào)文構(gòu)造與傳輸模塊

通過(guò)數(shù)據(jù)報(bào)文構(gòu)造與傳輸模塊，用戶可以進(jìn)行數(shù)據(jù)報(bào)文的半自動(dòng)化的構(gòu)造并發(fā)送到用戶定義的地址，實(shí)現(xiàn)ARP欺騙、PING、UDP數(shù)據(jù)傳輸和TCP SYN掃描等常見(jiàn)的網(wǎng)絡(luò)攻擊和掃描探測(cè)。此外，為了讓用戶了解整個(gè)局域網(wǎng)的網(wǎng)絡(luò)狀況，將會(huì)進(jìn)行局域網(wǎng)主機(jī)探測(cè)和端口掃描，給用戶提供數(shù)據(jù)包的發(fā)送對(duì)象和方便用戶填寫數(shù)據(jù)報(bào)文相關(guān)參數(shù)。

2.3 DNS服務(wù)器仿真模塊

DNS服務(wù)器主要功能就是將發(fā)送到服務(wù)器上的DNS請(qǐng)求進(jìn)行解析，服務(wù)器將會(huì)把請(qǐng)求的內(nèi)容（如：域名）在用戶自己配置的HOST文件中查找對(duì)應(yīng)的記錄。如果找到，則將結(jié)果返回給請(qǐng)求者，如果沒(méi)有，則不進(jìn)行回應(yīng)。

2.4 DHCP攻擊仿真模塊

該模塊主要完成一個(gè)假冒的DHCP服務(wù)器和客戶端，用戶需要知道局域網(wǎng)有哪些可用的地址，然后簡(jiǎn)單配置DHCP客戶端，該客戶端啟動(dòng)后會(huì)對(duì)局域網(wǎng)已存在的DHCP服務(wù)器進(jìn)行泛洪攻擊，讓其他DHCP服務(wù)器IP地址資源耗盡，這樣新加入局域網(wǎng)的主機(jī)就只能獲取假冒DHCP服務(wù)器提供的假冒IP地址和相關(guān)網(wǎng)絡(luò)信息，從而控制被攻擊者的網(wǎng)絡(luò)。

3 平臺(tái)在實(shí)驗(yàn)教學(xué)中的應(yīng)用

本平臺(tái)能讓用戶在可控范圍內(nèi)使用真實(shí)的網(wǎng)絡(luò)環(huán)境，獲取真實(shí)的網(wǎng)絡(luò)數(shù)據(jù)，開(kāi)展真實(shí)的網(wǎng)絡(luò)攻擊與掃描探測(cè)，部署基本功能完備DNS服務(wù)器和DHCP服務(wù)器。用戶在使用本平臺(tái)學(xué)習(xí)的時(shí)候，能更加直觀真實(shí)的觀察網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)和數(shù)據(jù)報(bào)文詳細(xì)信息，更直觀的面對(duì)各種網(wǎng)絡(luò)攻擊，學(xué)習(xí)網(wǎng)絡(luò)攻擊的特征。

本項(xiàng)目利用實(shí)況仿真，用真實(shí)主機(jī)、路由器、交換機(jī)等設(shè)備組成獨(dú)立網(wǎng)絡(luò)（完全功能的實(shí)際應(yīng)用網(wǎng)絡(luò)），集成了網(wǎng)絡(luò)協(xié)議分析、常見(jiàn)協(xié)議攻擊、防范三個(gè)功能模塊，配置針對(duì)TCP/IP協(xié)議安全分析的應(yīng)用場(chǎng)景，提供半自動(dòng)網(wǎng)絡(luò)攻防工具，即要求學(xué)習(xí)者在分析TCP/IP協(xié)議基礎(chǔ)上，針對(duì)不同層的協(xié)議的漏洞，進(jìn)行參數(shù)配置后發(fā)送相應(yīng)的數(shù)據(jù)包，達(dá)到漏洞利用的目的，平臺(tái)能夠?qū)φ麄€(gè)攻擊過(guò)程進(jìn)行記錄，便于學(xué)習(xí)者回溯，分析攻擊原理，并在此基礎(chǔ)上啟動(dòng)、配置平臺(tái)相應(yīng)的防范模塊，達(dá)到攻防兩方面的學(xué)習(xí)。

4 結(jié)語(yǔ)

TCP/IP協(xié)議是Internet的網(wǎng)絡(luò)基礎(chǔ)，而其核心不可能在短期內(nèi)進(jìn)行重新設(shè)計(jì)和部署實(shí)施，無(wú)法從根本上改變目前網(wǎng)絡(luò)面臨嚴(yán)重安全威脅的狀況。只有通過(guò)研究、學(xué)習(xí)常見(jiàn)攻擊的原理，才能給出相應(yīng)防范策略，通過(guò)部署一些監(jiān)測(cè)、預(yù)防與安全加固措施，增強(qiáng)網(wǎng)絡(luò)對(duì)已知攻擊的抵御能力。

【參考文獻(xiàn)】

[1]呂雪峰等.網(wǎng)絡(luò)分析技術(shù)揭秘[M].北京：機(jī)械工業(yè)出版社，2012.

[2]LawrenceBerkeley.TCP/IP詳解卷1：協(xié)議[M].北京：人民郵電出版社，2016.

[3]LawrenceBerkeley.TCP/IP詳解卷2：實(shí)現(xiàn)[M].北京：人民郵電出版社，2016.

[4]霍亞飛.Qt Creator快速入門[M].北京：北京航空航天大學(xué)出版社，2014.