林玉梅 吳宗波

(泉州信息工程學院 福建泉州 362000)

自中國在2015年出臺《網(wǎng)絡(luò)安全法》之后，在應(yīng)對網(wǎng)絡(luò)安全方面有極大的推進一步。但是當前的攻防平臺不僅需要良好的設(shè)備，而且在日漸復(fù)雜的環(huán)境下，網(wǎng)絡(luò)安全中的實驗室建設(shè)沒有取得良好的效果，難以充分保障網(wǎng)絡(luò)安全性?；谠朴嬎慵夹g(shù)，文章分析和闡述了網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)安全攻防實驗平臺的構(gòu)建、實際應(yīng)用及相關(guān)測試情況，以期進一步提升網(wǎng)絡(luò)安全。

1云計算技術(shù)含義以及特點

目前，云計算作為一個擁有良好管理型以及高度擴展性技術(shù)，可以針對用戶終端中的運用軟件而構(gòu)建良好的系統(tǒng)，然而對其含義概述并沒有統(tǒng)一，而結(jié)合當前的運營情況，可以有效掌握云計算本質(zhì)，集中概括如下：存儲特性、分布式計算、用戶友好性、高擴展性以及良好管理性[1]。在實際運用方面，云計算技術(shù)還存在如下的特點：①云計算系統(tǒng)可針對用戶不同的機制而實施透明化處理，用戶就不用掌握云計算實際運用情況，就可以獲得對應(yīng)的服務(wù)需要。②通過冗余方式而有效為云計算提供良好的可靠性，因為云計算系統(tǒng)中不需要專門的硬件支持，所以在軟件處理方面就可以結(jié)合數(shù)據(jù)冗余以及分布式存儲的方式而有效為數(shù)據(jù)提供較高的可靠性。③高可用性。此系統(tǒng)可以將集成海量的數(shù)據(jù)信息存儲在一起，這就可以提升計算機的高性能性，從而有效提升云計算服務(wù)的滿意度，但是云計算系統(tǒng)中存在的自動檢測發(fā)生失效的情況，則可以自動排除，也不會對云計算系統(tǒng)帶來影響。④高層次的編程模型中能夠通過用戶簡單學習進而掌握計算程序[2]，進而可以通過“云”系統(tǒng)而完成相關(guān)的執(zhí)行。⑤經(jīng)濟性。在組建完成之后，如果運用在商業(yè)中就可以減少小型機所耗費資金，達到節(jié)約投入成本的目的。

2攻防實驗平臺分析設(shè)計及實現(xiàn)

2.1實驗平臺框架的設(shè)計

在實際減少實驗平臺方面，為了能夠有效降低成本以及提升部署能力，同時還能夠保障計算機網(wǎng)絡(luò)不會對網(wǎng)絡(luò)安全帶來影響。因此，在構(gòu)建平臺方面就可以參照VMqrevSphere的云平臺而構(gòu)架一個良好的框架，在實際計算過程中可以通過虛擬化的技術(shù)以及云計算相結(jié)合的方式而提升云計算技術(shù)服務(wù)網(wǎng)絡(luò)的效果，同時也可以有效構(gòu)建對應(yīng)網(wǎng)絡(luò)的攻防實驗平臺，具體可參照圖1。在構(gòu)建完成之后，此虛擬的攻防實驗平臺主要構(gòu)成3個不同的部分，分別是計算節(jié)點、控制節(jié)點以及存儲節(jié)點。

圖1 構(gòu)建平臺的框架

2.1.1分析計算節(jié)點 在此平臺建設(shè)過程中，其基礎(chǔ)的控件主要通過支持 技術(shù)，然后結(jié)合物理機的組成情況而有效為虛擬性的攻防實驗提供計算和服務(wù)。

2.1.2分析控制節(jié)點 這部分屬于平臺核心，主要負責的是收集計算信息以及各個節(jié)點所具有的計算資源，然后通過計算節(jié)點中的資源情況而實施調(diào)度；同時還可以加強地此網(wǎng)絡(luò)段實施管理，這就可以有效控制平臺中的虛擬機生命周期。此外，存儲攻防的實驗中，其主機的模板鏡就可以對數(shù)據(jù)文件實施快照或者是備份處理，通過此虛擬攻防的功能就是完成對整個平臺的啟動、終止以及重啟[3]。

2.1.3分析存儲節(jié)點 構(gòu)建平臺過程中還需要為數(shù)據(jù)提供對應(yīng)的存儲服務(wù)，使得用戶可以通過虛擬的攻防實驗而完成對數(shù)據(jù)處理，其中部分節(jié)點可以選為實際的運用，這就使得平臺能夠通過計算節(jié)點而做好對應(yīng)的存儲服務(wù)工作。

2.2攻防實驗平分的主機搭建情況

由于各個計算節(jié)點之間有需要的主機類型，第一種是攻擊型的主機，其主要的作用是針對網(wǎng)絡(luò)中的攻防實驗實施進攻；第二種是防火墻型的主機，其主要通過防火墻而配置對應(yīng)的實驗主機；第三種是目標主機，即通過被攻擊目標中的主機實施控制；第四種是入侵檢測的主機，采用的是Snort而提供攻擊者的入侵檢測作用，防止受到不良攻擊；第五種是編譯系統(tǒng)所支持下的主機，主要通過Python、C/C++以及Java而完成編譯以及執(zhí)行環(huán)境，從而可以得到二進制的攻擊程序。在完成安裝工作之后，此時的攻防主機群就可以在vSphere Client的左側(cè)列表呈現(xiàn)出來，詳見圖2。

圖2攻防主機群

3分析平臺應(yīng)用情況和測試情況

3.1分析DDos中實施攻擊的實驗情況

DDos中的攻擊主要采用的是多臺計算機進行聯(lián)合攻擊，從而可以實現(xiàn)一對一或者是一對多的方式對目標發(fā)動對應(yīng)的攻擊，這就可以有效降低被攻擊者系統(tǒng)資源的消耗，或是對網(wǎng)絡(luò)帶寬的控制情況，進而可以防止網(wǎng)絡(luò)系統(tǒng)難以承擔負擔，進而導(dǎo)致其出現(xiàn)癱瘓的情況。此外，參照DDos的攻擊特性可以對多臺的DDos實施測試，然后通過此平臺能夠完成創(chuàng)建對應(yīng)的虛擬系統(tǒng)，主機在接收信息請求之后就可以防止其出現(xiàn)癱瘓的情況。

3.2分析端口實施掃描測試的情況

通過虛擬攻防的方式就可以對實驗平臺中的主機啟動對應(yīng)的打開終端，同時還需要運行對應(yīng)的端口進行掃描，即Nmap工具；同時也能夠減少虛擬攻防中的實驗靶機對端口進行掃描中出現(xiàn)漏洞的情況。

3.3分析網(wǎng)絡(luò)信息中的嗅探情況

在當前的環(huán)境下采用的是網(wǎng)絡(luò)嗅探方式，主要運用的工具是TSPDUMP，由此掌握大量的網(wǎng)絡(luò)信息，同時也可以加強對網(wǎng)絡(luò)管理。除此之外，在實際運用過程中還可以查看對應(yīng)的流量情況以及功能，這就可以有效解決當前網(wǎng)絡(luò)在傳輸方面所出現(xiàn)的質(zhì)量問題。在完成嗅探測試之后，可以更好地掌握網(wǎng)絡(luò)安全以及具體的工作原理，同時采用嗅探網(wǎng)絡(luò)信息就可以完成對應(yīng)的安裝以及運用。

3.4加強對遠程控制中的攻擊測試

在構(gòu)建對應(yīng)的攻防平臺中，主要采用的是兩臺虛擬性的實驗主機進行測試，其中一臺將其作為對應(yīng)的攻擊機，而另一臺則作為靶機。第一，在實施攻擊方面，可以在運行方面加強對遠程軟件的控制，并能夠防止其生成對應(yīng)的木馬程序，同時還可以將此程序上傳至對應(yīng)的目標上；第二，如果目標靶機中需要執(zhí)行木馬程序，此時攻擊機中的遠程控制就可以對攻擊軟件進行信息系統(tǒng)的處理；第三，針對攻擊機中出現(xiàn)靶機的情況，則能夠及時掌握其中存在的文件信息，并且可以完成對應(yīng)文件的上傳下載等，同時還可以加強對相關(guān)文件的管理以及監(jiān)視。

3.5對惡意代碼進行測試

在執(zhí)行遠程命令過程中需要防止其出現(xiàn)漏洞的情況，此時，用戶就可以通過對應(yīng)的瀏覽器而完成相關(guān)命令的提交以及處理。由于服務(wù)器中并未對其中的執(zhí)行函數(shù)實施過濾，這就會導(dǎo)致指定的路徑發(fā)生變化，例如出現(xiàn)允許攻擊者的情況，此時就可以對執(zhí)行程序或者是＄PATH而出現(xiàn)的惡意代碼進行監(jiān)測，有效防止其受到惡意攻擊。

3.6分析入侵檢測以及實驗

在實驗過程中，IDS具體的原理以及工作方式就需要結(jié)合熟悉的路徑進行檢測，尤其是處理入侵工具中，如AIDE通過Linux的操作系統(tǒng)就可以完成對應(yīng)的配置以及安裝工作。在AIDE中就可以通過Centos的系統(tǒng)而完成對應(yīng)監(jiān)測工作，主要是保障相關(guān)文檔的完整性。此外，AIDE還可以針對指定的文檔數(shù)據(jù)庫進行監(jiān)視，尤其是處理經(jīng)常發(fā)生變動中的文檔，例如郵件以及日志文檔等，能夠讓用戶及時掌握對應(yīng)的目錄信息。

3.7分析防火墻配置情況

在防火墻實際的配置方面，iptables中的系統(tǒng)操作情況采用的是Linux所提供的防護墻系統(tǒng)，此系統(tǒng)在實驗操作方面就需要提升防護的功能，在配置方面，主要通過防火墻中的SYNF而防止其受到攻擊，此防止攻擊的系統(tǒng)在實踐運用方面也非常廣泛。在iptables中所需要配置的防火墻十分復(fù)雜，需要執(zhí)行眾多命令，用戶實際掌握具有一定的難度，此時在設(shè)計方面就需要配置對應(yīng)的Web頁面，即可提升用戶掌握實際操作的能力。

4結(jié)束語

當前，攻防平臺不僅需要良好的設(shè)備，而且在日漸復(fù)雜的環(huán)境下難以充分保障網(wǎng)絡(luò)安全性。將云計算技術(shù)運用在網(wǎng)絡(luò)攻防平臺中，可以有效掌握數(shù)據(jù)管理以及實驗數(shù)據(jù)情況，二者實施隔離而使得實驗數(shù)據(jù)可以通過云平臺而有效傳輸，這就可以充分保障信息安全。此外，實驗數(shù)據(jù)也難以對外部的網(wǎng)絡(luò)環(huán)境帶來任何影響，即采用虛擬化的技術(shù)可以構(gòu)建良好的結(jié)構(gòu)，進而能夠生成構(gòu)不同的操作系統(tǒng)、應(yīng)用環(huán)境以及硬件需求(如內(nèi)存、網(wǎng)卡數(shù)以及CPU)虛擬的環(huán)境，在虛擬交換機中就可以完成自動匹配，這就可以為讓研究者在真實環(huán)境中進行實驗，進而找到良好的方式提升網(wǎng)絡(luò)安全性。