劉奇　劉洋　呂天昊　楊成

【摘要】以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入。伴隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，各種各樣的安全問題也相繼出現(xiàn)，網(wǎng)絡(luò)信息資源的安全備受關(guān)注。保證網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面就顯得非常重要。

【關(guān)鍵詞】網(wǎng)絡(luò)安全;攻防技術(shù)

目前，因?yàn)榫W(wǎng)絡(luò)的開放性、黑客的攻擊和系統(tǒng)本身的缺陷導(dǎo)致網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)并不安全，網(wǎng)絡(luò)入侵也經(jīng)常發(fā)生，往往造成嚴(yán)重的后果，為了盡早恢復(fù)網(wǎng)絡(luò)或系統(tǒng)的正常運(yùn)轉(zhuǎn)，降低入侵的風(fēng)險(xiǎn)成為了急待解決的問題。由于攻防實(shí)驗(yàn)技術(shù)以入侵技術(shù)為前提，因此防御實(shí)驗(yàn)存在著時(shí)間滯后性。使得攻防成為一堆對立且統(tǒng)一的矛盾體，攻防實(shí)驗(yàn)也成螺旋狀態(tài)不斷地發(fā)展變化。

近年來，“奪旗賽”作為攻防技術(shù)能力的檢驗(yàn)手段，已逐漸成為安全從業(yè)人員進(jìn)行技術(shù)實(shí)踐的主要平臺，開始應(yīng)用于網(wǎng)絡(luò)安全教育的實(shí)踐環(huán)節(jié)中。Capture The Flag（簡稱CTF），翻譯為“奪旗比賽”，起源于1996年舉辦的DEF CON全球黑客大會，最早是交流安全技術(shù)的重要途徑，發(fā)展至今已有21年的歷史，是目前全球最高技術(shù)水平和影響力的CTF競賽，類似于CTF賽場中的“世界杯”。

隨著安全攻防技術(shù)的發(fā)展，CTF比賽也逐漸演變成為信息安全技術(shù)競賽的一種形式，發(fā)展成為全球網(wǎng)絡(luò)安全圈最流行的一種競賽模式，其比賽形式與內(nèi)容擁有濃厚的黑客精神和黑客文化。

近年來，CTF比賽的數(shù)量與規(guī)模發(fā)展迅猛，國內(nèi)外各類高質(zhì)量的CTF競賽層出不窮，如國際著名的XCTF大賽、國內(nèi)各級網(wǎng)絡(luò)安全主管機(jī)構(gòu)主辦的各項(xiàng)網(wǎng)絡(luò)安全技能大賽等。CTF已經(jīng)成為了學(xué)習(xí)提升信息安全技術(shù)，展現(xiàn)安全能力和水平的絕佳平臺。

1 攻防技術(shù)基礎(chǔ)

1.1語言運(yùn)用

計(jì)算機(jī)語言可以大致分為機(jī)器語言，匯編語言，高級語言，計(jì)算機(jī)每進(jìn)行的一次動作，一個步驟，都是按照計(jì)算機(jī)語言編好的程序來執(zhí)行。而在CTF比賽中，計(jì)算機(jī)語言的了解與掌握會有事半功倍的效果，進(jìn)程的動態(tài)調(diào)試、防護(hù)腳本的編寫、源代碼審計(jì)等工作都是建立在對計(jì)算機(jī)語言有所掌握的基礎(chǔ)上進(jìn)行的。

1.2Web安全

目前國內(nèi)大多數(shù)CTF比賽都以Web安全為主，但是Web安全涉及的內(nèi)容非常廣泛，就典型的Web服務(wù)來說，其安全問題可能來自于Web服務(wù)器、數(shù)據(jù)庫、Web程序本身與開發(fā)語言等。了解一個Web應(yīng)用的組成架構(gòu)、裝載與配置、指令操作及組件缺陷，是參賽者知識儲備環(huán)節(jié)中不可或缺的部分。

1.3安全加固

安全領(lǐng)域的精髓在于攻防，在CTF比賽也是同樣的道理，比賽成績不僅取決于在有效的時(shí)間內(nèi)拿下多少flag，還取決于能抵御多少次外來攻擊。有一些比賽隊(duì)伍不注重或者不善于漏洞加固，即使得到很多分?jǐn)?shù)，但是優(yōu)勢還是會被慢慢的蠶食掉。所以，了解漏洞的產(chǎn)生原因、減小漏洞的影響范圍以及行之有效的安全加固也是一個成功隊(duì)伍的重要能力。

1.4密碼算法

參賽者需要了解主流的密碼算法，如對稱密碼、公鑰密碼、流密碼、哈希密碼算法等。在不斷的攻防對抗中，一些關(guān)鍵信息或者突破口，往往會通過算法的加解密將它們“隱藏”起來增加解題難度。此外還會伴隨著弱口令嘗試，密碼字典的暴力猜解等。

1.5網(wǎng)絡(luò)取證

對于網(wǎng)絡(luò)攻擊行為的溯源分析、漏洞挖掘過程中的抓包分析往往是很多參賽隊(duì)伍在攻防對抗中忽略的問題，能夠在最短的時(shí)間內(nèi)抓到線索并做出行之有效的響應(yīng)，這方面的能力也就成為了高手和頂尖高手之間的分水嶺，古人常說的：“天下大事，必作于細(xì);天下難事，必成于易”。

2 攻防平臺設(shè)計(jì)思路

平臺集成包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備和應(yīng)用系統(tǒng)的全方位信息化設(shè)備。通過虛擬真實(shí)應(yīng)用環(huán)境，并且涵蓋網(wǎng)絡(luò)技術(shù)。在主操作系統(tǒng)上虛擬出不同的虛擬服務(wù)器，每個應(yīng)用層的實(shí)驗(yàn)程序運(yùn)行在獨(dú)立的軟件環(huán)境中，同時(shí)啟動多項(xiàng)安全實(shí)驗(yàn)，發(fā)揮系統(tǒng)資源的使用率，提高設(shè)備的性價(jià)比，如圖1所示。

平臺提供了靶機(jī)虛擬化模板自定義功能，并提供主機(jī)系統(tǒng)、WEB應(yīng)用、用戶業(yè)務(wù)應(yīng)用系統(tǒng)級漏洞虛擬化模板。系統(tǒng)提供監(jiān)控平臺調(diào)度靶機(jī)模板，根據(jù)不同的實(shí)戰(zhàn)任務(wù)下發(fā)進(jìn)行自動調(diào)度靶機(jī)虛擬化模板功能。

攻防平臺在功能上規(guī)劃主要分為管理員及操作員兩個環(huán)境，管理員端功能主要分為云環(huán)境管理、用戶管理、靶場管理、成績管理。操作員端端可分為三個層次，分別為攻防實(shí)訓(xùn)、靶場實(shí)戰(zhàn)、紅藍(lán)對抗，如圖2所示。

攻防平臺的價(jià)值主要體現(xiàn)在實(shí)訓(xùn)和競技兩個方面。在實(shí)訓(xùn)方面，通過開發(fā)教學(xué)視頻、文檔等學(xué)習(xí)資源，實(shí)現(xiàn)在線教育的功能。同時(shí)，通過搭建模擬環(huán)境，配合課程的實(shí)踐，鍛煉學(xué)員的實(shí)際操作能力。競技平臺通過內(nèi)置攻關(guān)題目，搭建題目環(huán)境，學(xué)員可采用個人過關(guān)、分組對抗、網(wǎng)絡(luò)靶場的方式參與實(shí)戰(zhàn)，如圖3所示。

3 結(jié)論

本文闡述了攻防能力建設(shè)的技術(shù)呼出，探索了攻防平臺建設(shè)的思路，提出了平臺軟硬件環(huán)境的搭建和軟件功能框架。平臺的建設(shè)將對攻防團(tuán)隊(duì)和攻防技術(shù)儲備提供基礎(chǔ)支撐，為團(tuán)隊(duì)提升技術(shù)能力提供抓手。網(wǎng)絡(luò)安全技術(shù)發(fā)展日新月異，以CTF為代表的攻防競賽也會隨著技術(shù)的革新而不斷發(fā)展，未來人工智能、大數(shù)據(jù)、擬態(tài)安全等新技術(shù)也將成為競賽的技術(shù)能力核心，因此，平臺本身也應(yīng)具有高度迭代性，不斷完善方能適應(yīng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

參考文獻(xiàn)：

[1]李晶.基于Web2.0網(wǎng)站實(shí)現(xiàn)與設(shè)計(jì)研究——“東軟杯”高校網(wǎng)絡(luò)攻防大賽網(wǎng)站為例[J].科技廣場，2015（5）：46-49.

[2]楊延慶.網(wǎng)絡(luò)攻防平臺的分析與設(shè)計(jì)[J].西安電子科技大學(xué)，2005.