劉奇　劉洋　呂天昊　楊成

【摘要】以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入。伴隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，各種各樣的安全問(wèn)題也相繼出現(xiàn)，網(wǎng)絡(luò)信息資源的安全備受關(guān)注。保證網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面就顯得非常重要。

【關(guān)鍵詞】網(wǎng)絡(luò)安全;攻防技術(shù)

目前，因?yàn)榫W(wǎng)絡(luò)的開(kāi)放性、黑客的攻擊和系統(tǒng)本身的缺陷導(dǎo)致網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)并不安全，網(wǎng)絡(luò)入侵也經(jīng)常發(fā)生，往往造成嚴(yán)重的后果，為了盡早恢復(fù)網(wǎng)絡(luò)或系統(tǒng)的正常運(yùn)轉(zhuǎn)，降低入侵的風(fēng)險(xiǎn)成為了急待解決的問(wèn)題。由于攻防實(shí)驗(yàn)技術(shù)以入侵技術(shù)為前提，因此防御實(shí)驗(yàn)存在著時(shí)間滯后性。使得攻防成為一堆對(duì)立且統(tǒng)一的矛盾體，攻防實(shí)驗(yàn)也成螺旋狀態(tài)不斷地發(fā)展變化。

近年來(lái)，“奪旗賽”作為攻防技術(shù)能力的檢驗(yàn)手段，已逐漸成為安全從業(yè)人員進(jìn)行技術(shù)實(shí)踐的主要平臺(tái)，開(kāi)始應(yīng)用于網(wǎng)絡(luò)安全教育的實(shí)踐環(huán)節(jié)中。Capture The Flag（簡(jiǎn)稱(chēng)CTF），翻譯為“奪旗比賽”，起源于1996年舉辦的DEF CON全球黑客大會(huì)，最早是交流安全技術(shù)的重要途徑，發(fā)展至今已有21年的歷史，是目前全球最高技術(shù)水平和影響力的CTF競(jìng)賽，類(lèi)似于CTF賽場(chǎng)中的“世界杯”。

隨著安全攻防技術(shù)的發(fā)展，CTF比賽也逐漸演變成為信息安全技術(shù)競(jìng)賽的一種形式，發(fā)展成為全球網(wǎng)絡(luò)安全圈最流行的一種競(jìng)賽模式，其比賽形式與內(nèi)容擁有濃厚的黑客精神和黑客文化。

近年來(lái)，CTF比賽的數(shù)量與規(guī)模發(fā)展迅猛，國(guó)內(nèi)外各類(lèi)高質(zhì)量的CTF競(jìng)賽層出不窮，如國(guó)際著名的XCTF大賽、國(guó)內(nèi)各級(jí)網(wǎng)絡(luò)安全主管機(jī)構(gòu)主辦的各項(xiàng)網(wǎng)絡(luò)安全技能大賽等。CTF已經(jīng)成為了學(xué)習(xí)提升信息安全技術(shù)，展現(xiàn)安全能力和水平的絕佳平臺(tái)。

1 攻防技術(shù)基礎(chǔ)

1.1語(yǔ)言運(yùn)用

計(jì)算機(jī)語(yǔ)言可以大致分為機(jī)器語(yǔ)言，匯編語(yǔ)言，高級(jí)語(yǔ)言，計(jì)算機(jī)每進(jìn)行的一次動(dòng)作，一個(gè)步驟，都是按照計(jì)算機(jī)語(yǔ)言編好的程序來(lái)執(zhí)行。而在CTF比賽中，計(jì)算機(jī)語(yǔ)言的了解與掌握會(huì)有事半功倍的效果，進(jìn)程的動(dòng)態(tài)調(diào)試、防護(hù)腳本的編寫(xiě)、源代碼審計(jì)等工作都是建立在對(duì)計(jì)算機(jī)語(yǔ)言有所掌握的基礎(chǔ)上進(jìn)行的。

1.2Web安全

目前國(guó)內(nèi)大多數(shù)CTF比賽都以Web安全為主，但是Web安全涉及的內(nèi)容非常廣泛，就典型的Web服務(wù)來(lái)說(shuō)，其安全問(wèn)題可能來(lái)自于Web服務(wù)器、數(shù)據(jù)庫(kù)、Web程序本身與開(kāi)發(fā)語(yǔ)言等。了解一個(gè)Web應(yīng)用的組成架構(gòu)、裝載與配置、指令操作及組件缺陷，是參賽者知識(shí)儲(chǔ)備環(huán)節(jié)中不可或缺的部分。

1.3安全加固

安全領(lǐng)域的精髓在于攻防，在CTF比賽也是同樣的道理，比賽成績(jī)不僅取決于在有效的時(shí)間內(nèi)拿下多少flag，還取決于能抵御多少次外來(lái)攻擊。有一些比賽隊(duì)伍不注重或者不善于漏洞加固，即使得到很多分?jǐn)?shù)，但是優(yōu)勢(shì)還是會(huì)被慢慢的蠶食掉。所以，了解漏洞的產(chǎn)生原因、減小漏洞的影響范圍以及行之有效的安全加固也是一個(gè)成功隊(duì)伍的重要能力。

1.4密碼算法

參賽者需要了解主流的密碼算法，如對(duì)稱(chēng)密碼、公鑰密碼、流密碼、哈希密碼算法等。在不斷的攻防對(duì)抗中，一些關(guān)鍵信息或者突破口，往往會(huì)通過(guò)算法的加解密將它們“隱藏”起來(lái)增加解題難度。此外還會(huì)伴隨著弱口令嘗試，密碼字典的暴力猜解等。

1.5網(wǎng)絡(luò)取證

對(duì)于網(wǎng)絡(luò)攻擊行為的溯源分析、漏洞挖掘過(guò)程中的抓包分析往往是很多參賽隊(duì)伍在攻防對(duì)抗中忽略的問(wèn)題，能夠在最短的時(shí)間內(nèi)抓到線索并做出行之有效的響應(yīng)，這方面的能力也就成為了高手和頂尖高手之間的分水嶺，古人常說(shuō)的：“天下大事，必作于細(xì);天下難事，必成于易”。

2 攻防平臺(tái)設(shè)計(jì)思路

平臺(tái)集成包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備和應(yīng)用系統(tǒng)的全方位信息化設(shè)備。通過(guò)虛擬真實(shí)應(yīng)用環(huán)境，并且涵蓋網(wǎng)絡(luò)技術(shù)。在主操作系統(tǒng)上虛擬出不同的虛擬服務(wù)器，每個(gè)應(yīng)用層的實(shí)驗(yàn)程序運(yùn)行在獨(dú)立的軟件環(huán)境中，同時(shí)啟動(dòng)多項(xiàng)安全實(shí)驗(yàn)，發(fā)揮系統(tǒng)資源的使用率，提高設(shè)備的性價(jià)比，如圖1所示。

平臺(tái)提供了靶機(jī)虛擬化模板自定義功能，并提供主機(jī)系統(tǒng)、WEB應(yīng)用、用戶業(yè)務(wù)應(yīng)用系統(tǒng)級(jí)漏洞虛擬化模板。系統(tǒng)提供監(jiān)控平臺(tái)調(diào)度靶機(jī)模板，根據(jù)不同的實(shí)戰(zhàn)任務(wù)下發(fā)進(jìn)行自動(dòng)調(diào)度靶機(jī)虛擬化模板功能。

攻防平臺(tái)在功能上規(guī)劃主要分為管理員及操作員兩個(gè)環(huán)境，管理員端功能主要分為云環(huán)境管理、用戶管理、靶場(chǎng)管理、成績(jī)管理。操作員端端可分為三個(gè)層次，分別為攻防實(shí)訓(xùn)、靶場(chǎng)實(shí)戰(zhàn)、紅藍(lán)對(duì)抗，如圖2所示。

攻防平臺(tái)的價(jià)值主要體現(xiàn)在實(shí)訓(xùn)和競(jìng)技兩個(gè)方面。在實(shí)訓(xùn)方面，通過(guò)開(kāi)發(fā)教學(xué)視頻、文檔等學(xué)習(xí)資源，實(shí)現(xiàn)在線教育的功能。同時(shí)，通過(guò)搭建模擬環(huán)境，配合課程的實(shí)踐，鍛煉學(xué)員的實(shí)際操作能力。競(jìng)技平臺(tái)通過(guò)內(nèi)置攻關(guān)題目，搭建題目環(huán)境，學(xué)員可采用個(gè)人過(guò)關(guān)、分組對(duì)抗、網(wǎng)絡(luò)靶場(chǎng)的方式參與實(shí)戰(zhàn)，如圖3所示。

3 結(jié)論

本文闡述了攻防能力建設(shè)的技術(shù)呼出，探索了攻防平臺(tái)建設(shè)的思路，提出了平臺(tái)軟硬件環(huán)境的搭建和軟件功能框架。平臺(tái)的建設(shè)將對(duì)攻防團(tuán)隊(duì)和攻防技術(shù)儲(chǔ)備提供基礎(chǔ)支撐，為團(tuán)隊(duì)提升技術(shù)能力提供抓手。網(wǎng)絡(luò)安全技術(shù)發(fā)展日新月異，以CTF為代表的攻防競(jìng)賽也會(huì)隨著技術(shù)的革新而不斷發(fā)展，未來(lái)人工智能、大數(shù)據(jù)、擬態(tài)安全等新技術(shù)也將成為競(jìng)賽的技術(shù)能力核心，因此，平臺(tái)本身也應(yīng)具有高度迭代性，不斷完善方能適應(yīng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

參考文獻(xiàn)：

[1]李晶.基于Web2.0網(wǎng)站實(shí)現(xiàn)與設(shè)計(jì)研究——“東軟杯”高校網(wǎng)絡(luò)攻防大賽網(wǎng)站為例[J].科技廣場(chǎng)，2015（5）：46-49.

[2]楊延慶.網(wǎng)絡(luò)攻防平臺(tái)的分析與設(shè)計(jì)[J].西安電子科技大學(xué)，2005.