◆修揚 張月紅

網(wǎng)絡協(xié)議漏洞分析測試平臺在實驗教學中的應用

◆修揚 張月紅

（上海電子信息職業(yè)技術(shù)學院 上海 201411）

網(wǎng)絡是搭起信息系統(tǒng)的橋梁，網(wǎng)絡的安全性是整個信息系統(tǒng)安全的主要環(huán)節(jié)，只有網(wǎng)絡系統(tǒng)安全可靠，才能保證信息系統(tǒng)的安全可靠。網(wǎng)絡系統(tǒng)也是非法入侵者主要攻擊的目標，協(xié)議的開放性是開放分布或互聯(lián)網(wǎng)絡存在的不安全因素的主要體現(xiàn)。信息安全專業(yè)的學生在平時的學習過程中往往更多的依賴現(xiàn)成的攻防工具，但是卻不清楚工具運行所依賴的網(wǎng)絡協(xié)議，學生在學習攻防知識的時候僅僅是停留在使用工具的層面，但是卻沒有更深入地理解“工具為什么要這要用”、“參數(shù)為什么要這樣設置”，因此開發(fā)網(wǎng)絡協(xié)議漏洞分析平臺具有現(xiàn)實的教學意義，能夠幫助學生更深入地理解協(xié)議運行原理以及協(xié)議攻防技術(shù)。

協(xié)議開放性；網(wǎng)絡協(xié)議；協(xié)議漏洞分析

1 教學活動中發(fā)現(xiàn)信息安全專業(yè)的學生學習的問題

網(wǎng)絡協(xié)議是計算機之間為了互聯(lián)共同遵守的規(guī)則，目前的互聯(lián)網(wǎng)絡所采用的主流協(xié)議TCP/IP，由于在其設計初期人們過分強調(diào)其開發(fā)性和便利性，沒有仔細考慮其安全性，因此很多的網(wǎng)絡協(xié)議都存在嚴重的安全漏洞，給Internet留下了許多安全隱患。另外，有些網(wǎng)絡協(xié)議缺陷造成的安全漏洞還會被黑客直接用來攻擊受害者系統(tǒng)。目前大部分的攻防工具都是以命令行或者圖形化界面的形式呈現(xiàn)，并沒有將工具所依賴的協(xié)議原理性東西呈現(xiàn)出來，學生在學習TCP/IP協(xié)議模型的時候，往往聽不懂；通過攻防平臺學習攻防知識時，學生大多是依賴現(xiàn)成攻防工具，只知道要把相應的命令記一下就可以了，只需要記住命令參數(shù)的配置就行了，但是并不知道該命令執(zhí)行成功的原因、以及這些工具能夠?qū)崿F(xiàn)攻擊的原理，不清楚工具所依賴的網(wǎng)絡協(xié)議原理，僅僅是停留在用的層面，而不知道“為什么要這樣用”。

2 基于網(wǎng)絡協(xié)議漏洞分析測試平臺設計

2.1 平臺總體框架

圖1 協(xié)議分析平臺總體框架

平臺的主要思想就是基于規(guī)則庫的條件下，對網(wǎng)絡協(xié)議數(shù)據(jù)進行分析，分析相關(guān)協(xié)議漏洞，并對協(xié)議漏洞進行復現(xiàn)，最終生成協(xié)議分析報告。

2.2 平臺使用的主要技術(shù)

2.2.1協(xié)議嗅探技術(shù)

現(xiàn)成的嗅探器有很多，它們在功能以及設計上也有不同，一般情況下，大多數(shù)的嗅探器都能分析TCP/IP協(xié)議，在網(wǎng)絡嗅探的工具中，pcap是目前公認的較好用的嗅探器，pcap（packet capture）由捕獲網(wǎng)絡流量的應用程序編程接口（API）組成[1]。類Unix的系統(tǒng)主要是在libpcap庫中實現(xiàn)pcap，而Windows系統(tǒng)則是使用名為WinPcap的libpcap端口。libpcap和WinPcap提供了許多開源和商業(yè)網(wǎng)絡工具的數(shù)據(jù)包捕獲和過濾引擎，包括協(xié)議分析器（數(shù)據(jù)包嗅探器）、網(wǎng)絡監(jiān)視器、網(wǎng)絡入侵檢測系統(tǒng)、流量生成器和網(wǎng)絡測試器。libpcap和WinPcap還支持將捕獲的數(shù)據(jù)包保存到文件中，并讀取包含保存的數(shù)據(jù)包的文件；使用libpcap或WinPcap可以編寫應用程序，就能夠很好的捕獲網(wǎng)絡流量并對其進行分析，或使用相同的分析代碼讀取保存的捕獲數(shù)據(jù)并進行分析。通過研究pcap協(xié)議嗅探器的網(wǎng)絡接入方式，嗅探實現(xiàn)原理以及嗅探器使用方法，將嗅探器以交換機端口鏡像的方式接入網(wǎng)絡，以供流量數(shù)據(jù)包捕獲、統(tǒng)計和協(xié)議分析。研究相關(guān)協(xié)議分析技術(shù)，將嗅探器獲得的流量包統(tǒng)計數(shù)據(jù)解碼為可閱讀的形式，通過對網(wǎng)絡協(xié)議的深入了解，根據(jù)學習需求設置數(shù)據(jù)包的字段、如MAC地址、IP地址、端口信息等，以實現(xiàn)網(wǎng)絡攻擊仿真。

2.2.2基于Fuzzing測試的協(xié)議漏洞挖掘

漏洞挖掘技術(shù)過程可以分為白盒測試、灰盒測試和黑盒測試[2]，白盒測試是在獲得源代碼碼的基礎(chǔ)上實施的，但是一般情況下，源代碼很難獲取得到，因此白盒測試只適用于開源軟件的源代碼測試；在不能對源代碼進行漏洞挖掘的情況下，只能采用對目標代碼進行分析的灰盒測試技術(shù)，灰盒測試技術(shù)是采用逆向工程將目標代碼的二進制轉(zhuǎn)成匯編代碼，通過反匯編的方式進行漏洞測試。M. Sutton等人提出了模糊測試技術(shù)，該技術(shù)是一種黑盒測試方法，該技術(shù)又稱為Fuzzing測試技術(shù)[3]，該技術(shù)是一種發(fā)現(xiàn)安全漏洞的有效的測試方法，模糊測試將隨機的壞數(shù)據(jù)插入程序，觀察程序是否能容忍雜亂輸入，模糊測試是不合邏輯的，只是產(chǎn)生雜亂數(shù)據(jù)攻擊程序，采用模糊測試攻擊應用程序可發(fā)現(xiàn)其他采用邏輯思維來測試很難發(fā)現(xiàn)的安全漏洞。

Fuzzing測試技術(shù)不需要源代碼的參與，并且可以自動完成目標識別、該技術(shù)包括識別測試目標、識別輸入、生成模糊測試數(shù)據(jù)、執(zhí)行模糊測試數(shù)據(jù)、監(jiān)視異常、確定可利用性等流程。其中識別測試目標意思是識別目標程序中所使用的協(xié)議；識別用戶輸入包括數(shù)據(jù)包、端口等發(fā)送到目標程序的數(shù)據(jù)；等到確定輸入數(shù)據(jù)后，根據(jù)目標應用程序所需的數(shù)據(jù)格式生成fuzzing測試數(shù)據(jù)，fuzzing測試數(shù)據(jù)生成將直接影響測試結(jié)果；在執(zhí)行fuzzing大量的測試用例之后，并不是任何一個測試用例都會導致目標應用程序崩潰，因此要監(jiān)視程序的異常反應；一旦某個測試用例使得目標應用程序發(fā)生異常，該技術(shù)將通過異常日志或者模糊數(shù)據(jù)判斷目標程序崩潰時暴露漏洞的可利用性。

2.3 平臺主要模塊設計

2.3.1協(xié)議數(shù)據(jù)包捕獲模塊

數(shù)據(jù)包的捕獲和解析是實現(xiàn)后續(xù)協(xié)議分析的基礎(chǔ)，數(shù)據(jù)包將包括自身平臺獲取的數(shù)據(jù)包報文以及第三方平臺接入的數(shù)據(jù)包報文，該模塊可以直接將報文數(shù)據(jù)發(fā)送給后續(xù)的協(xié)議分析模塊進行分析，也可以將報文數(shù)據(jù)存儲為PCAP格式數(shù)據(jù)等待后續(xù)分析。

2.3.2協(xié)議規(guī)則庫更新模塊

協(xié)議分析需要協(xié)議漏洞知識庫的支持，但是基于規(guī)則匹配的漏洞識別技術(shù)只能識別已有的漏洞，而不能識別新型的漏洞，因此需要及時更新已有的漏洞知識庫。本平臺的規(guī)則庫包含現(xiàn)有的協(xié)議規(guī)則庫、第三方流量經(jīng)過漏洞掃描工具得到檢測結(jié)果生成規(guī)則庫，未知漏洞經(jīng)過人工分析生成的規(guī)則庫以及Fuzzing模糊測試后生成的規(guī)則庫。

2.3.3協(xié)議數(shù)據(jù)分析模塊

協(xié)議報文分析模塊是影響整個工程效率最關(guān)鍵的部分，其主要功能是分析報文捕獲模塊中捕獲的報文數(shù)據(jù)，該模塊中最重要的部分就是要清楚“對協(xié)議中的哪些字段”進行分析，分析結(jié)果將會利用相應的格式進行描述。

3 平臺在實驗教學中的應用[4]

對于信息安全專業(yè)的學生來說，僅僅依靠工具是萬萬不行的，網(wǎng)絡安全中由于協(xié)議的開放性，TCP/IP協(xié)議不提供安全保證，網(wǎng)絡協(xié)議的開放性方便了網(wǎng)絡互連，同時也為非法入侵者提供了方便，非法入侵者可以冒充合法用戶進行破壞，篡改信息，竊取報文內(nèi)容。對協(xié)議知識的學習，要求學生在分析TCP/IP協(xié)議的基礎(chǔ)上，要充分理解不同層的協(xié)議通信原理，以及對協(xié)議通信的參數(shù)進行配置修改，該平臺能夠?qū)φ麄€協(xié)議攻擊過程進行記錄，方便學生對整個攻擊過程的了解和回溯，在充分掌握攻擊原理后，才能對協(xié)議攻擊采取相應的措施。

[1]張春泳. 基于WinPcap的網(wǎng)絡嗅探器的設計與實現(xiàn)[D]. 吉林大學.

[2]王希忠，黃俊強. 漏洞挖掘技術(shù)研究[J].網(wǎng)絡空間安全， 2014（06）：32-35.

[3]黃影，鄒頎偉，范科峰. 基于Fuzzing測試的工控網(wǎng)絡協(xié)議漏洞挖掘技術(shù)[J]. 通信學報，2018，039（0z2）：181-188.

[4]丁嵐.高等院校圖書館計算機網(wǎng)絡安全與防范——TCP/IP網(wǎng)絡協(xié)議漏洞分析及解決途徑[J].黑龍江科技信息，2016（16）：161-162.