李軻 莊小葉

摘? 要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，，網(wǎng)絡(luò)應(yīng)用日趨廣泛，安全風(fēng)險(xiǎn)持續(xù)增大，對(duì)網(wǎng)絡(luò)安全教學(xué)提出了更高的要求。針對(duì)當(dāng)前網(wǎng)絡(luò)安全教學(xué)相對(duì)滯后，提出基于kail Linux的網(wǎng)絡(luò)安全教學(xué)應(yīng)用設(shè)想。

關(guān)鍵詞：網(wǎng)絡(luò)安全;kail Linux;教學(xué)實(shí)踐

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們工作生活中必不可少的要素。但網(wǎng)絡(luò)的在帶給人們各種方便的同時(shí)，也存在諸多安全隱患。網(wǎng)絡(luò)安全防護(hù)教學(xué)作為培養(yǎng)學(xué)生網(wǎng)絡(luò)技術(shù)的主要手段，如何培養(yǎng)學(xué)生掌握主流、前沿的網(wǎng)絡(luò)技術(shù)，了解網(wǎng)絡(luò)體系中的薄弱環(huán)節(jié)，解決技術(shù)快速更新帶來(lái)的各種安全隱患，是一個(gè)值得探究的課題。

一、當(dāng)前網(wǎng)絡(luò)安全教學(xué)中存在的主要問(wèn)題

一是網(wǎng)絡(luò)攻擊和防御類型多、知識(shí)面廣，網(wǎng)絡(luò)底層編程難度大。然而網(wǎng)絡(luò)安全問(wèn)題涉及多個(gè)領(lǐng)域，如操作系統(tǒng)安全、漏洞安全、Web安全、SQL注入安全、主機(jī)安全、協(xié)議安全等，課程實(shí)踐環(huán)節(jié)難度大、安排少。在實(shí)際教學(xué)環(huán)節(jié)中，學(xué)生需要選擇設(shè)計(jì)網(wǎng)絡(luò)拓?fù)洌瑒?dòng)手編寫(xiě)具體程序，除了要熟悉計(jì)算機(jī)網(wǎng)絡(luò)的基本協(xié)議原理、虛擬軟件外，還需掌握網(wǎng)絡(luò)編程基本知識(shí)，掌握協(xié)議實(shí)現(xiàn)及在網(wǎng)絡(luò)中的通信方式，底層網(wǎng)絡(luò)知識(shí)編程難度較大。

二是缺少實(shí)踐環(huán)節(jié)，知識(shí)原理抽象不易懂。安全防護(hù)是以熟悉攻擊、滲透為前提的。長(zhǎng)期以來(lái)，很多教學(xué)或側(cè)重于攻擊性的原理實(shí)現(xiàn)，或側(cè)重于網(wǎng)絡(luò)安全防護(hù)設(shè)備的使用，缺乏對(duì)網(wǎng)絡(luò)攻防、滲透等技術(shù)的實(shí)踐及解析。一方面，由于實(shí)驗(yàn)環(huán)境復(fù)雜、要求較高，課上多是教師演示，學(xué)生只能觀看，自己動(dòng)手的機(jī)會(huì)少，這極大削弱了實(shí)踐的效果，很難達(dá)到預(yù)期的教學(xué)目標(biāo)。另一方面，實(shí)驗(yàn)中不僅需要模擬掃描、滲透，還需要應(yīng)對(duì)病毒、木馬的攻擊，容易出現(xiàn)對(duì)學(xué)校網(wǎng)絡(luò)、系統(tǒng)的附帶損害，這也是許多高校不鼓勵(lì)開(kāi)展攻防實(shí)驗(yàn)的原因。

三是網(wǎng)絡(luò)滲透教學(xué)受設(shè)備、環(huán)境的限制較多。網(wǎng)絡(luò)安全與其他課程相比，開(kāi)設(shè)時(shí)間短，很多實(shí)驗(yàn)室建設(shè)還處于起步階段，設(shè)備在種類和數(shù)量上不足，實(shí)驗(yàn)條件相對(duì)落后，導(dǎo)致很多技術(shù)實(shí)踐不能正常進(jìn)行。學(xué)生在學(xué)完課程之后，動(dòng)手能力不強(qiáng)。此外，一些重要的技術(shù)手段受實(shí)際網(wǎng)絡(luò)環(huán)境、實(shí)驗(yàn)設(shè)備的限制，很難深入分析講解，加之這類概念通常比較抽象，學(xué)生并不能真正理解、掌握技術(shù)原理，這也降低了他們學(xué)習(xí)的積極性。

四是課程實(shí)驗(yàn)內(nèi)容零散，技術(shù)滯后，難以呈現(xiàn)真實(shí)的網(wǎng)絡(luò)環(huán)境。部分實(shí)驗(yàn)課程，內(nèi)容單一、零散，各實(shí)驗(yàn)之間相互獨(dú)立，缺乏關(guān)聯(lián)性、承接性和綜合性。比如信息收集實(shí)驗(yàn)，通常僅局限于掃描地址、路由、操作系統(tǒng)類型，稍微深入的可能會(huì)收集些應(yīng)用程序和端口信息。但后續(xù)的漏洞掃描、攻擊等實(shí)驗(yàn)往往自成體系，與前期實(shí)驗(yàn)結(jié)果關(guān)聯(lián)不大，各實(shí)驗(yàn)之間不能相互銜接，使得效果大打折扣。網(wǎng)絡(luò)安全技術(shù)更新速度快，但教學(xué)內(nèi)容卻相對(duì)固定，課程中大部分實(shí)例都是對(duì)早期漏洞的分析和利用，跟不上技術(shù)更新的步伐，無(wú)法呈現(xiàn)真實(shí)的網(wǎng)絡(luò)環(huán)境。學(xué)生即使能熟練掌握教材中的實(shí)例，也很難獨(dú)立在網(wǎng)上完成一次滲透。

二、Kali Linux 的組成及功能

Kali Linux是一款基于Debian的Linux操作系統(tǒng)，集成了各類網(wǎng)絡(luò)攻防常用相關(guān)工，主要設(shè)計(jì)用于網(wǎng)絡(luò)攻防和滲透測(cè)試。例如包括Nmap 端口掃描器、Wireshark 數(shù)據(jù)包分析器、the Ripper 密碼破解器、Ettercap內(nèi)網(wǎng)滲透測(cè)試軟件，以及功能強(qiáng)大的Metasploit工具等。

1.信息收集：作為滲透、攻擊的第一步，一般通過(guò)掃描、嗅探獲取DNS信息、端口信息、協(xié)議信息等。常用工具有域名掃描Dmitry、端口查詢Nmap，內(nèi)網(wǎng)中的嗅探工具SSLstrip、EtterCap。

2.漏洞分析與漏洞利用工具集：掃描目標(biāo)系統(tǒng)上的漏洞。

3.Web程序：與Web應(yīng)用有關(guān)的工具，包括內(nèi)容管理系統(tǒng)掃描器、數(shù)據(jù)庫(kù)漏洞利用程序、Web應(yīng)用模糊測(cè)試、網(wǎng)絡(luò)爬蟲(chóng)等。

4.密碼攻擊：包含常見(jiàn)的在線攻擊與離線秘密破解。

5.無(wú)線攻擊：可攻擊藍(lán)牙、WIFI及其它無(wú)線設(shè)備工具。

6.嗅探/欺騙：監(jiān)聽(tīng)網(wǎng)絡(luò)和Web流量。

7.權(quán)限維持、逆向工程、壓力測(cè)試、硬件Hacking、數(shù)字取證及報(bào)告工具集。

8.系統(tǒng)服務(wù)：在滲透測(cè)試時(shí)可能用到的常見(jiàn)服務(wù)類軟件，如Apache服務(wù)、MySQL服務(wù)等。

三、基于Kali Linux 的教學(xué)設(shè)想

一是通過(guò)虛擬機(jī)技術(shù)和kail Linux結(jié)合模擬實(shí)驗(yàn)情景，突破教學(xué)過(guò)程中設(shè)備、環(huán)境的限制。可根據(jù)需要建立網(wǎng)絡(luò)安全教學(xué)專項(xiàng)攻防對(duì)抗實(shí)驗(yàn)機(jī)群。其中，虛擬機(jī)技術(shù)可以解決設(shè)備、資源短缺的問(wèn)題，在虛擬機(jī)上安裝kail Linux作為攻擊機(jī)，其他虛擬機(jī)作為靶機(jī)系統(tǒng)，在一臺(tái)實(shí)體機(jī)器上，配齊攻防實(shí)驗(yàn)機(jī)群，能夠在有限的資源中進(jìn)行更為真實(shí)的實(shí)踐。

由于網(wǎng)絡(luò)攻擊實(shí)驗(yàn)容易對(duì)實(shí)體機(jī)產(chǎn)生破壞，而且kail Linux中的集成的滲透工具，多是基于漏洞編寫(xiě)的，實(shí)驗(yàn)時(shí)可能會(huì)對(duì)系統(tǒng)造成損害。因此，使用VMware等虛擬機(jī)搭建實(shí)驗(yàn)平臺(tái)，既可以降低實(shí)驗(yàn)成本，又能夠保護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)的安全使用，便于管理和維護(hù)。

二是通過(guò)綜合性實(shí)驗(yàn)進(jìn)行多維度的設(shè)計(jì)練習(xí)，開(kāi)拓學(xué)生視野、提高動(dòng)手能力，培養(yǎng)學(xué)生的發(fā)散思維和創(chuàng)新意識(shí)。設(shè)置綜合性實(shí)驗(yàn)，不僅是課堂教學(xué)內(nèi)容的演示與驗(yàn)證，而且是教學(xué)的延伸，真正落實(shí)了對(duì)學(xué)生實(shí)踐性的訓(xùn)練，考查了學(xué)生的綜合運(yùn)用能力，同時(shí)也培養(yǎng)了學(xué)生的創(chuàng)新意識(shí)。

當(dāng)然，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)千變?nèi)f化，任何攻擊、防護(hù)都不能拘泥于固定的教學(xué)模式。比如服務(wù)器攻擊，既可以通過(guò)系統(tǒng)漏洞、也可以通過(guò)應(yīng)用服務(wù)漏洞或者網(wǎng)站程序、論壇等代碼缺陷、又或是數(shù)據(jù)庫(kù)滲透來(lái)進(jìn)行。只有充分了解攻擊途徑，安全防護(hù)才會(huì)做到盡量全面。因此，教師應(yīng)充分利用kail Linux自帶的豐富工具軟件，通過(guò)設(shè)置與教學(xué)計(jì)劃配套的綜合實(shí)驗(yàn)，模擬實(shí)現(xiàn)完整的攻防實(shí)驗(yàn)過(guò)程，并提出針對(duì)性的防護(hù)措施，有利于培養(yǎng)學(xué)生的獨(dú)立思考能力，進(jìn)而為其掌握知識(shí)技能、形成全面網(wǎng)絡(luò)安全綜合能力奠定堅(jiān)實(shí)的基礎(chǔ)。

作者單位：山東省青州市火箭軍士官學(xué)校 山東省青州市濰坊工程職業(yè)學(xué)院