李軻 莊小葉

摘? 要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，，網(wǎng)絡(luò)應用日趨廣泛，安全風險持續(xù)增大，對網(wǎng)絡(luò)安全教學提出了更高的要求。針對當前網(wǎng)絡(luò)安全教學相對滯后，提出基于kail Linux的網(wǎng)絡(luò)安全教學應用設(shè)想。

關(guān)鍵詞：網(wǎng)絡(luò)安全;kail Linux;教學實踐

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們工作生活中必不可少的要素。但網(wǎng)絡(luò)的在帶給人們各種方便的同時，也存在諸多安全隱患。網(wǎng)絡(luò)安全防護教學作為培養(yǎng)學生網(wǎng)絡(luò)技術(shù)的主要手段，如何培養(yǎng)學生掌握主流、前沿的網(wǎng)絡(luò)技術(shù)，了解網(wǎng)絡(luò)體系中的薄弱環(huán)節(jié)，解決技術(shù)快速更新帶來的各種安全隱患，是一個值得探究的課題。

一、當前網(wǎng)絡(luò)安全教學中存在的主要問題

一是網(wǎng)絡(luò)攻擊和防御類型多、知識面廣，網(wǎng)絡(luò)底層編程難度大。然而網(wǎng)絡(luò)安全問題涉及多個領(lǐng)域，如操作系統(tǒng)安全、漏洞安全、Web安全、SQL注入安全、主機安全、協(xié)議安全等，課程實踐環(huán)節(jié)難度大、安排少。在實際教學環(huán)節(jié)中，學生需要選擇設(shè)計網(wǎng)絡(luò)拓撲，動手編寫具體程序，除了要熟悉計算機網(wǎng)絡(luò)的基本協(xié)議原理、虛擬軟件外，還需掌握網(wǎng)絡(luò)編程基本知識，掌握協(xié)議實現(xiàn)及在網(wǎng)絡(luò)中的通信方式，底層網(wǎng)絡(luò)知識編程難度較大。

二是缺少實踐環(huán)節(jié)，知識原理抽象不易懂。安全防護是以熟悉攻擊、滲透為前提的。長期以來，很多教學或側(cè)重于攻擊性的原理實現(xiàn)，或側(cè)重于網(wǎng)絡(luò)安全防護設(shè)備的使用，缺乏對網(wǎng)絡(luò)攻防、滲透等技術(shù)的實踐及解析。一方面，由于實驗環(huán)境復雜、要求較高，課上多是教師演示，學生只能觀看，自己動手的機會少，這極大削弱了實踐的效果，很難達到預期的教學目標。另一方面，實驗中不僅需要模擬掃描、滲透，還需要應對病毒、木馬的攻擊，容易出現(xiàn)對學校網(wǎng)絡(luò)、系統(tǒng)的附帶損害，這也是許多高校不鼓勵開展攻防實驗的原因。

三是網(wǎng)絡(luò)滲透教學受設(shè)備、環(huán)境的限制較多。網(wǎng)絡(luò)安全與其他課程相比，開設(shè)時間短，很多實驗室建設(shè)還處于起步階段，設(shè)備在種類和數(shù)量上不足，實驗條件相對落后，導致很多技術(shù)實踐不能正常進行。學生在學完課程之后，動手能力不強。此外，一些重要的技術(shù)手段受實際網(wǎng)絡(luò)環(huán)境、實驗設(shè)備的限制，很難深入分析講解，加之這類概念通常比較抽象，學生并不能真正理解、掌握技術(shù)原理，這也降低了他們學習的積極性。

四是課程實驗內(nèi)容零散，技術(shù)滯后，難以呈現(xiàn)真實的網(wǎng)絡(luò)環(huán)境。部分實驗課程，內(nèi)容單一、零散，各實驗之間相互獨立，缺乏關(guān)聯(lián)性、承接性和綜合性。比如信息收集實驗，通常僅局限于掃描地址、路由、操作系統(tǒng)類型，稍微深入的可能會收集些應用程序和端口信息。但后續(xù)的漏洞掃描、攻擊等實驗往往自成體系，與前期實驗結(jié)果關(guān)聯(lián)不大，各實驗之間不能相互銜接，使得效果大打折扣。網(wǎng)絡(luò)安全技術(shù)更新速度快，但教學內(nèi)容卻相對固定，課程中大部分實例都是對早期漏洞的分析和利用，跟不上技術(shù)更新的步伐，無法呈現(xiàn)真實的網(wǎng)絡(luò)環(huán)境。學生即使能熟練掌握教材中的實例，也很難獨立在網(wǎng)上完成一次滲透。

二、Kali Linux 的組成及功能

Kali Linux是一款基于Debian的Linux操作系統(tǒng)，集成了各類網(wǎng)絡(luò)攻防常用相關(guān)工，主要設(shè)計用于網(wǎng)絡(luò)攻防和滲透測試。例如包括Nmap 端口掃描器、Wireshark 數(shù)據(jù)包分析器、the Ripper 密碼破解器、Ettercap內(nèi)網(wǎng)滲透測試軟件，以及功能強大的Metasploit工具等。

1.信息收集：作為滲透、攻擊的第一步，一般通過掃描、嗅探獲取DNS信息、端口信息、協(xié)議信息等。常用工具有域名掃描Dmitry、端口查詢Nmap，內(nèi)網(wǎng)中的嗅探工具SSLstrip、EtterCap。

2.漏洞分析與漏洞利用工具集：掃描目標系統(tǒng)上的漏洞。

3.Web程序：與Web應用有關(guān)的工具，包括內(nèi)容管理系統(tǒng)掃描器、數(shù)據(jù)庫漏洞利用程序、Web應用模糊測試、網(wǎng)絡(luò)爬蟲等。

4.密碼攻擊：包含常見的在線攻擊與離線秘密破解。

5.無線攻擊：可攻擊藍牙、WIFI及其它無線設(shè)備工具。

6.嗅探/欺騙：監(jiān)聽網(wǎng)絡(luò)和Web流量。

7.權(quán)限維持、逆向工程、壓力測試、硬件Hacking、數(shù)字取證及報告工具集。

8.系統(tǒng)服務(wù)：在滲透測試時可能用到的常見服務(wù)類軟件，如Apache服務(wù)、MySQL服務(wù)等。

三、基于Kali Linux 的教學設(shè)想

一是通過虛擬機技術(shù)和kail Linux結(jié)合模擬實驗情景，突破教學過程中設(shè)備、環(huán)境的限制?？筛鶕?jù)需要建立網(wǎng)絡(luò)安全教學專項攻防對抗實驗機群。其中，虛擬機技術(shù)可以解決設(shè)備、資源短缺的問題，在虛擬機上安裝kail Linux作為攻擊機，其他虛擬機作為靶機系統(tǒng)，在一臺實體機器上，配齊攻防實驗機群，能夠在有限的資源中進行更為真實的實踐。

由于網(wǎng)絡(luò)攻擊實驗容易對實體機產(chǎn)生破壞，而且kail Linux中的集成的滲透工具，多是基于漏洞編寫的，實驗時可能會對系統(tǒng)造成損害。因此，使用VMware等虛擬機搭建實驗平臺，既可以降低實驗成本，又能夠保護計算機及網(wǎng)絡(luò)的安全使用，便于管理和維護。

二是通過綜合性實驗進行多維度的設(shè)計練習，開拓學生視野、提高動手能力，培養(yǎng)學生的發(fā)散思維和創(chuàng)新意識。設(shè)置綜合性實驗，不僅是課堂教學內(nèi)容的演示與驗證，而且是教學的延伸，真正落實了對學生實踐性的訓練，考查了學生的綜合運用能力，同時也培養(yǎng)了學生的創(chuàng)新意識。

當然，網(wǎng)絡(luò)安全風險千變?nèi)f化，任何攻擊、防護都不能拘泥于固定的教學模式。比如服務(wù)器攻擊，既可以通過系統(tǒng)漏洞、也可以通過應用服務(wù)漏洞或者網(wǎng)站程序、論壇等代碼缺陷、又或是數(shù)據(jù)庫滲透來進行。只有充分了解攻擊途徑，安全防護才會做到盡量全面。因此，教師應充分利用kail Linux自帶的豐富工具軟件，通過設(shè)置與教學計劃配套的綜合實驗，模擬實現(xiàn)完整的攻防實驗過程，并提出針對性的防護措施，有利于培養(yǎng)學生的獨立思考能力，進而為其掌握知識技能、形成全面網(wǎng)絡(luò)安全綜合能力奠定堅實的基礎(chǔ)。

作者單位：山東省青州市火箭軍士官學校 山東省青州市濰坊工程職業(yè)學院