◆冷濤 鄢雨涵 高彬晗 譚珊然 王衡

網(wǎng)絡(luò)攻防與取證訓(xùn)練平臺設(shè)計與實現(xiàn)

◆冷濤1，2鄢雨涵1高彬晗1譚珊然1王衡1

（1.四川警察學(xué)院計算機科學(xué)與技術(shù)系 四川 646000；2.四川警察學(xué)院刑事檢驗四川省高校重點實驗室 四川 646000）

當(dāng)前網(wǎng)絡(luò)犯罪形勢嚴峻，網(wǎng)絡(luò)警察專業(yè)人才缺口較大，專業(yè)素質(zhì)要求較高。傳統(tǒng)網(wǎng)絡(luò)靶場費用高，部署在實驗室，重型化等不足，設(shè)計在個人主機運行的網(wǎng)絡(luò)攻防與取證訓(xùn)練平臺，因而支撐實踐學(xué)習(xí)具有重要意義和急切需求。本文采用以CTFd開源平臺為基礎(chǔ)，構(gòu)建網(wǎng)絡(luò)攻防和電子數(shù)據(jù)取證的相關(guān)知識體系，利用Docker、虛擬機等虛擬化技術(shù)構(gòu)造靶場資源，實現(xiàn)集網(wǎng)絡(luò)攻防、電子數(shù)據(jù)取證訓(xùn)練于一體的網(wǎng)絡(luò)安全訓(xùn)練平臺，用于個人學(xué)習(xí)和競賽演練，高效促進用戶能力提升。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻防；取證；平臺

當(dāng)前互聯(lián)網(wǎng)的快速發(fā)展帶給人們便利的同時，也滋生了網(wǎng)絡(luò)犯罪，特別是網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)傳銷等犯罪頻發(fā)，給單位和個人帶來巨大的經(jīng)濟損失，嚴重危害我國網(wǎng)絡(luò)安全。公安機關(guān)為打擊網(wǎng)絡(luò)犯罪，維護政權(quán)安全壓力巨大，而網(wǎng)絡(luò)警察作為打擊網(wǎng)絡(luò)犯罪的前沿主力軍，其人才培養(yǎng)受到國內(nèi)眾多公安院校的重視。近年來，各公安院校建立了網(wǎng)絡(luò)攻防靶場實驗室，購買了取證設(shè)備，但由于以前的靶場多采用openstack搭建，一般在實驗室機房教學(xué)使用，投入較大。而在線的大多數(shù)的訓(xùn)練平臺多為CTF競賽模式，缺少與公安實戰(zhàn)聯(lián)系，不利于公安網(wǎng)絡(luò)民警和學(xué)警對最新的網(wǎng)絡(luò)安全技術(shù)和實戰(zhàn)案例的學(xué)習(xí)和掌握。在學(xué)術(shù)研究方面，國內(nèi)學(xué)者圍繞網(wǎng)絡(luò)攻防靶場做了許多研究[1]，并提出基于Docker技術(shù)在AWS云搭建網(wǎng)絡(luò)靶場，主要包括CTF和AWD兩種競賽模式，用于服務(wù)學(xué)生培養(yǎng)[2]。采用虛擬化技術(shù)搭建網(wǎng)絡(luò)靶場，在電子數(shù)據(jù)取證靶場方面，劉琛在文獻[3]中詳細介紹了電子取證的實訓(xùn)平臺設(shè)計與電子取證的相關(guān)技術(shù)內(nèi)容，該文側(cè)重電子取證訓(xùn)練平臺的開發(fā)。徐國天在文獻[4]中提出基于openstack搭建電子數(shù)據(jù)取證靶場。總體來看，OpenStack云平臺主要適用于單位環(huán)境，比較重型，成本較高，不適用于個人單機使用。而國內(nèi)市場的教學(xué)訓(xùn)練靶場也多針對網(wǎng)絡(luò)攻防能力的培養(yǎng)，較少針對電子數(shù)據(jù)取證方面來設(shè)計訓(xùn)練平臺。本文探究基于Docker等虛擬化技術(shù)，構(gòu)建網(wǎng)絡(luò)攻防與電子數(shù)據(jù)取證綜合訓(xùn)練靶場，既可用于教學(xué)，也可在個人主機部署，有力支撐人才培養(yǎng)與訓(xùn)練。

1 網(wǎng)絡(luò)攻防與取證訓(xùn)練平臺

1.1 網(wǎng)絡(luò)攻防訓(xùn)練平臺

1.1.1網(wǎng)絡(luò)攻防訓(xùn)練平臺概念

網(wǎng)絡(luò)攻防訓(xùn)練平臺的核心理念是仿真。它是一種運用虛擬化技術(shù)，對真實的網(wǎng)絡(luò)空間中的網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)流程、系統(tǒng)設(shè)備的運行狀態(tài)及運行環(huán)境進行模擬和復(fù)現(xiàn)的平臺。借此平臺能更有效地實現(xiàn)公安網(wǎng)絡(luò)民警和學(xué)警對網(wǎng)絡(luò)安全相關(guān)的學(xué)習(xí)、研究、檢驗、競賽、演習(xí)等項目進行系統(tǒng)的訓(xùn)練，從而達到提高用戶的網(wǎng)絡(luò)安全對抗能力水平的目的。

1.1.2網(wǎng)絡(luò)攻防訓(xùn)練平臺功能

網(wǎng)絡(luò)攻防訓(xùn)練平臺是一個集成網(wǎng)絡(luò)安全漏洞驗證、網(wǎng)絡(luò)武器試驗、攻防對抗演練及網(wǎng)絡(luò)風(fēng)險評價的重要基本工具和平臺，本文所設(shè)計網(wǎng)絡(luò)攻防訓(xùn)練平臺在于專業(yè)技能訓(xùn)練，驗證網(wǎng)絡(luò)漏洞，提升實戰(zhàn)能力，主要包含了Web安全、系統(tǒng)安全等知識，并且可滿足網(wǎng)絡(luò)民警和學(xué)警的專業(yè)教學(xué)和個人學(xué)習(xí)需求。平臺設(shè)計考慮專業(yè)知識實訓(xùn)、技巧培養(yǎng)、仿真演示、管理考核等功能，可以廣泛應(yīng)用于專業(yè)技術(shù)人員培養(yǎng)和應(yīng)用需要。

1.2 電子取證訓(xùn)練平臺

1.2.1電子取證訓(xùn)練平臺概念

電子取證訓(xùn)練平臺主要是一種泛指通過虛擬化的技術(shù)來取證相關(guān)的網(wǎng)絡(luò)犯罪案件活動，以鏡像形式提供給用戶分析，通過設(shè)計不同的題目資源，引導(dǎo)用戶分析問題，考核用戶解決問題的技術(shù)能力。題目設(shè)計可覆蓋電子數(shù)據(jù)取證的相關(guān)文件規(guī)范和整個取證流程，技術(shù)難點等。

1.2.2電子取證訓(xùn)練平臺功能

從資源建設(shè)上講，電子取證訓(xùn)練平臺包括計算機取證、手機取證、內(nèi)存取證、網(wǎng)絡(luò)取證、數(shù)據(jù)庫取證、惡意代碼取證，日志分析等，從功能設(shè)計上，主要以題目考核和案例報告的形式提交管理平臺進行考核評分，既有主觀評分，也支持自動評判客觀成績。在組織形式上，可以競賽或個人測驗或?qū)W習(xí)通關(guān)的形式展現(xiàn)。

2 平臺架構(gòu)及功能設(shè)計

2.1 平臺框架設(shè)計

為了提高人才培養(yǎng)質(zhì)量和針對性，設(shè)計網(wǎng)絡(luò)攻防靶場和電子數(shù)據(jù)取證靶場為一體的綜合訓(xùn)練平臺。基于虛擬機、phpstudy、Docker、CTFd等技術(shù)來構(gòu)造靶場學(xué)習(xí)平臺與競賽平臺。其中，靶場學(xué)習(xí)平臺主要是網(wǎng)絡(luò)攻防靶場與電子取證靶場相結(jié)合的綜合性網(wǎng)絡(luò)訓(xùn)練平臺，平臺根據(jù)網(wǎng)絡(luò)攻防和電子取證相關(guān)知識體系設(shè)計題目；而競賽平臺則基于CTFd，CTFd采用Python 語言編寫的capture the flag 框架，支持使用自定義插件和主題，快捷方便的實現(xiàn)個性化，其構(gòu)建簡單、可定制性，在CTF競賽平臺中廣泛采用。本實驗平臺基于CTFd框架，通過分析網(wǎng)絡(luò)攻防和電子數(shù)據(jù)取證相關(guān)知識體系，設(shè)計包含Web安全基礎(chǔ)，綜合滲透，內(nèi)網(wǎng)滲透的網(wǎng)絡(luò)攻防靶場，以及覆蓋網(wǎng)絡(luò)取證，內(nèi)存取證，計算機取證，手機取證等資源的電子數(shù)據(jù)取證靶場，通過CTFd框架設(shè)計競賽平臺和題目演練，題目資源采用Docker和虛擬機技術(shù)承載，平臺功能設(shè)計如圖1所示：

圖1 網(wǎng)絡(luò)攻防與取證訓(xùn)練平臺

2.2 平臺資源設(shè)計

平臺資源主要覆蓋網(wǎng)絡(luò)攻防靶場和電子數(shù)據(jù)取證靶場。其中網(wǎng)絡(luò)攻防靶場包含Web安全基礎(chǔ)、綜合滲透、內(nèi)網(wǎng)滲透等知識，電子數(shù)據(jù)取證靶場涉及網(wǎng)絡(luò)取證、內(nèi)存取證、手機取證、計算機取證等。

Web安全基礎(chǔ)靶場目標(biāo)在于訓(xùn)練Web安全專項基礎(chǔ)知識，逐一訓(xùn)練常見Web安全漏洞，如Sql注入，跨站腳本攻擊，文件上傳，命令執(zhí)行等漏洞知識。靶場選擇目前經(jīng)典的Web安全單項靶場，例如Sqli-labs，Uploadlabs，Xss-labs等靶場。sqllabs靶場是綜合了各種sql注入漏洞，難度從易到難。uploadlabs 靶場是一個基于 php 語言進行編寫的文件上傳漏洞靶場，Xss-labs為跨站腳本攻擊漏洞靶場，一共20關(guān)，通過單項靶場的訓(xùn)練，讓學(xué)員能系統(tǒng)掌握每個漏洞，夯實基礎(chǔ)知識能力。

Web滲透綜合靶場主要側(cè)重綜合應(yīng)用Web安全知識能力。設(shè)計Dvwa靶場，Vulhub，Pikachu靶場等。Dvwa 靶場軟件是一個基于 php / mysql 架構(gòu)搭建的 Web 應(yīng)用程序，為我國公安網(wǎng)絡(luò)民警及學(xué)警們檢測自身的相關(guān)專業(yè)知識技術(shù)和工具時，提供了一個合法的環(huán)境，同時還有利于幫助我國公安網(wǎng)絡(luò)民警及學(xué)警們更好地了解網(wǎng)絡(luò)應(yīng)用安全風(fēng)險防范的重要性。Dvwa 靶場總共由十個模塊組成：（1）暴力破解；（2）命令注入；（3）跨網(wǎng)請求假冒偽造；（4）文件內(nèi)容；（5）文件上傳漏洞；（6）不安全的驗證；（7）sql注入；（8）sql注入（盲注）；（9）反射型XSS；（10）存儲型XSS。同時每一個安全模塊的開放源代碼都具有4種不同安全級別。通過從較低的復(fù)雜難度問題測試轉(zhuǎn)變到較高的困難難度測試和參考等級之間代碼的改變，能夠更加有助于用戶迅速并準(zhǔn)確的理解其中的一些漏洞。Vulhub則是一個基于Docker和Docker-compose的漏洞環(huán)境而具體復(fù)現(xiàn)的集合，進入相應(yīng)的目錄并在其中執(zhí)行一條語句后就可以直接啟動一個全新的漏洞環(huán)境，讓整個漏洞的具體復(fù)現(xiàn)原理工作流程變得更加簡便，讓用戶更多地能夠?qū)Ｗ⒂诶斫庹麄€漏洞的原理本身。

內(nèi)網(wǎng)滲透靶場，是高級實戰(zhàn)靶場，側(cè)重綜合滲透能力、橫向移動能力和后滲透能力的訓(xùn)練，這部分靶場采用自定義網(wǎng)絡(luò)拓撲設(shè)計環(huán)境或采用借鑒啟元學(xué)堂提供的紅隊實戰(zhàn)鏡像。紅隊實戰(zhàn)是以發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)薄弱的環(huán)節(jié)，并盡可能地找出系統(tǒng)中存在的所有網(wǎng)絡(luò)安全問題，從而提升網(wǎng)絡(luò)系統(tǒng)安全性為練習(xí)目標(biāo)。該鏡像設(shè)計貼近實戰(zhàn)，可全面提升攻防實戰(zhàn)能力。

電子數(shù)據(jù)取證靶場，包含了網(wǎng)絡(luò)取證靶場，計算機取證靶場，計算機取證靶場和移動網(wǎng)絡(luò)取證靶場。本部分靶場資源通過收集各類取證大賽，CTF競賽的相關(guān)鏡像資源和公安實戰(zhàn)抽象案例資源設(shè)計而成。其能夠系統(tǒng)地鍛煉電子數(shù)據(jù)取證能力，同時還可結(jié)合現(xiàn)場勘驗，文書制作等知識要點設(shè)計競賽題目，對學(xué)員進行考核訓(xùn)練。以此完善學(xué)員對電子數(shù)據(jù)取證知識、各種技術(shù)手段、工作流程的認識。

3 網(wǎng)絡(luò)攻防與取證訓(xùn)練平臺測試

基于CTFd競賽平臺，設(shè)計Web安全基礎(chǔ)、綜合滲透、內(nèi)網(wǎng)滲透和電子數(shù)據(jù)取證靶場資源如圖2所示，經(jīng)測試可正常運行，支撐人才培養(yǎng)訓(xùn)練。并可結(jié)合知識體系，自定義增加，修改資源，開展競賽訓(xùn)練等。

結(jié)合網(wǎng)絡(luò)攻防與電子取證相關(guān)知識點，通過VM虛擬機，phpstudy和Docker搭建了CTFd，并在該平臺上部署Sqli-labs，Uploadlabs，Dvwa，Vulhub等系列靶場，操作簡單方便。同時針對其他靶場的缺點進行了以下改進（1）運用了基于VM虛擬機、Docker與phpstudy的虛擬化技術(shù)，可以快速搭建和恢復(fù)實驗環(huán)境；（2）在出題方面，增添了系統(tǒng)進行的安全性測試形式的題目，更加貼近公安實戰(zhàn)；（3）每道題目附帶答案與恢復(fù)實驗環(huán)境步驟；（4）平臺題目增添了電子取證方向的題目，旨在打造一個全面提升使用者的平臺。

圖2 平臺資源頁面

4 總結(jié)

此平臺可以服務(wù)公安網(wǎng)絡(luò)民警和學(xué)警進行訓(xùn)練和實戰(zhàn)。其能全方位的鍛煉用戶的網(wǎng)絡(luò)攻防和電子取證的實戰(zhàn)水平，掌握專業(yè)知識并了解最前沿的網(wǎng)絡(luò)安全知識。不僅如此，靶場收納大量題目與解題思路，極大減少了使用者查找相關(guān)資料的時間。對用戶具有很大的積極意義。

[1]楊路.用于網(wǎng)絡(luò)攻防教學(xué)的AWS+Docker網(wǎng)絡(luò)實訓(xùn)平臺設(shè)計——以安徽公安職業(yè)學(xué)院為例[J].云南警官學(xué)院學(xué)報，2020（03）：35-40.

[2]黎水林，陳廣勇. 基于虛擬化技術(shù)的網(wǎng)絡(luò)攻防仿真平臺的設(shè)計與實現(xiàn)[A]. 公安部第三研究所.信息網(wǎng)絡(luò)安全 2016增刊[C].公安部第三研究所：《信息網(wǎng)絡(luò)安全》北京編輯部，2016：4.

[3]劉琛.電子數(shù)據(jù)取證綜合實訓(xùn)平臺設(shè)計與實踐[J/OL].實驗技術(shù)與管理，2017（1）：144-148.

[4]徐國天.面向取證能力提升的網(wǎng)絡(luò)靶場訓(xùn)練系統(tǒng)構(gòu)建[J].警察技術(shù)，2017（03）：69-73.

刑事檢驗四川省高校重點實驗室開放基金研究項目（2020ZD03）；四川省大學(xué)生創(chuàng)新訓(xùn)練項目（S202012212034）；瀘州市科技創(chuàng)新苗子培育計劃項目（2019-RCM-90）