網(wǎng)絡(luò)攻擊行為仿真實(shí)現(xiàn)技術(shù)分析

[摘要]隨著計(jì)算機(jī)信息技術(shù)飛速發(fā)展，工業(yè)、商業(yè)以及軍隊(duì)對(duì)于網(wǎng)路的依賴性越來(lái)越強(qiáng)，而網(wǎng)絡(luò)攻擊將會(huì)造成災(zāi)難性的后果。從網(wǎng)絡(luò)攻防原理出發(fā)，針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)攻擊和防御進(jìn)行相關(guān)研究，分析網(wǎng)絡(luò)攻防仿真平臺(tái)的實(shí)現(xiàn)技術(shù)。

[關(guān)鍵詞]網(wǎng)絡(luò)攻擊 仿真 入侵檢測(cè)

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0420069－01

一、網(wǎng)絡(luò)攻防原理介紹

隨著各種紛繁復(fù)雜的攻擊的出現(xiàn)和人們對(duì)入侵造成的破壞日益重視，網(wǎng)絡(luò)防御保護(hù)也在不斷發(fā)展，不斷加強(qiáng)，無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著入侵攻擊和安全防御的對(duì)抗。下面分析幾種常見的網(wǎng)絡(luò)攻防原理。（1）數(shù)據(jù)包掃描是攻擊和防御中最基本的內(nèi)容。（2）TCP端口掃描，一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。端口掃描主要有經(jīng)典的掃描器（全連接）以及所謂的SYN半連接掃描器，此外還有間接掃描和秘密掃描等。（3）漏洞掃描，漏洞掃描主要通過以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在。（4）網(wǎng)絡(luò)入侵檢測(cè)（NID），網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的基本工作原理是嗅探（Sniffer），它通過將網(wǎng)卡設(shè)置為混雜模式，使得網(wǎng)卡可以接收網(wǎng)絡(luò)接口上的所有數(shù)據(jù)。（5）防火墻，防火墻就是一種數(shù)據(jù)包過濾塞，它可以讓正常的數(shù)據(jù)包通過，而將不符合的數(shù)據(jù)包統(tǒng)統(tǒng)過濾掉。（6）加密，這里涉及的加密是指針對(duì)傳輸層數(shù)據(jù)的加密。在數(shù)據(jù)發(fā)送前對(duì)傳輸層數(shù)據(jù)進(jìn)行加密，當(dāng)數(shù)據(jù)包到達(dá)目的主機(jī)后，解開數(shù)據(jù)包是，然后再解密恢復(fù)數(shù)據(jù)，從而保證數(shù)據(jù)在網(wǎng)絡(luò)上更安全地傳輸。

二、系統(tǒng)描述

應(yīng)該從三個(gè)方面來(lái)分析該系統(tǒng)功能分析，即TCP/IP底層協(xié)議仿真，網(wǎng)絡(luò)攻擊與防御仿真，真實(shí)網(wǎng)絡(luò)環(huán)境下簡(jiǎn)單的攻擊和防御練習(xí)。

設(shè)計(jì)此虛擬網(wǎng)絡(luò)要遵循的協(xié)議就是協(xié)議。我們?cè)O(shè)計(jì)的時(shí)候做了從以太幀到傳輸層數(shù)據(jù)包封裝的所有接口，實(shí)驗(yàn)者可以用這些接口來(lái)封裝網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，也可以用這些接口提取出數(shù)據(jù)包的任何字段，進(jìn)行分析。另外，在虛擬網(wǎng)絡(luò)上的任何節(jié)點(diǎn)（主機(jī)，路由器，防火墻，集線器）上，都做了相對(duì)于真實(shí)設(shè)備的仿真。同樣也可以在虛擬節(jié)點(diǎn)上配置簡(jiǎn)單的入侵檢測(cè)系統(tǒng)和防火墻等工具，從而達(dá)到攻擊和防御仿真。如果實(shí)驗(yàn)者想在真實(shí)網(wǎng)絡(luò)上進(jìn)行攻擊防御練習(xí)也就是可以的，這時(shí)實(shí)驗(yàn)者只要將建立虛擬網(wǎng)絡(luò)一步省去，直接調(diào)用該系統(tǒng)提供的函數(shù)庫(kù)，就可以做上述實(shí)驗(yàn)了。

三、設(shè)計(jì)網(wǎng)絡(luò)攻防仿真平臺(tái)及配置文件解析

（一）平臺(tái)總體框架。系統(tǒng)從整體上分為總控單元、真實(shí)的攻擊和防御、模擬的攻擊和防御、網(wǎng)絡(luò)模擬模塊和公共模塊等部分，見圖1所示。總體控制單元：在平臺(tái)運(yùn)行前進(jìn)行初始化，由一個(gè)全局標(biāo)志來(lái)決定平臺(tái)運(yùn)行在真實(shí)環(huán)境還是模擬環(huán)境。真實(shí)的攻擊和防御：在真實(shí)的環(huán)境中，我們所能操作的只是一臺(tái)本地主機(jī)，攻擊和防御功能都在本地主機(jī)上進(jìn)行，然后通過反饋來(lái)得出這些攻擊和防御對(duì)網(wǎng)絡(luò)的影響。每個(gè)設(shè)備的模擬，使其實(shí)現(xiàn)真實(shí)設(shè)備遵循接收和發(fā)送數(shù)據(jù)的功能，實(shí)現(xiàn)發(fā)送數(shù)據(jù)前對(duì)網(wǎng)絡(luò)各層數(shù)據(jù)包的封裝，收到數(shù)據(jù)后對(duì)各層上數(shù)據(jù)的提取等。公共模塊：提供給上層的真實(shí)攻擊防御模塊和模擬攻擊防御模塊的最基本的函數(shù)庫(kù)和所調(diào)用的功能。公共模塊大體包括三個(gè)獨(dú)立的部分，形成攻擊部分形成防御的部分、用于顯示和向?qū)嶒?yàn)者報(bào)告的部分。

（二）虛擬網(wǎng)絡(luò)設(shè)備的設(shè)計(jì)。一個(gè)虛擬主機(jī)中可以添加若干虛擬網(wǎng)卡，并且可以通過圖形界面設(shè)置各個(gè)網(wǎng)卡對(duì)應(yīng)的網(wǎng)絡(luò)基本信息。每添加一個(gè)網(wǎng)卡就可以啟動(dòng)一個(gè)線程，這個(gè)線程進(jìn)行接收網(wǎng)絡(luò)上流經(jīng)該主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包。虛擬主機(jī)上只有一塊虛擬網(wǎng)卡，虛擬網(wǎng)卡負(fù)責(zé)從該主機(jī)所處的網(wǎng)絡(luò)上接收和發(fā)送數(shù)據(jù)包。然后主機(jī)負(fù)責(zé)將捕獲的數(shù)據(jù)暫存到主機(jī)的數(shù)據(jù)接收緩沖區(qū)，等待數(shù)據(jù)處理模塊處理。主機(jī)要發(fā)送數(shù)據(jù)包時(shí)，數(shù)據(jù)處理模塊將處理好的數(shù)據(jù)送到數(shù)據(jù)發(fā)送緩存，然后在網(wǎng)卡空閑的時(shí)候發(fā)送出去。

集線器是虛擬網(wǎng)絡(luò)中的一個(gè)簡(jiǎn)單的設(shè)備，它的功能只是連接各網(wǎng)絡(luò)設(shè)備，如果有數(shù)據(jù)流經(jīng)一個(gè)集線器，它要通知與它直接相連接的網(wǎng)絡(luò)設(shè)備，各網(wǎng)絡(luò)設(shè)備訪問了集線器上的數(shù)據(jù)之后，集線器就消除上面的數(shù)據(jù)。在極限器上只有一個(gè)數(shù)據(jù)緩存，某個(gè)時(shí)刻它只能接收一個(gè)以太數(shù)據(jù)幀。

路由器工作在網(wǎng)絡(luò)層以下，我們?cè)O(shè)計(jì)虛擬路由器同樣遵循這個(gè)原則，主要負(fù)責(zé)虛擬網(wǎng)絡(luò)上IP數(shù)據(jù)包的轉(zhuǎn)發(fā)和錯(cuò)誤響應(yīng)。如果有正常數(shù)據(jù)包到達(dá)虛擬路由器，路由器首先要從以太幀中提取出IP數(shù)據(jù)包，然后驗(yàn)證IP包頭的信息，檢查校驗(yàn)和是否正確，TTL是否為0，是否是廣播和組播等。如果驗(yàn)證通過，要查找虛擬路由器的路由表，根據(jù)路由表的記錄決定數(shù)據(jù)包向哪個(gè)網(wǎng)卡轉(zhuǎn)發(fā)，然后處理IP包頭部，再將處理后的IP包封裝到以太幀，交給相應(yīng)網(wǎng)卡的發(fā)送緩存區(qū)。

防火墻的主要功能就是依照所定義的訪問控制策略對(duì)數(shù)據(jù)通訊進(jìn)行屏蔽和允許通信。虛擬防火墻是為了實(shí)現(xiàn)虛擬網(wǎng)絡(luò)中IP數(shù)據(jù)包過濾而設(shè)計(jì)的，它不像上面的虛擬路由器一樣，在丟棄數(shù)據(jù)包后可能會(huì)有ICMP反饋。虛擬防火墻有兩塊虛擬網(wǎng)卡，網(wǎng)卡的功能和前面介紹的虛擬主機(jī)、虛擬路由器我上網(wǎng)卡的結(jié)構(gòu)功能相同。

（三）配置文件解析。在系統(tǒng)中，需要有一個(gè)配置文件，用于存放實(shí)驗(yàn)者配置網(wǎng)絡(luò)的信息。一個(gè)配置文件有兩種生成途徑一種從圖形界面生成，另一種直接由實(shí)驗(yàn)者編寫。一個(gè)配置文件的主體部分有三段，分別是設(shè)備部分（equipment），連接（link）部分和網(wǎng)關(guān)部分（gateway）。配置文件解析是將配置文件configuration.txt解析成一種便于使用的中間數(shù)據(jù)結(jié)構(gòu)。由于系統(tǒng)是多個(gè)人開發(fā)的，生成中間數(shù)據(jù)結(jié)構(gòu)可以避免每個(gè)開發(fā)人員去解析配置文件，從而節(jié)省了開發(fā)時(shí)間。析配置文件主要做了下面幾項(xiàng)工作：（1）解析文件，排除錯(cuò)誤，給實(shí)驗(yàn)者錯(cuò)誤反饋；（2）驗(yàn)證網(wǎng)絡(luò)拓?fù)涞恼_性；（3）生成虛擬路由表；（4）為初始化網(wǎng)絡(luò)構(gòu)架提供數(shù)據(jù)結(jié)構(gòu)。

四、結(jié)語(yǔ)

目前，網(wǎng)絡(luò)仿真技術(shù)主要應(yīng)用于網(wǎng)絡(luò)互連互通性、網(wǎng)絡(luò)運(yùn)行效率、協(xié)議效率等方面的仿真，在對(duì)網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全方面的仿真還非常欠缺。本文從網(wǎng)絡(luò)攻擊仿真的角度出發(fā)，著重從系統(tǒng)框架整體角度分析了網(wǎng)絡(luò)攻防原理仿真平臺(tái)相關(guān)技術(shù)，介紹了設(shè)計(jì)網(wǎng)絡(luò)仿真平臺(tái)的總體目標(biāo)，框架，以及各個(gè)主要網(wǎng)絡(luò)設(shè)備的設(shè)計(jì)方案，配置文件的生成，解析，并根據(jù)配置文件來(lái)建立虛擬路由器的路由表，根據(jù)拓?fù)湮募慕馕鼋Y(jié)果來(lái)驗(yàn)證網(wǎng)絡(luò)的正確性等內(nèi)容。

參考文獻(xiàn)：

[1]張帥、盧昱，仿真環(huán)境中的網(wǎng)絡(luò)攻擊模型設(shè)計(jì)[J].裝備指揮技術(shù)學(xué)院學(xué)報(bào)，2005，03.

[2]屠守中、王海泉、吉毅，面向仿真的網(wǎng)絡(luò)攻擊知識(shí)描述技術(shù)[J].微計(jì)算機(jī)信息，2008，33.

作者簡(jiǎn)介：

董其維，男，漢族，四川省鄰水縣人，工程碩士，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)安全。