《網絡安全技術》實驗教學改革初探

【摘 要】大學生創新訓練項目完成的內容與實際應用相關，本文研究如何將其結合到《網絡安全技術》實驗課程改革中，將大學生創新訓練項目落到實處。

【關鍵詞】大學生創新；實驗教學

0 引言

綜合設計性實驗的創新設計與實施是實驗教學改革的重要內容。大學生創新訓練項目注重“研究過程”而非“研究成果”，其主要是以項目為載體，充分調動學生學習的主動性、積極性，激發學生的創新思維和創新意識。

大學生創新訓練項目完成的內容與實際應用相關，指導教師可以將項目分解，設計成多個綜合設計性實驗，學生在實驗過程中能將多個知識點和技術有機結合起來，教師必須參與到實驗中，復制指導項目的模式，針對學生在實驗中出現的問題，采用提示和設疑的方法讓學生運用所學的知識，查閱資料，解決問題，培養學生學習的自主性和創新能力。筆者嘗試從實施的大學生創新訓練項目出發，研究《網絡安全技術》實驗課程改革，將大學生創新訓練項目落到實處，進行創新性實驗的嘗試。

1 實驗教學的目的

實驗教學實踐能使學生真正理解網絡安全的整體架構，掌握相應的網絡攻防技術。運用不同的攻擊技術和手段設計網絡攻擊方案、實施網絡攻擊；同時通過分析攻擊原理，掌握網絡防御體系的建立方法和攻擊防范技術。具體來說，實驗教學目的要求學生熟悉、掌握網絡環境搭建（組網技術）、網絡協議分析（TCP/IP協議分析、Wireshark的熟練應用）、網絡編程（加密算法實現、端口掃描工具開發、網絡數據包構造等）、網絡滲透測試（Kali應用及設計個性化的攻防工具）。

2 實驗設計實例

以《交換環境下網絡嗅探與防范》實驗項目為例，遵循由簡入難，循序漸進的原則，將實驗內容分為基礎性、綜合設計性、創新性這三個不同的層次。從網絡環境搭建、軟件使用、攻擊實施、攻擊防范為線索引導實驗教學的設計思路，并從創新性角度出發，進行實驗內容的擴展。

2.1 基礎性內容

網絡環境搭建。該部分為實驗的基礎內容，實現符合實驗環境的網絡規劃，所有實驗主機（被攻擊者A、攻擊者B）通過交換機構成局域網（Net1），并通過路由器互聯另外一個局域網（Net2，該網絡中配置一臺Web服務器C，具有基本的用戶登錄及驗證功能），要求學生掌握網線制作、交換機、路由器配置、Web網站開發及配置、主機TCP/IP參數配置等知識點。

命令行及常用掃描工具使用。命令行給系統管理員及開發人員帶來的靈活性不是圖形界面所能夠替代的，通過ping、arp等命令了解本網段主機存活狀態是一項基本技能，獲取目標主機MAC地址等相關參數，同時結合常用掃描工具進行驗證。

網絡協議分析。通過wireshark進行網絡數據包捕獲，并分析HTTP與ARP協議報文。能夠讀懂HTTP報文，理解POST的功能；通過分析ARP請求和應答報文，分析其漏洞。

2.2 綜合設計性內容

通過分析得到的ARP漏洞，嘗試構造ARP欺騙報文。B發送ARP欺騙報文，將自己偽造成網關，主機A的ARP高速緩存中網關IP地址對應的MAC地址改變為B的MAC地址，因而B將轉發A到服務器C的所有通信量，實現中間人攻擊，達到交換環境下網絡嗅探的目的，也就是B將獲得A明文傳輸到C的信息（如賬號、密碼等），從而破壞數據傳輸的保密性。ARP欺騙報文的構造正確與否是實驗的重點，要求學生有正確的理解和欺騙報文設計。因為實驗第一階段搭建的是完全真實的網絡環境，學生能切身體會到該類攻擊的危害性，更能激發學習興趣。

以上談到的是攻擊實施，實驗的另外一個核心是防范該類型攻擊。要求學生給出恰當的方案解決，引導學生從三個角度進行分析：從被攻擊者出發，實現ARP緩存靜態綁定；從服務器出發，如何配置HTTPS，實現客戶和服務器間數據的加密通信；從入侵檢測出發，制定什么樣的規則發現ARP欺騙攻擊行為。

以上實驗用到的網絡環境為有線網絡環境，能完成以上實驗內容達到實驗基本要求，但作為實驗的擴展，要求學生將實驗遷移到無線網絡，設計并實現無線網絡的中間人攻擊及數據嗅探，將可移動設備（筆記本、手機、平板電腦等）接入網絡，研究如何通過偽造熱點、入侵路由器等方法控制WiFi局域網。

2.3 創新性內容

創新性內容宗旨是培養學生的團隊合作精神、創新能力，提高學生網絡安全技術水平和綜合設計能力。給更高層次的學生準備的項目，這部分實驗既要求學生掌握網絡安全理論知識，同時還需具備一定的編程能力。要求學生在老師的指導下，自行組織團隊，完成自己的設計并實現具體功能。結合本實驗項目，在實驗過程中用到很多開源免費軟件，如Wireshark、科來數據包生成工具等，在熟悉使用這些軟件后，逐步引導學生自行設計并實現功能類似的工具，同時為了提高學生對TCP/IP協議的理解，學習并提高WinPcap編程、網絡編程能力，結合筆者指導的大學生創新訓練項目，本實驗項目中設置了以下程序設計開發主題：網絡數據報文構造工具、掃描器、基于網絡入侵檢測系統設計與實現等。該部分內容如果繼續深入可以作為相關課程設計課題或者畢業設計課題，促進學生在某個知識點的深入學習和研究。

3 實驗教學實施方案

在實驗教學實施過程中，根據實驗內容不同，采用的方案也不同。基礎性內容采用單人獨立完成，根據實驗結果，提交實驗報告。

綜合設計性內容、創新性內容則以小組形式進行，如2到3人為一個實驗小組，自行規劃設計。實驗報告要求涵蓋網絡環境搭建及配置、相關技術介紹、設計方案、具體實現等內容，以小組答辯方式進行驗收，回答教師和同學的提問，相互交流。

4 結語

通過研究如何將大學生創新訓練項目進行分解，融入到《網絡安全技術》實驗項目中，設計綜合設計性、創新性實驗，更新實驗內容，促進學生在實驗過程中能將多個知識點和技術有機結合起來，編制與實驗相關的虛擬實驗軟件。研究教師參與實驗的切入點，將指導大創項目的經驗引入到實驗教學過程，針對學生在實驗中可能出現的問題，采用提示和設疑的方法，并將這些內容引入實驗指導書，要求學生運用所學的知識，查閱資料，解決問題，培養學生學習的自主性和創新能力。實驗小組模式實施實驗，學生自己管理實驗，能培養學生團隊精神，提高協同工作的能力。

【參考文獻】

[1]姚罡，王貴萱.大學生創新訓練項目對學生創新能力的培養[J].科技視界，2015（35）.

[2]王盛邦，田海博，張新楠.網絡與信息安全綜合型實驗設計與研究[J].現代計算機，2014（04）.

[責任編輯：湯靜]