TCP/IP協議安全分析平臺及其在實驗教學中的應用

姚罡 譚慶浩

【摘 要】信息安全學習者學習網絡攻防技術在學習過程中往往進入一個誤區，依賴于現成網絡攻防工具，而大部分工具的使用并不需要進行相應參數設置，是“傻瓜式”應用，并不清楚這些工具的工作原理，不理解涉及的網絡協議，僅僅停留在“用”的層次。那么開發一個網絡協議安全分析平臺，剖析TCP/IP協議漏洞利用及攻擊檢測方法，將有助于提高學習者的學習效率和分析能力，有效化解學習者在學習網絡安全協議過程中所面臨的概念抽象、分析困難等障礙。

【關鍵詞】協議安全；實驗教學

中圖分類號： TP393.04；G642.423 文獻標識碼： A 文章編號： 2095-2457（2018）24-0094-002

DOI：10.19694/j.cnki.issn2095-2457.2018.24.045

【Abstract】Information security learners learn network attack and defense technology often enters a misunderstanding in the learning process， just relying on network attack and defense tools， and most tools do not need to set the corresponding parameters， it is a “fool” application. It is not easy for the learners to understand the network protocols involved， just stay at the “use” level. Then develop a network protocol security analysis platform， analyze TCP/IP protocol exploit and attack detection methods， which will help improve learners learning efficiency and analysis ability， and effectively discuss the concepts that learners face in learning network security protocols.

【Key words】Protocol Security； Experimental Teaching

0 引言

通過對國內主流網絡安全教學平臺進行分析，TCP/IP協議的安全分析只是一個功能模塊，并沒有從分層的角度去逐層分析，而且大部分運用網絡仿真工具，模擬主機、路由器等設備，即以可視化的方法分析數據包流動，動畫顯示網絡攻防過程，學習者只能看，無法進行驗證。網絡安全涉及的空間巨大且系統復雜，網絡安全研究需要在攻擊和破壞情況下進行，運用實況仿真技術進行研究非常必要，即利用真實主機、路由器、交換機等設備組成獨立網絡，進行攻擊和檢測、防范的實時實況仿真。

1 TCP/IP協議安全分析平臺設計思路

研究TCP/IP協議工作原理、攻擊與防范技術，實現集成網絡協議分析、常見協議攻擊、防范功能模塊的實況仿真平臺，通過以下技術實現。

1.1 數據包捕獲、解析、構造技術

研究基于WinPcap的網絡分析技術的實現原理及使用方法。其中包括WinPcap內核驅動，編譯與使用，數據包的捕獲、發送、內核過濾與接收，以及網絡流量的統計與網絡狀態的分析等重要內容。對TCP/IP協議了解深入，構造符合要求的數據包，能構造ARP報文、DHCP報文、TCP報文（根據學習者的需求設置數據包字段，如MAC地址、IP地址、標志位等），實現網絡攻擊仿真。

1.2 網絡協議攻擊與防范技術

實現網絡掃描及其檢測技術，實現針對網絡協議的攻擊，以ARP欺騙為例，ARP欺騙攻擊輕則掉線斷網，重則攻擊者能實現監聽，暴力的獲取別人發送的數據包。網絡中網關的物理地址和IP地址是唯一對應的，通過在啟動時會獲得一次真實的網管信息，然后保存，并加入檢測規則集合中，當發現這一對應關系被篡改，就會被檢測出來。

1.3 入侵檢測系統技術

采集內網用戶間的數據包，利用數據庫存儲并整理采集到的數據，對數據庫中所整理數據進行特定條件的檢查，看這些數據是否滿足預置的入侵特征，以提示入侵行為。

1.4 簡單蜜罐技術

主要針對利用ARP、TCP掃描。當發現有主機掃描網絡時，平臺將回復虛假應答給該主機，記錄該主機并迷惑該主機，加大攻擊者的攻擊難度，化被動為主動。

2 TCP/IP協議安全分析平臺主要功能模塊

通過分析常見TCP/IP協議安全漏洞，研究ARP欺騙、DNS、DHCP服務器常見攻擊的工作原理，實現基于WinPcap和Qt的TCP/IP協議安全分析平臺。

2.1 數據報文捕獲與解析模塊

數據報文捕獲與解析是整個平臺的基礎，流動的網絡數據報文將會以列表和圖表的形式顯示，并且用戶在捕獲前可以設置過濾條件，只捕獲自己想要的數據報文。用戶還可以查看某一數據報文的詳細字段信息，分析所處的網絡環境的情況，顯示當前網卡的MAC地址、IP地址、子網掩碼、網關和網速，更好地協助用戶分析網絡環境的狀況。

2.2 數據報文構造與傳輸模塊

通過數據報文構造與傳輸模塊，用戶可以進行數據報文的半自動化的構造并發送到用戶定義的地址，實現ARP欺騙、PING、UDP數據傳輸和TCP SYN掃描等常見的網絡攻擊和掃描探測。此外，為了讓用戶了解整個局域網的網絡狀況，將會進行局域網主機探測和端口掃描，給用戶提供數據包的發送對象和方便用戶填寫數據報文相關參數。

2.3 DNS服務器仿真模塊

DNS服務器主要功能就是將發送到服務器上的DNS請求進行解析，服務器將會把請求的內容（如：域名）在用戶自己配置的HOST文件中查找對應的記錄。如果找到，則將結果返回給請求者，如果沒有，則不進行回應。

2.4 DHCP攻擊仿真模塊

該模塊主要完成一個假冒的DHCP服務器和客戶端，用戶需要知道局域網有哪些可用的地址，然后簡單配置DHCP客戶端，該客戶端啟動后會對局域網已存在的DHCP服務器進行泛洪攻擊，讓其他DHCP服務器IP地址資源耗盡，這樣新加入局域網的主機就只能獲取假冒DHCP服務器提供的假冒IP地址和相關網絡信息，從而控制被攻擊者的網絡。

3 平臺在實驗教學中的應用

本平臺能讓用戶在可控范圍內使用真實的網絡環境，獲取真實的網絡數據，開展真實的網絡攻擊與掃描探測，部署基本功能完備DNS服務器和DHCP服務器。用戶在使用本平臺學習的時候，能更加直觀真實的觀察網絡數據的流動和數據報文詳細信息，更直觀的面對各種網絡攻擊，學習網絡攻擊的特征。

本項目利用實況仿真，用真實主機、路由器、交換機等設備組成獨立網絡（完全功能的實際應用網絡），集成了網絡協議分析、常見協議攻擊、防范三個功能模塊，配置針對TCP/IP協議安全分析的應用場景，提供半自動網絡攻防工具，即要求學習者在分析TCP/IP協議基礎上，針對不同層的協議的漏洞，進行參數配置后發送相應的數據包，達到漏洞利用的目的，平臺能夠對整個攻擊過程進行記錄，便于學習者回溯，分析攻擊原理，并在此基礎上啟動、配置平臺相應的防范模塊，達到攻防兩方面的學習。

4 結語

TCP/IP協議是Internet的網絡基礎，而其核心不可能在短期內進行重新設計和部署實施，無法從根本上改變目前網絡面臨嚴重安全威脅的狀況。只有通過研究、學習常見攻擊的原理，才能給出相應防范策略，通過部署一些監測、預防與安全加固措施，增強網絡對已知攻擊的抵御能力。

【參考文獻】

[1]呂雪峰等.網絡分析技術揭秘[M].北京：機械工業出版社，2012.

[2]LawrenceBerkeley.TCP/IP詳解卷1：協議[M].北京：人民郵電出版社，2016.

[3]LawrenceBerkeley.TCP/IP詳解卷2：實現[M].北京：人民郵電出版社，2016.

[4]霍亞飛.Qt Creator快速入門[M].北京：北京航空航天大學出版社，2014.