網絡攻防靶場靶標網圖繪制研究

◆高建斌

(江西省公安廳網絡安全總隊 江西 330000)

0 前言

網絡空間目標因其復雜的設備部署、基礎操作系統部署、服務器部署、數據庫部署、應用軟件部署、內外網組合部署、跨地域組合部署、各種形式的交換部署、防御識別部署、先進技術更迭、加密傳輸隔離部署等，對網絡技術偵查、深度延展、長期控制、罪證獲取工作造成了巨大的困難。

“知己知彼、因地制宜、游刃有余”是網絡空間制網權的核心指導。目前偵查、取證工作存在大量的盲區，對目標不了解，見縫插針，防御更新不知道，隱蔽效果差，技術更新慢，縱深寸步難行。

所以需要針對目標陣地進行研究，研究宗旨在于適用于陣地化的專業性工具集成，確保對目標長期的“生態”，無論目標如何更新防御、增減設備、擴充結構，均能保障控制權及取證工作中的無障礙延展。

1 技術說明

在網絡偵查與取證的工作中，工作人員面臨的困難隨著目標的防御措施升級而越發困難，主要困難如下：

1.1 物理網情資源局限

偵查網情的手段缺乏，無法繪制目標完整給網圖陣地環境提供一線人員辦案，無法同步目標物理結構的變化、防御措施的更迭、軟件系統的基本情況、內外網物理拓撲等前線偵查要素。導致控制目標后無法做到縱深，核心內容無法完整取證，已控單點目標不敢動，動了怕丟，丟了怕找不回來的問題越發嚴重，使得勘測取證工作難以做到全面可制。

1.2 技術手段供給缺憾

漏洞挖掘及利用技術無法保持充足供應與先進性，無法根據網絡陣地情況，定制專屬漏洞資源加以利用，導致想用沒有到處找，免殺情況不對等的問題比比皆是，錯失了很多稍縱即逝的機會。更有目標先進技術更迭無法獲知被反追蹤的問題也經常發生，無法識別蜜罐誘捕等，直接導致了取證目標的丟失與其他問題的發生。

1.3 網空作戰環境缺憾

90%的一線工作人員對目標存在摸索盲區，目標環境屬性無法復制練手，大大降低了工作效能，并非技能差距，并非戰術差距，而是裝備的缺憾，沒有規模化環境提供準確的情報（設備、網絡、系統、軟件、目標工作習性…），無法讓一線人員充分發揮。

2 技術比較

在我們一線工作的要求中（以及防御識別與管控），對目標偵查繪制定向坐標網圖成為第一需求，而目前沒有這樣的研究與工具可以投放到工作中去，各個方向均以散亂的方式進行目標工作，了解目標具體結構、部署及反偵查探點的部署情況，成為致勝的關鍵。

2006年，他國即開始對重要基礎設置（黨、政、軍、企）的信息化網絡進行了專項繪制，并納入藏寶圖計劃。確保軍事間諜、商業間諜能夠很輕松的獲得情報，甚至對目標產生精確打擊。獲得繪制完全的他國網圖，可以輕松的進行軍事演習及士兵作訓，同時對目標進行長期的同步控制，獲取定向資源。此項得益于協議級先進技術及跨國公司在中國網絡行業的壟斷部署。

2014年，他國出品bloodfang工具型產品，因其具備網圖的自動繪制與基礎情報的獲取能力，具備超強的隱蔽性與重組通信能力，具備綜合性漏洞挖掘利用補給能力，具備應用層到硬件底層的綜合利用能力等，被稱為核武級超級網情繪制武器，可想而知該裝備集成了全球絕大多數的高精尖技術與0day、Nday，對網絡內涵的深度了解，而且背后有一支漏洞持續挖掘力量在支撐該工具的運行，對我國將是另一個巨大的威脅。

思考：研究方向對取證工作的便捷，繪制目標網圖，不但可以提升威懾力，提供日常作訓演練，也能更穩定的進行陣地化工作，完善識別威脅及反偵察能力，提升一線工作效率，還能培養出一批專業性高端人才。

3 技術落實

網絡攻防靶場靶標網圖繪制工具需具備如下基礎功能。

3.1 設備和鏈路自動發現

可以按IP起始范圍、網絡段范圍、路由跳轉搜索、IP漫游發現方式等，通過icmp和arp協議發現設備，并顯示設備的ip以及mac地址。過程全部采用隱蔽手段，使得過程隱蔽在目標正常行為中。

在設備發現的過程當中，通過LLDP、CDP、ICMP、ARP技術、鄰居路由、端口轉發表、STP生成樹協議等物理拓撲發現技術，發現設備的物理鏈接。設備和鏈路發現完畢后，在圖形界面上以拓撲圖的形式顯示出來，并附帶環境參數，提供網圖基礎情報。拓撲圖支持放大、縮水、拖拽、導出、打印等操作；拓撲圖可以按樹型、圓形、等自動布局排列。

第一步：采集設備信息，可以通過SNMP采集或者登錄設備采集，優先選擇SNMP采集當設備不支持SNMP采集時，采用靜默登錄設備進行采集。

圖1 基于NMP采集所需信息

第二步：生成2層鏈路層網絡拓撲

通過第一步，計算得到3層網絡拓撲，所有接口分成兩大類：點對點網絡，兩個接口直接互連；多點對多點網絡，三層在同一網段，需要在這一步得到互連關系。

3.2 層網絡拓撲的計算

依據設備的 MAC地址，路由器檢查 ARP表，交換機檢查MAC地址表。如何得到每個設備在其他設備的哪個接口，是得到2層拓撲的關鍵。

（1）設備和鏈路手工編輯

除自動發現外，還可以手工添加、刪除、修改網絡設備和鏈路。不是所有的東西都有用，還有自動發現不是 100%，主要原因為不同的協議可提取的內容不同，特別是一些做過過濾策略的特殊場景，無法自動獲取內網信息，需要其他輔助手段來驗證，因此需要手動編輯。

（2）設備內部資源發現

自動發現出設備內部的端口、軟件服務等資源信息，進一步了解設備的內部狀態。并向網圖提供新增基礎信息。各種公眾軟件含防御軟件的型號、版本。

（3）自學及跨網突破

工具在目標環境中運行后，完成對目標網絡的基礎環境態勢學習，主動發現網環境及閃斷型跨網設備、跨網網絡，有可能的話跟隨跨網并繪制下一個目標。采用的方式一共四種，最優為第四種設備與鏈路自動發現。

方案1：基于SNMP實現設備兩兩互相ping，需要登錄所有設備，這就需要登錄所有設備的權限。在大規模的網絡里，需要自動化工具完成。并且只考慮三層網絡拓撲，并未考慮2層網絡拓撲。

方案2： CDP協議是CISCO的私有協議，可以通過采集CDP鄰居關系，計算出CISCO設備之間的網絡連接關系，但這種算法只適用于CISCO設備，并且只考慮二層網絡拓撲并未考慮三層網絡拓撲。

方案3：需要在全網中啟用OSPF路由協議，具備一定的價值，但是在二層網絡拓撲發現上效果較差。

方案4：限制條件少，推廣型強、較強的創新性，能夠較好的結合三層網絡拓撲發現和二層網絡拓撲發現方法的優點并克服其缺點，共同實現網絡拓撲的發現。

（4）目標網圖繪制后的漏洞利用

充分了解目標網絡環境情報，有助于針對性的漏洞利用，針對網絡環境情報，制定常規需求漏洞利用庫及工具庫，制定非常規定制型漏洞利用庫及工具庫。

（5）漏洞挖掘及裝備研制后備力量

工具需長期提供補給，保持工具的鮮活，漏洞挖掘需常態化，除自身力量挖掘0day也應包含尖端0day的采購，裝備研制會根據所需實行定制輸出。在人力資源方面，提供更多的具備實戰的經驗，包含手法及攻擊思路、工具使用等。

（6）環境構建與延伸（見表1）

表1 環境構建與延伸

構建威脅驗證及攻防演練靶場完整對標各環境網絡及重要部件及信息系統、邊界設備。清晰的可視化與直觀工作環境建設。并可以承載各類型網圖的灌入實驗。開展攻防演練及威脅挖掘將黑客技術及先進的打擊技術灌入靶場親身體驗攻擊效果，提高自身威脅識別能力并通過靶場中真實部件系統進行深入的漏洞挖掘，形成提前先知狀態，避免高級威脅來臨措手不及。開展對標防御基礎防御弱不禁風，面對高級威脅束手無策，根據靶場威脅產出，進行對標防御將會讓黑客組織的破壞行為變得更加困難。

[1]周芳，毛少杰，朱立新.美國國家賽博靶場建設[J].指揮信息系統與技術，2011.

[2]周芳，周正虎.國外信息保障靶場建設[J].指揮信息系統與技術，2013.

[3]程靜，雷璟，袁雪芬.國家網絡靶場的建設與發展[J].中國電子科學研究院學報，2014.