Docker 容器技術在網絡安全實驗室的應用研究

吳棟淦

（福建信息職業技術學院 計算機工程系，福建 福州 350003）

隨著網絡安全技術的興起，為適應日益增長的網絡安全專業需求，一些知名企業在網絡安全行業投注了不少的資金，各大高校也紛紛開設網絡安全相關專業課程.在培養網絡安全專業人才的過程中，建設專業實驗室起到非常重要的作用.眾所周知，網絡安全專業的人才培養注重實戰能力，而網絡安全特殊的專業性質不允許學生隨便上網絡“實戰”，必須守持法律底線，這就要求建設模擬網絡實戰環境.當前行業中模擬網絡實戰環境正處于百花齊放的狀態，產品標準不統一，互不兼容，尚不存在一個產品能滿足所有網絡安全實戰.針對現有的網絡安全實驗室現狀，提出一種基于docker 容器技術的網絡安全實驗環境建設方案，能結合現有的網絡安全實驗設備，為師生提供一個比較完整的網絡安全實戰環境.

1 存在問題

1.1 硬件環境

目前福建信息職業技術學院的網絡安全實驗室由防火墻、WAF、Netlog、DCST 信息安全實訓平臺和360 安全實訓平臺構成，能提供網絡安全設備配置管理、網絡協議分析、安全滲透等實踐項目.現有的實訓平臺主要以VM 虛擬化技術為依托模擬靶機環境，對資源的消耗較大，能同時在線的客戶端受到制約，難以滿足專業教學的需求.此外，實訓平臺依賴于特定廠商，實訓環境與外網完全隔離，用戶無法擴展或開發新的實驗場景，廠商升級周期長，造成實訓平臺采購后很容易落后.

1.2 軟件環境

福建信息職業技術學院自2011 年起開設信息安全工作室，開始招收少量學生參加信息安全培訓和各類競賽.由于教師都來自原網絡技術專業，專業師資缺乏，同時師資普遍存在實戰經驗少、實戰能力弱的問題.

1.3 解決方案

要解決這些問題，一般的做法有兩種：一是采購在線實訓平臺，由于其場景更新快，且按數量收費，可以為每位學生及時提供實訓環境，并在采購后對師資進行培訓，使其快速掌握實訓平臺資源的使用；二是結合現有的平臺資源自行搭建實訓平臺（即靶場），在搭建的過程中既能讓教師專業能力得到提升，又能根據實際教學要求復現實戰環境.

比較兩種方案，方案一周期短（取決于采購周期），費用高；方案二費用低廉（只需準備服務器硬件設備），周期較長.根據福建信息職業技術學院當前的情況，選擇了方案二進行建設.

2 容器技術

2.1 虛擬化概述

當前網絡安全實訓平臺普遍利用云平臺虛擬化技術［1］，當前主流的虛擬化架構有兩種：Hypervisors 和容器.Hypervisors 也被稱為虛擬機監視器（VMM），用于在多個虛擬機（VM）或Guest OS 之間共享物理機的硬件資源［2］.Hypervisors 有兩種類型，分別是KVM 和Xen. 其 中KVM 是Kernel-based Virtual Machine 的 簡稱，是一種開源虛擬化模塊，目前國內不少主流的實訓平臺采用KVM 類型，通過搭配QEMU 在虛擬機中運行目標操作系統，QEMU 本身可以在Windows、Linux和Mac OS X 等幾種主機操作系統上運行［3］.另一種Xen 則是一個高性能資源管理的虛擬機監視器，可提供托管主機設施、服務器整合、分布式Web 服務、安全計算平臺等應用程序，Xen 可以提供完全虛擬化和半虛擬化［4］.

容器與Hypervisors 不同之處在于，容器虛擬化操作系統本身，與主機和其他容器共享主機操作系統核心與資源，Hypervisors 與容器的結構見圖1.

從最早的BSD jails 和chroot 開始，到現在的LXC、OpenVZ，容器經過了較長時間的發展，越來越成熟.由于容器非常的輕量級，提供了接近裸機的性能，因此容器在云計算平臺受到越來越多的關注［5］.Docker 作為一種容器的操作系統，由于其共享操作系統核心的特性，能夠減少系統開銷.

2.2 容器的應用現狀

容器技術首先在商業領域上得到了廣泛應用. 2004 年開始，Google 公司就開始使用容器技術，2014年Google 所有的服務其實都封裝以及運行在 Linux 容器中，此外IBM、微軟、Red Hat 等廠商 ，都開始支持 Docker.

2015 年618 大促中，京東部署了Docker 彈性云承載關鍵業務，經受了大流量的考驗.2016 年，阿里將雙11 全鏈路所有核心應用部署在AliDocker，撐起了交易17.5 萬筆/s 的下單峰值.

圖1 Hypervisors 與容器結構對比圖

3 基于Docker 容器技術的實驗室建設方案

3.1 建設方案

由于Docker 容器能夠滿足用戶按需分配，因此非常適用于教學實驗環境的搭建［6］.實踐證明，通過部署Docker 容器可以有效降低實驗室建設成本、降低運維工作量［7］.在建設網絡安全實驗室過程中，通過運用Docker 技術能夠滿足建設需求，高度仿真實驗環境.

考慮到與原有的實訓平臺兼容，建設方案見圖2，其中教務平臺、DCST 實訓平臺、360 實訓平臺和在線教學平臺是已有平臺，Docker 平臺是擬建設平臺.

Docker 平臺通過部署Docker 容器來提供各種安全攻防環境和CTF 平臺.學生機可以直接在機房和校園WiFi 連接到各平臺，由于現有實訓平臺的封閉性，各實訓平臺與教務平臺采用獨立的賬號系統，不能通用，管理上比較麻煩.在線教學平臺通過插件與教務平臺實現賬號統一管理，并對網絡安全實驗環境進行組織管理.

圖2 實驗室建設結構圖

建設完成之后，學生可以通過兩種方式使用網絡安全實驗環境：一是訪問在線教學平臺，完成身份認證，閱讀教師發布的實驗任務，對Docker 容器上部署的靶機進行掃描、滲透攻擊，獲得所需的信息獲得所需的信息，在教學平臺上提交本次的實驗結果數據，完成本次實驗；二是訪問CTF 平臺，登錄后完成教師發布的各種挑戰，提交Flag 值以獲得分數.方式一主要用于常規教學和集訓，可以進行組題訓練，彌補CTF 平臺的不足；方式二CTF 奪旗戰主要用于興趣培養和選拔隊員，適合校內技能競賽.

3.2 部署

3.2.1 環境初始化

Docker 容器部署在網絡安全服務器上，該服務器運行CentOS 7 64 位操作系統，首先通過以下方法安裝Docker 引擎.

#yum install -y yum-utils

device-mapper-persistent-data

lvm2

#yum-config-manager --add-repo

https：//download.docker.com/linux/centos/docker-ce.repo

#yum install docker-ce docker-ce-cli containerd.io

然后通過配置加速鏡像來提高下載鏡像速度，在國內可以選擇阿里云、清華等鏡像源，這可以通過修改配置文件來完成.

#vi /etc/docker/daemon.json

{“registry-mirrors”：［“https：//registry.docker-cn.com”，https：//kxv08zer.mirror.aliyuncs.com］}

為了方便對Docker 容器進行管理，可以安裝Docker 容器管理平臺shipyard.

#curl -sSL https：//shipyard-project.com/deploy | bash -s 3.2.2 靶機部署

在網絡安全攻防實驗環境中，大部分的困難來自于靶機環境的搭建，高質量的靶機是核心資源［8］.由于Docker 技術的廣泛使用，互聯網絡上可以找到不少高品質靶機如dvwa、juiceshop 等，下面以著名的dvwa 為例說明靶機環境的構建.

#docker pull citizenstig/dvwa

#docker run -itd--name dvwa -p 8000：80 -restart=always citizenstig/dvwa

通過部署dvwa 靶機并映射到本地8000 端口，用戶就可以直接通過8000 端口訪問.

網絡上公共發布的靶機種類有限，難以完全滿足教學需要，因此在很多時候需要定制靶機.定制靶機環境的一個特點是“一題一機”，往往是一道攻防題就需要搭建一臺靶機，Docker 容器的輕量級和高性能的特點正好解決了這個問題，即使在普通服務器上也能部署幾十上百種靶機.

Docker 定制靶機部署可以有兩種方式，一種是直接從Docker 倉庫拉取鏡像，對鏡像進行定制修改后提交此鏡像；另一種是通過Dockerfile 來構建靶機鏡像.兩種方式可交替使用，相對來說，前一種方式生成的鏡像較大，占用空間一般在數百兆左右，后一種方式由于只有代碼文件，占用空間小得多，比較適合存檔和交流，下文以Dockerfile 部署Web 滲透靶機為例進行說明.

Web 滲透靶機主要以練習php 漏洞為主，需要安裝配置httpd、php 為主的軟件，其中httpd 服務器一般使用常見的apache httpd，靶機Dockerfile 主要內容為：

#cat Dockerfile

FROM phusion/baseimage：0.10.2#指定使用的基礎鏡像

MAINTAINER Zhangsan#維護者信息

RUN sed -i‘s/archive.ubuntu.com/mirrors.aliyun.com/g’ /etc/apt/sources.list &&

sed -i‘s/security.ubuntu.com/mirrors.aliyun.com/g’ /etc/apt/sources.list &&

apt-get update && apt-get install -y apache2 libapache2-mod-php &&

apt-get clean && rm -rf /var/lib/apt/lists/* /tmp/* /var/tmp/* /var/www/html/*

#更新源并安裝apache2 及相關php 模塊，清空目錄文件

RUN mkdir -p /etc/service/apache2/ && #創建apache2 目錄

printf“#!/bin/sh exec /usr/sbin/apachectl -D FOREGROUND ”＞ /etc/service/apache2/run && #后臺運行apache 進程

chmod 700 /etc/service/apache2/run &&#修改進程權限

ln -s /etc/apache2/mods-available/rewrite.load /etc/apache2/mods-enabled/rewrite.load &&#創建鏈接

sed -i‘s/AllowOverride［ ］*None/AllowOverride All/g’ /etc/apache2/apache2.conf &&#修改重寫規則

sed -i‘s/Options Indexes FollowSymLinks/Options FollowSymLinks/g’ /etc/apache2/apache2.conf &&# 禁用目錄瀏覽

sed -i‘s/allow_url_include = Off/allow_url_include = On/g’ /etc/php/7.0/apache2/php.ini &&# 遠 程 文 件包含漏洞需開啟該功能

sed -i‘s/disable_functions = /disable_functions = system，popen，shell_exec，exec，passthru，proc_open，ignore_user_abort/g’ /etc/php/7.0/apache2/php.ini#禁用system、popen、passthru 等php 函數

ADD src/000-default.conf /etc/apache2/sites-enabled/000-default.conf#復制apache 配置文件到相應目錄

ADD src/html /var/www/html#復制有漏洞的web 文件到目標文件夾

RUN chmod a-w /var/www/html -R #設置文件夾權限

EXPOSE 80#將80 端口映射到宿主機

此Dockerfile 文件內容功能分為4 部分：（1）指定基礎鏡像和鏡像創建者信息、更新源、安裝apache軟件和模塊；（2）設置apache 運行環境；（3）復制配置文件和網頁文件；（4）設置權限，指定容器映射到宿主機器的端口.

Dockerfile 編寫完成后通過docker 指令創建鏡像，然后運行容器在本地8080 端口打開監聽.

#docker build -t web_vuln .

#docker run -itd -name web_vuln -p 8080：80 --restart=always web_vuln

最后對靶機頁面進行滲透測試有效性，容器運行期間可以通過docker stats 命令查看資源占用率，見圖3.

#docker stats --format “table {{.Name}} {{.CPUPerc}} {{.MemUsage}}”

圖3 自定義輸出docker 資源占用率

3.2.3 教學平臺

靶機部署完成之后，還需要將這些靶機資源進行整合利用，這可以通過在線教學平臺來實現.本方案利用原有的Moodle 在線平臺對資源進行整合，實現實踐平臺和理論教學的連接.Moodle 主要用于理論學習，可通過VPL 插件支持在線編程實踐，但不適合作為主流的實踐教學平臺，可充分利用Moodle 豐富的題庫類型對實踐進行擴展，實現網絡安全理論學習和實戰技能一體化評估.

實現思路是利用Moodle 的“內嵌答案完形填空”題型組織題庫，隨后學生通過身份驗證進入Moodle平臺相應課程，開啟練習或作業，獲得靶機地址和相關信息，在Moodle 平臺獲取必要的工具軟件對靶機進行滲透，并將滲透后獲得的結果值提交到平臺，完成自動評分.

其他的CTF 平臺可以完成類似功能，但使用Moodle 平臺擁有CTF 平臺不具備的兩點優勢：一是Moodle 平臺可以通過插件與教務系統實現賬號對接，利用教務系統賬號即可登錄Moodle 平臺；二是Moodle 平臺可以對題庫隨機組卷，非常適用于常規教學.

3.2.4 CTF 平臺

CTF 即奪旗賽，常用于國際和國內各類安全賽項中，CTF 獨特的挑戰性和趣味性，特別適合作為教學輔助平臺［9］，用于組隊競賽、隊員選拔，可提高學生興趣和實戰能力.本方案選用比較成熟的開源CTF 平臺ctfd，采用Docker 容器方式部署，部署方式如下.

#docker pull ctfd/ctfd

#docker run -itd --name ctfd -p 80：8000 --restart=always ctfd/ctfd

#下載漢化包themes.zip

#unzip themes.zip

# docker cp themes ctfd：/opt/CTFd/

學生可以采取組隊或個人的形式登錄CTF 平臺地址進行解題，解題獲得的分數也會實時顯示在scoreboard 界面中（見圖4）.

3.3 實施成效

網絡安全攻防實驗環境部署至今已兩年，已應用于PHP安全編程、Web 應用安全課程的常規教學和信息安全各類競賽訓練，為信息安全團隊培養出優秀的學員.2017 年至今，信息安全團隊共獲得國賽一等獎2 次、二等獎1次，省賽一等獎3 次的好成績.

攻防實驗室仍然還存在一些問題，比如靶機需要一個穩定的團隊持續開發，尤其是漏洞復現的時效性很強，此外各個平臺之間尚不能實現無縫連接，比如CTF 平臺的賬號系統與教務系統分離，不利于教學管理.

圖4 CTF 奪旗賽Top10

4 結語

針對傳統網絡安全實驗室提出了改良方案，經過實踐證明，改良后的實驗環境已基本滿足教學和集訓需求.未來的研究方向主要在兩點：一是通過制度建設一個穩定的研發團隊；二是考慮與異種平臺的接洽.