网络攻防实验教学云平台v1.1

1、成都国腾实业集团“十三五”项目建议书项目名称：基于云平台的网络攻防实验教学系统网络攻防环境难以构建和管理是一个普遍性的难题。信息安全实验教学具有 很强的实践性。由于互联网庞大的规模、复杂的结构使其无法在实验室里搭建， 为实验教学而设置网络安全漏洞会产生巨大风险，在真实的网络中开展网络攻 击、病毒注入等实验，将酿成灾难性后果。因此，信息安全类课程的实验教学难 以在真实的网络环境中完成。云计算为信息安全实验教学的开展提供了新的思 路，即利用虚拟仿真技术开展信息安全的实验教学。一、网络攻防实验教学云平台概述基于云平台的网络攻防实验教学系统（以下简称实验平台）遵循信息安全 类专业指导性专业规范和电子科

2、大成都学院信息安全专业培养方案 定义的 知识体系及实践能力要求，拟基于OpenStack云平台开源技术实施网络攻防实验 教学系统开发和网络攻防实验教学内容建设；实验平台的课程体系包括10个实验模块，近100个实验类别，在开源软件OpenStack和相应组件的基础上，禾U用 虚拟化技术，可以在实验室中构建出虚拟攻击机、虚拟靶机和多样化的网络结构 开展攻防实验。基于云计算的网络攻防实验教学系统可以显著降低管理和实验成 本，提高学习效率；实验平台拟首先满足电子科大成都学院信息安全专业学生专 业实践课的教学需求，经过本校应用验证后再迁移到云服务商平台上为更多学生 提供网络攻防实训服务。1.2前景据调查

3、全国设有信息安全专业的高等院校 77所（2014年数据），其在校学生 安平均1200人/校（如成都信息工程大学信息安全工程学院现有学生 1500人） 计算共计92400人，加上社会其他行业的需求，估计总数在十五万人左右。因此， 本系统有一定的市场前景。二、基于云平台的网络攻防实验教学系统需求分析随着中央成立网络安全与信息化领导小组以来，网络安全成为当前技术研究 热点，网络安全课程和网络安全竞赛也得到了更多的重视。我们在网络安全课程 的教学和网络安全竞赛的训练过程中， 做了大量网络攻防方面的实验，比较深切 地感受到现有的网络攻防实验手段的不足。网络攻防相关实验往往都带有一定的破坏性， 在真实网络

4、环境里进行攻防实 验还会遇到法律授权方面的麻烦，一般都是通过安装VMware Virtualbox 等模拟软件构建虚拟网络环境去进行攻防实验，为此，我们借助云计算技术来构建网络攻防实验教学系统。云计算技术可以灵活地按需提供虚拟化、并行计算、网络 存储和负载均衡等服务，因此如果能把网络攻防所需的各种工具软件、攻击机和 靶机镜像、操作指南等文档资料统一安放到云平台中，则可以极大地改进管理工 作。例如，可以省去本地安装配置工作，只要有网络随时能用注册账号登录到云 平台上做有操作权限的网络攻防实验； 所有的技术文档、操作指南等统一存储在 云平台，非常容易检索；在攻防实验平台的存储空间、CPU性能出现瓶

5、颈时，也非常容易进行扩充升级。这种基于云计算的网络攻防系统可以著降低管理和实验 成本，提高学习效率。、基于OpenStack云平台的设计和实现OpenStack是一个美国国家航空航天局和 RackSpace合作研发的，旨在为公 共及私有云的建设与管理提供软件的开源项目。Ope nStack正处于高速发展和推 广应用过程中，目前已经是各种公有云和私有云建设的主流方案。3.1 实验平台硬件结构本文设计的基于云平台的网络攻防实验教学系统拓扑结构如图1所示。其中应用服务器分别连接到交换机、第一网络云存储和第二网络云存储。第一网络云存储通过防火墙连接到交换机。防火墙是可选的网络防护设备， 可以用其他网络

6、防护设备替代，或者直接连接交换机。使用防火墙是为了配置多 样化的网络防护环境。第一网络云存储中保存着具有操作系统漏洞和应用软件漏 洞的操作系统镜像文件，可以用来创建 Windows或Linux虚拟靶机实例。第二网络云存储直接连接到交换机，保存着已安装攻击工具的操作系统镜像 文件，利用这些镜像文件可以创建出 Windows或Linux虚拟攻击机实例。互联网 用户通过VPN网关、局域网用户通过交换机连接到该云平台。互联网用户局诫网用户骷N网关* 交换机第一网络云存储 *应用眼务营 *第二网络云存储I图1：实验平台的硬件结构3.2 实验平台系统架构实验平台是在云计算开源项目 OpenStack基础上

7、构建（见图2）。构建云平台主要用到OpenStack以下模块的服务：Nova:调派资源实例化虚拟机；Gia nee:提供虚拟机实例化时需要的镜像；(3) Network:提供网络连接；Cinder:提供外接的块存储服务；(5) Ceilometer :从以上与虚拟机相关的几个服务中收集数据.用于统计、 监控、计费、报警等；Swift :可以为Glanee提供镜像的存储服务，可以为 Cinder提供卷的 备份服务。第1控制服务器Openstack network 腮务Cpenstsck nova軀务器节恵2_Op«n&tack swift碾务器节点HOpenstack 组件购縉

8、设备虚拟网络第2网络云存储攻击机镜撫库虚拟攻击机21®拟攻走机M'图2:实验平台系统架构控制服务器和服务器节点安装 Ubuntu操作系统；其中控制服务器还需安装 Network模块，服务器节点安装Nova和Swift ,其他几个模块也在平台中得到了 应用。实验平台利用控制服务器管理各个服务器节点，根据第一网络云存储和第二网络云存储中的镜像，建立虚拟靶机和虚拟攻击机。虚拟靶机和虚拟攻击机之 间可以通过虚拟网络连接，也可以通过网络安全设备和网络连接设备连接，以此构建出多样化的网络环境。3.3 实验平台维护和实验过程实验平台维护和实验过程如图3所示。狀号WAS用户账号验证堆护学生账

9、号倍息1堆护虛攻击机镜懺立件堆护虚拟耙机遼愉立件、监控虛拟机实例墩怕攻击软件工鼻宦I配虚拟攻击机取击工具配虚拟杞机湖洞蚪护播作跟统和龜件濡伺库13为虚拟攻击靶机配賈防火增收第实验数据用虚粒攻击机收击虛拟朝亂实潘拟政击机 WAAK 机局趣网用户 互联网用户已配取击机和區KW一 #LIPtt 址学生网常存储空间虛世机实例工具包ftij帀捕获的网 堵Ki据邃下鞍麺据邑井析实龍数据图3:实验平台维护和实验过程实验平台初始化时，管理员维护账号信息库，包括用户名、口令和可以操作 的实验类别，为账号在第一和第二网络云存储中分配磁盘空间， 指定用户可以操 作的实验类别。管理员维护第一网络云存储中的虚拟靶机Wi

10、ndows和Linux操作系统镜像文 件库，维护第二网络云存储中的虚拟攻击机 Windows和Linux操作系统镜像文件 库，同时维护在虚拟攻击机实例上使用的攻击工具和虚拟靶机实例上使用的漏洞 库资源。局域网用户提供正确的用户名和口令后直接连接到该虚拟仿真系统；互联网用户通过VPN建立与实验平台的连接。当局域网用户和互联网用户连接到该平台 后，可以使用管理员预先为其分配好的位于第一网络云存储和第二网络云存储上 的磁盘空间。用户根据实验类别，选择虚拟攻击机和虚拟靶机的镜像文件， 在属于自己的 磁盘空间内创建虚拟攻击机实例和虚拟靶机实例，配置虚拟攻击机实例和虚拟靶机实例的IP地址、子网掩码、默认网

11、关和 DNSI艮务连接，然后登录到自己创建 的虚拟靶机实例内，利用第一网络云存储上提供的具有安全漏洞的软件配置虚拟 靶机实例，使其具备被攻击的条件。用户登录到自己创建的虚拟攻击机实例内，利用第二网络云存储上提供的攻 击工具配置虚拟攻击机实例使其具备攻击能力。 用户可以自行在虚拟攻击机实例 上安装其他攻击工具，在虚拟靶机实例上安装其他防护工具。为了真实地模拟复 杂的网络环境，用户可以为虚拟靶机实例配置防火墙， 将虚拟靶机实例纳入防火 墙的安全防护范围内。用户登录到虚拟攻击机防火墙的安全防护范围内和虚拟攻 击机实例内，利用所配置的攻击工具对虚拟靶机实例发动网络攻击。监控中心模块捕获流经虚拟攻击机实

12、例和虚拟靶机实例的网络数据包， 保存 虚拟攻击机实例和虚拟靶机实例的操作系统日志和相关软件工具的日志。网络用户可随时下载由监控中心模块捕获的网络数据包，以分析实验结果。3.4 攻击机和靶机的配置攻击机配置：首先制作基于 Win dows操作系统的攻击机镜像，在系统中圭寸 装大量网络安全渗透测试用工具，包括各种扫描工具、嗅探工具、加解密工具、 远程渗透攻击测试工具、动态调试工具、静态反编译工具等等。其中最常见最有 用的一些工具包括Metasploit 开源安全漏洞测试工具、Nmap扫描器、 Wireshark 嗅探器、burpsuite 集成Web渗透测试工具集、sqlmap注入工具、 Olly

13、dbg动态调试器、IDA反编译工具等。靶机配置：靶机配置不是简单安装好操作系统和软件就行了， 还经常需要在靶机上挖掘出或人为生成需要的某种安全漏洞以供攻击机做网络攻击实验。首先要制作一些基于 Windows 2000 Windows XP Windows 2003、Windows7 等操作 系统的镜像，都是没有打足补丁留下系统漏洞用于系统攻击测试，然后在一些Windows镜像中创建各种基于ASP ASP.NET PHP和JSP技术的有已知漏洞的Web网站用于Web渗透测试；另外，还可以下载了一些开源免费靶机资源，例如 OWAS组织发布的一些靶机镜像资源。四、网络攻防实验教学体系建设一个高水平的

14、网络攻防实验室，使其成为计算机网络与安全技术实验基 地和人才培养基地，有利于促进网络安全的理论和实践教学， 提升学生的实践创 新能力。基于云平台的网络攻防实验教学系统以“有线网络攻防、病毒攻防、网 络渗透攻击、网络安全加固、个人防火墙开发、动态网站安全、电子商务安全、 无线网络攻击、虚拟路由器模拟和In ternet协议分析”10个信息安全与网络 攻防实验模块，近2 0 0个实验题目（见图 4）组成了网络攻防实验教学体系， 可为多门信息安全专业课程开设实验。有蟻网境攻昉h営貳| 铲豐闪裁：日阱知主机 I WESjn? 人根I 厳坠TW加国I挖x :靈全病攻馬ITilSFfc*-女仲毎卑辛岳琴牛人防灿t开世 a "UMmiMM IPFVffMtt舍话丑瀏述无线网協攻击5釁TTWffINTERNET 协谡分析的蹈由競拟卜廳麗遷7WIWwxa块审计商晶舌理楓快申计槪揚专囱申计代玛审计俎台KRIV理测讯圈户砥逼播块审计|讦单凑