◆溫海波
(安徽交通職業(yè)技術(shù)學(xué)院 安徽 230051)
虛擬化仿真在網(wǎng)絡(luò)安全課程教學(xué)中的應(yīng)用研究
◆溫海波
(安徽交通職業(yè)技術(shù)學(xué)院 安徽 230051)
在網(wǎng)絡(luò)安全課程虛擬化仿真教學(xué)中,如何搭建復(fù)雜的虛擬化網(wǎng)絡(luò)工程環(huán)境,如何進(jìn)行教學(xué)過(guò)程設(shè)計(jì)是課程教學(xué)的關(guān)鍵點(diǎn)。本文通過(guò)分析VMware、GNS3、sniffer等虛擬化軟件的基本原理,詳述各軟件配置及相互配合,并研究了VMware虛擬機(jī)與GNS3虛擬的網(wǎng)絡(luò)設(shè)備互聯(lián)的關(guān)鍵技術(shù)。最后以“WEB頁(yè)面信息安全課程單元”為例,介紹了虛擬化仿真技術(shù)在網(wǎng)絡(luò)安全實(shí)例教學(xué)中的設(shè)計(jì)和實(shí)現(xiàn)。
虛擬機(jī);網(wǎng)絡(luò)安全;課程教學(xué);VMware;GNS3
隨著互聯(lián)網(wǎng)的迅猛發(fā)展,尤其在互聯(lián)網(wǎng)+,大數(shù)據(jù)、云計(jì)算的時(shí)代背景下,網(wǎng)絡(luò)安全日益受到重視。各高校計(jì)算機(jī)及相關(guān)專業(yè)已開(kāi)設(shè)網(wǎng)絡(luò)安全等課程,這門課程實(shí)踐性很強(qiáng),在教學(xué)中往往遇到一些問(wèn)題:(1)相關(guān)教學(xué)設(shè)備較為昂貴,很難做到每個(gè)學(xué)生都能使用;(2)由于設(shè)備實(shí)際配置數(shù)量有限,通常是分組教學(xué),教學(xué)效果不理想;(3)網(wǎng)絡(luò)安全課程內(nèi)容更新較快,需要設(shè)備也要隨之更新。將虛擬化仿真技術(shù)應(yīng)用于網(wǎng)絡(luò)安全課程中,可以實(shí)現(xiàn)情景化教學(xué)需求,同時(shí)大大降低教學(xué)中所需軟硬件成本,滿足該課程教學(xué)的必備環(huán)境[1-3]。
目前虛擬系統(tǒng)軟件主要有VMware、Virtual PC等軟件;網(wǎng)絡(luò)模擬器軟件有思科的 Packet Tracer,GNS3等軟件以及華三的LITO,eNSP等軟件;網(wǎng)絡(luò)檢測(cè)分析工具軟件有科來(lái)、Sniffer和WireShark等軟件。
1.1 虛擬機(jī)VMware
虛擬機(jī)VMware軟件可以在宿主機(jī)上模擬多臺(tái)不同操作系統(tǒng)的虛擬計(jì)算機(jī),為組建網(wǎng)絡(luò)提供計(jì)算機(jī)平臺(tái)。VMWare軟件是一款功能強(qiáng)大的虛擬機(jī)軟件,可以模擬工作站和服務(wù)器平臺(tái),以及支持平臺(tái)上大部分設(shè)備的功能。
VMware具備三種工作模式[4],具體描述和網(wǎng)絡(luò)連接如下所示。
(1)橋接(Bridged)模式:在此模式下,VMware軟件虛擬出交換機(jī)Vmnet0。該虛擬機(jī)相當(dāng)于和host主機(jī)同處在局域網(wǎng)中的一臺(tái)主機(jī),有該局域網(wǎng)下的獨(dú)立IP地址。在圖1中host主機(jī)A、主機(jī)B和虛擬機(jī)C1之間可相互通信。
(2)NAT模式:在此模式下,VMware軟件虛擬出交換機(jī)Vmnet8。虛擬機(jī)可以與host主機(jī)和其它“NAT模式”的虛擬機(jī)相互通信,但只能單向訪問(wèn)與 host主機(jī)在同一局域網(wǎng)中的其他計(jì)算機(jī),不可反向訪問(wèn)。在圖1中虛擬機(jī)C2可以和主機(jī)A互相通信,虛擬機(jī)C2可以單向訪問(wèn)主機(jī)B。
(3)主機(jī)(Host-Only)模式:在此模式下,VMware軟件虛擬出交換機(jī) Vmnet1。虛擬機(jī)只可以同 host主機(jī)和其它“主機(jī)模式”的虛擬機(jī)相互通信。在圖1中虛擬機(jī)C3可以和host主機(jī)A互相通信。
1.2 GNS3
GNS3是可以運(yùn)行在多個(gè)操作系統(tǒng)平臺(tái)之上的圖形化用戶界面網(wǎng)絡(luò)虛擬軟件[5]。GNS3能模擬思科路由、交換機(jī)、PIX防火墻、PC機(jī)等設(shè)備,為虛擬真實(shí)復(fù)雜的網(wǎng)絡(luò)環(huán)境提供基礎(chǔ)。
1.3 VMware與GNS3互聯(lián)
在網(wǎng)絡(luò)安全課程中的模擬環(huán)境較為復(fù)雜,虛擬機(jī)VMware它能夠很好地模擬網(wǎng)絡(luò)中的PC機(jī),而它提供Vmnet虛擬交換機(jī)只是該軟件內(nèi)部虛擬的,既沒(méi)法操作也沒(méi)法靈活配置,更不能模擬路由器和防火墻等網(wǎng)絡(luò)連接設(shè)備。GNS3能很好地模擬豐富的網(wǎng)絡(luò)連接設(shè)備,但是它用VPCs模擬的PC機(jī)只能和用戶通過(guò)簡(jiǎn)單的命令行方式進(jìn)行交互,不能滿足真實(shí)計(jì)算機(jī)的復(fù)雜操作。
圖1 虛擬機(jī)三種模式的網(wǎng)絡(luò)連接分析圖
在GNS3中交換機(jī)等網(wǎng)絡(luò)互聯(lián)設(shè)備無(wú)法直接連接虛擬機(jī)中的虛擬交換機(jī)或虛擬計(jì)算機(jī)。如何將虛擬機(jī)VMware與GNS3相結(jié)合起來(lái),仿真出真實(shí)復(fù)雜的網(wǎng)絡(luò)環(huán)境是虛擬化教學(xué)的關(guān)鍵。通過(guò)分析宿主機(jī)、GNS3軟件和VMware虛擬機(jī)軟件的連接原理,可以通過(guò)宿主機(jī)添加回環(huán)卡,將 VMnet虛擬交換機(jī)與回環(huán)卡相連,將GNS3虛擬的云設(shè)備連接到回環(huán)卡上,然后通過(guò)虛擬交換機(jī)連接虛擬計(jì)算機(jī)[6-8]。
1.4 網(wǎng)絡(luò)檢測(cè)分析工具
科來(lái)網(wǎng)絡(luò)分析系統(tǒng)、Sniffer軟件和WireShark軟件都是專業(yè)的通過(guò)抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)檢測(cè)、網(wǎng)絡(luò)協(xié)議分析的工具,它們都可以可實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)傳輸數(shù)據(jù),全面透視整個(gè)網(wǎng)絡(luò)的動(dòng)態(tài)信息。
以“WEB頁(yè)面信息安全課程”單元中黑客竊取頁(yè)面密碼過(guò)程為例,通過(guò)VMWare和GNS3軟件構(gòu)建虛擬仿真網(wǎng)絡(luò)環(huán)境,利用Sniffer軟件進(jìn)行抓包分析數(shù)據(jù)。整個(gè)網(wǎng)絡(luò)拓?fù)淙鐖D2所示。
圖2 WEB頁(yè)面信息安全課程實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D
2.1 實(shí)驗(yàn)環(huán)境
實(shí)驗(yàn)機(jī)器為聯(lián)想 Lenovo V480 20143,CPU:Intel Core3 i5-3210M,RAM:8G,硬盤:WDC 1TB,Windows 7旗艦版64位SP1。安裝了VMware Workstation 11.1.0,GNS3 1.3.1和Sniffer Pro 4.70.530英文版軟件。
2.2 虛擬設(shè)備環(huán)境配置
2.2.1 回環(huán)卡添加
(1)打開(kāi)宿主機(jī)win7操作系統(tǒng)中的控制面板/所有控制面板項(xiàng)/系統(tǒng)/設(shè)備管理器,選擇“操作”菜單/添加過(guò)時(shí)設(shè)備/手動(dòng)方式/網(wǎng)絡(luò)適配器,在“廠商”列表中選擇“Microsoft”,在“網(wǎng)絡(luò)適配器”列添加 Microsoft Loopback Adapter(回環(huán)卡 1) 和Microsoft Loopback Adapter#2(回環(huán)卡2)兩個(gè)回環(huán)卡。
(2)在控制面板/網(wǎng)絡(luò)和 Internet/網(wǎng)絡(luò)連接中將這兩個(gè)回環(huán)網(wǎng)卡分別重命名為:回環(huán)卡1和回環(huán)卡2。
2.2.2 設(shè)置虛擬機(jī)環(huán)境
在虛擬機(jī)中建立名稱為 Web服務(wù)器,客戶機(jī),黑客機(jī)三個(gè)虛擬機(jī)并打開(kāi)。在“編輯”菜單的“虛擬網(wǎng)絡(luò)編輯器”中設(shè)置虛擬機(jī)網(wǎng)絡(luò),新添加兩個(gè)的虛擬交換機(jī)(橋接模式):虛擬機(jī)VMnet10 連接Microsoft Loopback Adapter和虛擬機(jī)VMnet11連接Microsoft Loopback Adapter#2;網(wǎng)絡(luò)連接都設(shè)置為橋接方式,結(jié)果如圖3所示。
圖3 虛擬機(jī)網(wǎng)絡(luò)設(shè)置圖
2.2.3 構(gòu)建網(wǎng)絡(luò)環(huán)境
(1)在GNS3中添加如圖2所示設(shè)備(除去3臺(tái)PC機(jī)),并將其按圖示連接起來(lái),啟動(dòng)所有設(shè)備。如圖4所示,在Cloud1的Configure選項(xiàng)中添加連接回環(huán)卡1。同樣設(shè)置Cloud2連接回環(huán)卡2。
(2)在VMware虛擬機(jī)中添加Web服務(wù)器,客戶機(jī),黑客機(jī)三臺(tái)虛擬機(jī),并按表1分別設(shè)置各虛擬機(jī)網(wǎng)絡(luò)適配器的連接方式(都設(shè)置為自定義的橋接模式,按圖2所示連接到虛擬交換機(jī)VMnet10或VMnet11)、IP地址、子網(wǎng)掩碼及網(wǎng)關(guān)地址。
圖4 Cloud1連接回環(huán)卡1配置圖
2.2.4 配置路由器
在GNS3中,打開(kāi)虛擬的路由器設(shè)備,輸入以下命令配置端口地址:
en
conf t
int f0/0
ip add 60.0.0.1 255.0.0.0
no shut
end
en
conf t
int f0/1
ip add 192.168.11.1 255.255.255.0
no shut
end
2.3 構(gòu)建web服務(wù)器及配置Sniffer軟件
在 http服務(wù)器虛擬機(jī)上構(gòu)架 asp web服務(wù),將登錄網(wǎng)頁(yè)上傳。黑客機(jī)上安裝Sniffer軟件并進(jìn)行配置。打開(kāi)sniffer軟件,進(jìn)入Capture --〉 Define Filter中進(jìn)行配置。
(1)設(shè)置地址過(guò)濾:為獲取所有網(wǎng)內(nèi)邏輯地址之間的數(shù)據(jù),在address選項(xiàng)卡中Address設(shè)為IP,方向?yàn)閍ny-any。
(2)設(shè)置抓包類型:因?yàn)榫W(wǎng)頁(yè)數(shù)據(jù)包傳輸類型為 HTTP類型,在advanced選項(xiàng)卡中設(shè)置http,Packet type為normal,Packet size為all。
表1 虛擬機(jī)網(wǎng)絡(luò)參數(shù)設(shè)置表
(3)設(shè)置包內(nèi)數(shù)據(jù)類型:在Data Pattern 選項(xiàng)卡中,如圖5所示進(jìn)行設(shè)置:
a)為過(guò)濾出http類型包中的應(yīng)答包及快速傳輸數(shù)據(jù)(即PSH和ACK標(biāo)記位為1)的包,添加AND條件,將TCP的 Flags 標(biāo)記位設(shè)為 18, Offset為設(shè)2F。
b)過(guò)濾出訪問(wèn)目標(biāo)端口為80(http web頁(yè)面訪問(wèn)標(biāo)準(zhǔn)端口號(hào))的數(shù)據(jù);添加AND條件,將TCP的Destination port 設(shè)為80 , Offset設(shè)為24。
圖5 Sniffer 自定義過(guò)濾器模式設(shè)置圖
圖6 Sniffer抓包分析圖
2.4 攻擊實(shí)現(xiàn)與分析
設(shè)置完成后,在黑客機(jī)端啟動(dòng) capture按鈕。在客戶機(jī)上訪問(wèn)登錄頁(yè)面,輸入用戶名:“admin”和密碼:“zm123”并提交。在黑客機(jī)端停止Sniffer俘獲,在Sniffer中選擇encode選項(xiàng),就可以看到如圖6所示抓到的數(shù)據(jù)報(bào),在summry中找到類型為post的包,在包信息中可以看到usename和password后面就是剛才輸入的用戶名和密碼。
網(wǎng)絡(luò)虛擬化仿真軟件VMware和GNS3軟件相互配合使用可以構(gòu)建出復(fù)雜的網(wǎng)絡(luò)環(huán)境。實(shí)驗(yàn)證明,配合網(wǎng)絡(luò)分析工具等軟件,完全可以將其應(yīng)用于網(wǎng)絡(luò)安全課程教學(xué)實(shí)踐中。該方案具有可行性、靈活性和易操作性,為其他類似課程教學(xué)和實(shí)驗(yàn)實(shí)訓(xùn)提供了參考。
[1]遲國(guó)棟.淺談虛擬機(jī)技術(shù)在高職計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J].價(jià)值工程,2013.
[2]朱輝,劉北水,李暉,劉乃安.基于虛擬化技術(shù)的信息安全實(shí)驗(yàn)平臺(tái)開(kāi)發(fā)與應(yīng)用[J].武漢大學(xué)學(xué)報(bào):理學(xué)版,2012.
[3]賀惠萍,榮彥,張?zhí)m.虛擬機(jī)軟件在網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J].實(shí)驗(yàn)技術(shù)與管理,2011.
[4]VMware虛擬機(jī)三種網(wǎng)絡(luò)模式詳解[EB/OL].http://blog.csdn.net/noob_f/article/details/51099040/, 2016.
[5]曾剛.GNS3在網(wǎng)絡(luò)安全實(shí)踐教學(xué)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014.
[6]王鳳娥,溫高磊,霍杰標(biāo).基于Vmware與GNS3網(wǎng)絡(luò)仿真環(huán)境的搭建[J].科技視界,2015.
[7]龍艷軍,歐陽(yáng)建權(quán),俞佳曦.基于GNS3和VMware的虛擬網(wǎng)絡(luò)系統(tǒng)集成實(shí)驗(yàn)室研究[J].實(shí)驗(yàn)技術(shù)與管理,2013.
[8]顧春峰,李偉斌,蘭秀風(fēng).基于VMware、GNS3實(shí)現(xiàn)虛擬網(wǎng)絡(luò)實(shí)驗(yàn)室[J].實(shí)驗(yàn)室研究與探索,2012.
安徽省教學(xué)研究項(xiàng)目(2016mooc126);安徽省自然科學(xué)基金重點(diǎn)項(xiàng)目(KJ2016A159)。
網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2017年5期