虛擬化仿真在網(wǎng)絡(luò)安全課程教學(xué)中的應(yīng)用研究

◆溫海波

(安徽交通職業(yè)技術(shù)學(xué)院 安徽 230051)

虛擬化仿真在網(wǎng)絡(luò)安全課程教學(xué)中的應(yīng)用研究

◆溫海波

(安徽交通職業(yè)技術(shù)學(xué)院 安徽 230051)

在網(wǎng)絡(luò)安全課程虛擬化仿真教學(xué)中，如何搭建復(fù)雜的虛擬化網(wǎng)絡(luò)工程環(huán)境，如何進(jìn)行教學(xué)過(guò)程設(shè)計(jì)是課程教學(xué)的關(guān)鍵點(diǎn)。本文通過(guò)分析VMware、GNS3、sniffer等虛擬化軟件的基本原理，詳述各軟件配置及相互配合，并研究了VMware虛擬機(jī)與GNS3虛擬的網(wǎng)絡(luò)設(shè)備互聯(lián)的關(guān)鍵技術(shù)。最后以“WEB頁(yè)面信息安全課程單元”為例，介紹了虛擬化仿真技術(shù)在網(wǎng)絡(luò)安全實(shí)例教學(xué)中的設(shè)計(jì)和實(shí)現(xiàn)。

虛擬機(jī)；網(wǎng)絡(luò)安全；課程教學(xué)；VMware；GNS3

0 引言

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，尤其在互聯(lián)網(wǎng)+，大數(shù)據(jù)、云計(jì)算的時(shí)代背景下，網(wǎng)絡(luò)安全日益受到重視。各高校計(jì)算機(jī)及相關(guān)專業(yè)已開(kāi)設(shè)網(wǎng)絡(luò)安全等課程，這門課程實(shí)踐性很強(qiáng)，在教學(xué)中往往遇到一些問(wèn)題：（1）相關(guān)教學(xué)設(shè)備較為昂貴，很難做到每個(gè)學(xué)生都能使用；（2）由于設(shè)備實(shí)際配置數(shù)量有限，通常是分組教學(xué)，教學(xué)效果不理想；（3）網(wǎng)絡(luò)安全課程內(nèi)容更新較快，需要設(shè)備也要隨之更新。將虛擬化仿真技術(shù)應(yīng)用于網(wǎng)絡(luò)安全課程中，可以實(shí)現(xiàn)情景化教學(xué)需求，同時(shí)大大降低教學(xué)中所需軟硬件成本，滿足該課程教學(xué)的必備環(huán)境[1-3]。

1 虛擬化仿真軟件

目前虛擬系統(tǒng)軟件主要有VMware、Virtual PC等軟件；網(wǎng)絡(luò)模擬器軟件有思科的 Packet Tracer，GNS3等軟件以及華三的LITO，eNSP等軟件；網(wǎng)絡(luò)檢測(cè)分析工具軟件有科來(lái)、Sniffer和WireShark等軟件。

1.1 虛擬機(jī)VMware

虛擬機(jī)VMware軟件可以在宿主機(jī)上模擬多臺(tái)不同操作系統(tǒng)的虛擬計(jì)算機(jī)，為組建網(wǎng)絡(luò)提供計(jì)算機(jī)平臺(tái)。VMWare軟件是一款功能強(qiáng)大的虛擬機(jī)軟件，可以模擬工作站和服務(wù)器平臺(tái)，以及支持平臺(tái)上大部分設(shè)備的功能。

VMware具備三種工作模式[4]，具體描述和網(wǎng)絡(luò)連接如下所示。

（1）橋接(Bridged)模式：在此模式下，VMware軟件虛擬出交換機(jī)Vmnet0。該虛擬機(jī)相當(dāng)于和host主機(jī)同處在局域網(wǎng)中的一臺(tái)主機(jī)，有該局域網(wǎng)下的獨(dú)立IP地址。在圖1中host主機(jī)A、主機(jī)B和虛擬機(jī)C1之間可相互通信。

（2）NAT模式：在此模式下，VMware軟件虛擬出交換機(jī)Vmnet8。虛擬機(jī)可以與host主機(jī)和其它“NAT模式”的虛擬機(jī)相互通信，但只能單向訪問(wèn)與 host主機(jī)在同一局域網(wǎng)中的其他計(jì)算機(jī)，不可反向訪問(wèn)。在圖1中虛擬機(jī)C2可以和主機(jī)A互相通信，虛擬機(jī)C2可以單向訪問(wèn)主機(jī)B。

（3）主機(jī)(Host-Only)模式：在此模式下，VMware軟件虛擬出交換機(jī) Vmnet1。虛擬機(jī)只可以同 host主機(jī)和其它“主機(jī)模式”的虛擬機(jī)相互通信。在圖1中虛擬機(jī)C3可以和host主機(jī)A互相通信。

1.2 GNS3

GNS3是可以運(yùn)行在多個(gè)操作系統(tǒng)平臺(tái)之上的圖形化用戶界面網(wǎng)絡(luò)虛擬軟件[5]。GNS3能模擬思科路由、交換機(jī)、PIX防火墻、PC機(jī)等設(shè)備，為虛擬真實(shí)復(fù)雜的網(wǎng)絡(luò)環(huán)境提供基礎(chǔ)。

1.3 VMware與GNS3互聯(lián)

在網(wǎng)絡(luò)安全課程中的模擬環(huán)境較為復(fù)雜，虛擬機(jī)VMware它能夠很好地模擬網(wǎng)絡(luò)中的PC機(jī)，而它提供Vmnet虛擬交換機(jī)只是該軟件內(nèi)部虛擬的，既沒(méi)法操作也沒(méi)法靈活配置，更不能模擬路由器和防火墻等網(wǎng)絡(luò)連接設(shè)備。GNS3能很好地模擬豐富的網(wǎng)絡(luò)連接設(shè)備，但是它用VPCs模擬的PC機(jī)只能和用戶通過(guò)簡(jiǎn)單的命令行方式進(jìn)行交互，不能滿足真實(shí)計(jì)算機(jī)的復(fù)雜操作。

圖1 虛擬機(jī)三種模式的網(wǎng)絡(luò)連接分析圖

在GNS3中交換機(jī)等網(wǎng)絡(luò)互聯(lián)設(shè)備無(wú)法直接連接虛擬機(jī)中的虛擬交換機(jī)或虛擬計(jì)算機(jī)。如何將虛擬機(jī)VMware與GNS3相結(jié)合起來(lái)，仿真出真實(shí)復(fù)雜的網(wǎng)絡(luò)環(huán)境是虛擬化教學(xué)的關(guān)鍵。通過(guò)分析宿主機(jī)、GNS3軟件和VMware虛擬機(jī)軟件的連接原理，可以通過(guò)宿主機(jī)添加回環(huán)卡，將 VMnet虛擬交換機(jī)與回環(huán)卡相連，將GNS3虛擬的云設(shè)備連接到回環(huán)卡上，然后通過(guò)虛擬交換機(jī)連接虛擬計(jì)算機(jī)[6-8]。

1.4 網(wǎng)絡(luò)檢測(cè)分析工具

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)、Sniffer軟件和WireShark軟件都是專業(yè)的通過(guò)抓取網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)檢測(cè)、網(wǎng)絡(luò)協(xié)議分析的工具，它們都可以可實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)傳輸數(shù)據(jù)，全面透視整個(gè)網(wǎng)絡(luò)的動(dòng)態(tài)信息。

2 課程實(shí)驗(yàn)

以“WEB頁(yè)面信息安全課程”單元中黑客竊取頁(yè)面密碼過(guò)程為例，通過(guò)VMWare和GNS3軟件構(gòu)建虛擬仿真網(wǎng)絡(luò)環(huán)境，利用Sniffer軟件進(jìn)行抓包分析數(shù)據(jù)。整個(gè)網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

圖2 WEB頁(yè)面信息安全課程實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D

2.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)機(jī)器為聯(lián)想 Lenovo V480 20143，CPU：Intel Core3 i5-3210M，RAM：8G，硬盤：WDC 1TB，Windows 7旗艦版64位SP1。安裝了VMware Workstation 11.1.0，GNS3 1.3.1和Sniffer Pro 4.70.530英文版軟件。

2.2 虛擬設(shè)備環(huán)境配置

2.2.1 回環(huán)卡添加

（1）打開(kāi)宿主機(jī)win7操作系統(tǒng)中的控制面板/所有控制面板項(xiàng)/系統(tǒng)/設(shè)備管理器，選擇“操作”菜單/添加過(guò)時(shí)設(shè)備/手動(dòng)方式/網(wǎng)絡(luò)適配器，在“廠商”列表中選擇“Microsoft”，在“網(wǎng)絡(luò)適配器”列添加 Microsoft Loopback Adapter（回環(huán)卡 1） 和Microsoft Loopback Adapter#2（回環(huán)卡2）兩個(gè)回環(huán)卡。

（2）在控制面板/網(wǎng)絡(luò)和 Internet/網(wǎng)絡(luò)連接中將這兩個(gè)回環(huán)網(wǎng)卡分別重命名為：回環(huán)卡1和回環(huán)卡2。

2.2.2 設(shè)置虛擬機(jī)環(huán)境

在虛擬機(jī)中建立名稱為 Web服務(wù)器，客戶機(jī)，黑客機(jī)三個(gè)虛擬機(jī)并打開(kāi)。在“編輯”菜單的“虛擬網(wǎng)絡(luò)編輯器”中設(shè)置虛擬機(jī)網(wǎng)絡(luò)，新添加兩個(gè)的虛擬交換機(jī)（橋接模式）：虛擬機(jī)VMnet10 連接Microsoft Loopback Adapter和虛擬機(jī)VMnet11連接Microsoft Loopback Adapter#2；網(wǎng)絡(luò)連接都設(shè)置為橋接方式，結(jié)果如圖3所示。

圖3 虛擬機(jī)網(wǎng)絡(luò)設(shè)置圖

2.2.3 構(gòu)建網(wǎng)絡(luò)環(huán)境

（1）在GNS3中添加如圖2所示設(shè)備（除去3臺(tái)PC機(jī)），并將其按圖示連接起來(lái)，啟動(dòng)所有設(shè)備。如圖4所示，在Cloud1的Configure選項(xiàng)中添加連接回環(huán)卡1。同樣設(shè)置Cloud2連接回環(huán)卡2。

（2）在VMware虛擬機(jī)中添加Web服務(wù)器，客戶機(jī)，黑客機(jī)三臺(tái)虛擬機(jī)，并按表1分別設(shè)置各虛擬機(jī)網(wǎng)絡(luò)適配器的連接方式（都設(shè)置為自定義的橋接模式，按圖2所示連接到虛擬交換機(jī)VMnet10或VMnet11）、IP地址、子網(wǎng)掩碼及網(wǎng)關(guān)地址。

圖4 Cloud1連接回環(huán)卡1配置圖

2.2.4 配置路由器

在GNS3中，打開(kāi)虛擬的路由器設(shè)備，輸入以下命令配置端口地址：

en

conf t

int f0/0

ip add 60.0.0.1 255.0.0.0

no shut

end

en

conf t

int f0/1

ip add 192.168.11.1 255.255.255.0

no shut

end

2.3 構(gòu)建web服務(wù)器及配置Sniffer軟件

在 http服務(wù)器虛擬機(jī)上構(gòu)架 asp web服務(wù)，將登錄網(wǎng)頁(yè)上傳。黑客機(jī)上安裝Sniffer軟件并進(jìn)行配置。打開(kāi)sniffer軟件，進(jìn)入Capture --〉 Define Filter中進(jìn)行配置。

（1）設(shè)置地址過(guò)濾：為獲取所有網(wǎng)內(nèi)邏輯地址之間的數(shù)據(jù)，在address選項(xiàng)卡中Address設(shè)為IP，方向?yàn)閍ny-any。

（2）設(shè)置抓包類型：因?yàn)榫W(wǎng)頁(yè)數(shù)據(jù)包傳輸類型為 HTTP類型，在advanced選項(xiàng)卡中設(shè)置http，Packet type為normal，Packet size為all。

表1 虛擬機(jī)網(wǎng)絡(luò)參數(shù)設(shè)置表

（3）設(shè)置包內(nèi)數(shù)據(jù)類型：在Data Pattern 選項(xiàng)卡中，如圖5所示進(jìn)行設(shè)置：

a）為過(guò)濾出http類型包中的應(yīng)答包及快速傳輸數(shù)據(jù)（即PSH和ACK標(biāo)記位為1）的包，添加AND條件，將TCP的 Flags 標(biāo)記位設(shè)為 18， Offset為設(shè)2F。

b）過(guò)濾出訪問(wèn)目標(biāo)端口為80（http web頁(yè)面訪問(wèn)標(biāo)準(zhǔn)端口號(hào)）的數(shù)據(jù)；添加AND條件，將TCP的Destination port 設(shè)為80 ， Offset設(shè)為24。

圖5 Sniffer 自定義過(guò)濾器模式設(shè)置圖

圖6 Sniffer抓包分析圖

2.4 攻擊實(shí)現(xiàn)與分析

設(shè)置完成后，在黑客機(jī)端啟動(dòng) capture按鈕。在客戶機(jī)上訪問(wèn)登錄頁(yè)面，輸入用戶名：“admin”和密碼：“zm123”并提交。在黑客機(jī)端停止Sniffer俘獲，在Sniffer中選擇encode選項(xiàng)，就可以看到如圖6所示抓到的數(shù)據(jù)報(bào)，在summry中找到類型為post的包，在包信息中可以看到usename和password后面就是剛才輸入的用戶名和密碼。

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)虛擬化仿真軟件VMware和GNS3軟件相互配合使用可以構(gòu)建出復(fù)雜的網(wǎng)絡(luò)環(huán)境。實(shí)驗(yàn)證明，配合網(wǎng)絡(luò)分析工具等軟件，完全可以將其應(yīng)用于網(wǎng)絡(luò)安全課程教學(xué)實(shí)踐中。該方案具有可行性、靈活性和易操作性，為其他類似課程教學(xué)和實(shí)驗(yàn)實(shí)訓(xùn)提供了參考。

[1]遲國(guó)棟．淺談虛擬機(jī)技術(shù)在高職計(jì)算機(jī)網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J]．價(jià)值工程，2013．

[2]朱輝，劉北水，李暉，劉乃安．基于虛擬化技術(shù)的信息安全實(shí)驗(yàn)平臺(tái)開(kāi)發(fā)與應(yīng)用[J]．武漢大學(xué)學(xué)報(bào)：理學(xué)版，2012．

[3]賀惠萍，榮彥，張?zhí)m．虛擬機(jī)軟件在網(wǎng)絡(luò)安全教學(xué)中的應(yīng)用[J]．實(shí)驗(yàn)技術(shù)與管理，2011．

[4]VMware虛擬機(jī)三種網(wǎng)絡(luò)模式詳解[EB/OL]．http：//blog．csdn．net/noob_f/article/details/51099040/， 2016．

[5]曾剛．GNS3在網(wǎng)絡(luò)安全實(shí)踐教學(xué)中的應(yīng)用[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014．

[6]王鳳娥，溫高磊，霍杰標(biāo)．基于Vmware與GNS3網(wǎng)絡(luò)仿真環(huán)境的搭建[J]．科技視界，2015．

[7]龍艷軍，歐陽(yáng)建權(quán)，俞佳曦．基于GNS3和VMware的虛擬網(wǎng)絡(luò)系統(tǒng)集成實(shí)驗(yàn)室研究[J]．實(shí)驗(yàn)技術(shù)與管理，2013．

[8]顧春峰，李偉斌，蘭秀風(fēng)．基于VMware、GNS3實(shí)現(xiàn)虛擬網(wǎng)絡(luò)實(shí)驗(yàn)室[J]．實(shí)驗(yàn)室研究與探索，2012．

安徽省教學(xué)研究項(xiàng)目(2016mooc126)；安徽省自然科學(xué)基金重點(diǎn)項(xiàng)目（KJ2016A159）。