- 相關(guān)推薦
淺談基于Openstack 的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)論文
1 云平臺(tái)網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)需求
近年來(lái),隨著多起安全相關(guān)事件在互聯(lián)網(wǎng)上曝光,網(wǎng)絡(luò)安全成為當(dāng)前技術(shù)研究熱點(diǎn),網(wǎng)絡(luò)安全課程和網(wǎng)絡(luò)安全競(jìng)賽也得到了更多的重視。
我們?cè)诰W(wǎng)絡(luò)安全課程的學(xué)習(xí)和網(wǎng)絡(luò)安全競(jìng)賽的訓(xùn)練過(guò)程中,做了大量網(wǎng)絡(luò)攻防方面的實(shí)驗(yàn),比較深切地感受到現(xiàn)有的網(wǎng)絡(luò)攻防實(shí)驗(yàn)手段的不足。
考慮到網(wǎng)絡(luò)攻防相關(guān)實(shí)驗(yàn)往往都帶有一定的破壞性,在真實(shí)網(wǎng)絡(luò)環(huán)境里進(jìn)行攻防實(shí)驗(yàn)還會(huì)遇到法律授權(quán)方面的麻煩,一般都是通過(guò)安裝VMware、Virtualbox 等模擬軟件構(gòu)建虛擬網(wǎng)絡(luò)環(huán)境去進(jìn)行攻防實(shí)驗(yàn)。
在自己計(jì)算機(jī)上架設(shè)虛擬機(jī)構(gòu)建網(wǎng)絡(luò)攻防環(huán)境方式的優(yōu)點(diǎn)是簡(jiǎn)單、廉價(jià)和靈活。但我們?cè)诰毩?xí)過(guò)程中也發(fā)現(xiàn),隨著學(xué)習(xí)內(nèi)容和人數(shù)的增多,會(huì)出現(xiàn)比較嚴(yán)重的管理問(wèn)題,例如出現(xiàn)越來(lái)越多的虛擬機(jī)鏡像和快照文件、越來(lái)越多的文檔資料等,時(shí)間一長(zhǎng)就容易遺忘,要搜索、準(zhǔn)備很長(zhǎng)時(shí)間才能進(jìn)行實(shí)驗(yàn)操作;另外,人數(shù)多了,還牽涉到文檔、軟件、攻防系統(tǒng)鏡像的分發(fā)和同步的問(wèn)題。很多網(wǎng)絡(luò)攻防實(shí)驗(yàn)的關(guān)鍵步驟其實(shí)并不多, 卻往往要耗費(fèi)大量的時(shí)間和精力做準(zhǔn)備和排錯(cuò)工作,大大降低了效率,更不容易進(jìn)行共享和更新工作。
經(jīng)考慮,我們準(zhǔn)備借助云計(jì)算技術(shù)來(lái)構(gòu)建網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)。云計(jì)算技術(shù)可以靈活地按需提供虛擬化、并行計(jì)算、網(wǎng)絡(luò)存儲(chǔ)和負(fù)載均衡等服務(wù),因此如果能把網(wǎng)絡(luò)攻防所需的各種工具軟件、攻擊機(jī)和靶機(jī)鏡像、操作指南等文檔資料統(tǒng)一安放到云平臺(tái)中,則可以極大地改進(jìn)管理工作。例如,可以省去本地安裝配置工作,只要有網(wǎng)絡(luò)隨時(shí)能用注冊(cè)賬號(hào)登錄到云平臺(tái)上做有操作權(quán)限的網(wǎng)絡(luò)攻防實(shí)驗(yàn);所有的技術(shù)文檔、操作指南等統(tǒng)一存儲(chǔ)在云平臺(tái),非常容易檢索;在攻防實(shí)驗(yàn)平臺(tái)的存儲(chǔ)空間、CPU 性能出現(xiàn)瓶頸時(shí),也非常容易進(jìn)行擴(kuò)充升級(jí)。
2 基于Openstack 云平臺(tái)的設(shè)計(jì)和實(shí)現(xiàn)
Openstack 是一個(gè)美國(guó)國(guó)家航空航天局和Rack space 合作研發(fā)的, 旨在為公共及私有云的建設(shè)與管理提供軟件的開(kāi)源項(xiàng)目。
Openstack 正處于高速發(fā)展和推廣應(yīng)用過(guò)程中, 目前已經(jīng)是各種公有云和私有云建設(shè)的主流方案。
基于Openstack 的云平臺(tái)部署非常靈活, 既可以只裝在單節(jié)點(diǎn)服務(wù)器上,也可以部署到大規(guī)模集群服務(wù)器組,經(jīng)綜合考量,我們使用兩臺(tái)服務(wù)器去實(shí)現(xiàn)網(wǎng)絡(luò)攻防實(shí)驗(yàn)用云平臺(tái),其中一臺(tái)服務(wù)器部署為控制節(jié)點(diǎn),另一臺(tái)部署為計(jì)算節(jié)點(diǎn),這也是目前廣泛使用的方案,足以應(yīng)付通常的實(shí)驗(yàn),以后如果有需求,可以再添加計(jì)算節(jié)點(diǎn)以提高性能。服務(wù)器可以只放在私有局域網(wǎng)中,也可以接入校園網(wǎng)提高公開(kāi)服務(wù),因此每臺(tái)服務(wù)器都裝上雙網(wǎng)卡,一塊連接到外網(wǎng),另一塊連接內(nèi)網(wǎng)。
設(shè)計(jì)的云平臺(tái)服務(wù)器使用操作系統(tǒng)CentOS Linux 6.4 版, 下載OpenStack 的Icehouse 版本進(jìn)行安裝配置, 根據(jù)Openstack 的官方安裝指導(dǎo),在控制節(jié)點(diǎn)先后安裝并配置Mysql、RabbitMQ、keystone、Nova、Neutron、Cinder、Glance、Horizon 和Apache 等服務(wù)項(xiàng)目,而在計(jì)算節(jié)點(diǎn)上只需安裝配置Nova 和Neutron。
Openstack 安裝完成后, 借助Dashboard 服務(wù)可以通過(guò)Web 界面登錄后進(jìn)行管理。
登錄進(jìn)入云平臺(tái)管理頁(yè)面后,即可非常便捷地進(jìn)行各種虛擬機(jī)鏡像的創(chuàng)建、上傳、配置、運(yùn)行、刪除等配置工作。這些虛擬機(jī)鏡像運(yùn)行后,借助VNC 等遠(yuǎn)程控制工具,可以讓多人同時(shí)通過(guò)網(wǎng)絡(luò)訪問(wèn),從而充分發(fā)揮云平臺(tái)的作用。
3 攻擊機(jī)和靶機(jī)的配置
在基于Openstack 的云平臺(tái)搭建好了以后, 為實(shí)現(xiàn)網(wǎng)絡(luò)攻防實(shí)驗(yàn)功能,主要任務(wù)就是創(chuàng)建足夠有用的攻擊機(jī)和靶機(jī)的虛擬機(jī)鏡像。
攻擊機(jī)的鏡像相對(duì)比較容易解決,我們首先制作了基于Windows操作系統(tǒng)的攻擊機(jī)鏡像,在系統(tǒng)中事先封裝了大量網(wǎng)絡(luò)安全滲透測(cè)試用工具,包括各種掃描工具、嗅探工具、加解密工具、遠(yuǎn)程滲透攻擊測(cè)試工具、動(dòng)態(tài)調(diào)試工具、靜態(tài)反編譯工具等等。其中最常見(jiàn)最有用的一些工具包括Metasploit 開(kāi)源安全漏洞測(cè)試工具、Nmap 掃描器、Wireshark 嗅探器、burpsuite 集成Web 滲透測(cè)試工具集、sqlmap 注入工具、Ollydbg 動(dòng)態(tài)調(diào)試器、IDA 反編譯工具等。
另外, 我們也制作了基于Kali 和Back Track 5 的攻擊機(jī)系統(tǒng)鏡像,它們都是開(kāi)源的Linux 系統(tǒng),已經(jīng)在系統(tǒng)中事先集成了大量有用的網(wǎng)絡(luò)安全測(cè)試工具,可以免去大量工具收集的繁瑣工作。
靶機(jī)的制作則相對(duì)比較麻煩,因?yàn)檫@不是簡(jiǎn)單安裝好操作系統(tǒng)和軟件就行了,還經(jīng)常需要自己在靶機(jī)上挖掘出或人為生成需要的某種安全漏洞以供攻擊機(jī)做網(wǎng)絡(luò)攻擊實(shí)驗(yàn)。我們首先自己制作了一些基于Windows 2000、Windows XP、Windows 2003、Windows 2003、Windows 7等操作系統(tǒng)的鏡像,都是沒(méi)有打足補(bǔ)丁留下系統(tǒng)漏洞用于系統(tǒng)攻擊測(cè)試, 然后我們還在一些Windows 鏡像中創(chuàng)建了各種基于ASP、ASP.NET、PHP 和JSP 技術(shù)的有已知漏洞的Web 網(wǎng)站用于Web 滲透測(cè)試。另外,我們下載了一些開(kāi)源免費(fèi)靶機(jī)資源,例如OWASP 組織發(fā)布的一些靶機(jī)鏡像資源。
4 網(wǎng)絡(luò)攻防平臺(tái)應(yīng)用和測(cè)試
為了更方便地使用和管理實(shí)驗(yàn)平臺(tái),我們另外編寫(xiě)并部署了一個(gè)管理網(wǎng)站,主要就是將云平臺(tái)中的各種虛擬機(jī)資源及各種網(wǎng)絡(luò)攻防實(shí)驗(yàn)所需的學(xué)習(xí)資料進(jìn)行了分類組織顯示。
事先獲取權(quán)限的網(wǎng)絡(luò)攻防練習(xí)者登錄到這個(gè)網(wǎng)站后,可以非常便利地查看學(xué)習(xí)資料, 更重要的是可以啟動(dòng)云平臺(tái)上各種虛擬機(jī)鏡像,從而實(shí)際連接到運(yùn)行中的攻擊機(jī)和靶機(jī)進(jìn)行各種攻防操作。
例如,在做通過(guò)弱密碼安全漏洞遠(yuǎn)程控制實(shí)驗(yàn)時(shí),練習(xí)者可以登錄到管理網(wǎng)站上,通過(guò)閱讀詳細(xì)學(xué)習(xí)資料理解了這個(gè)課題的相關(guān)背景知識(shí)后,按照操作指南,先連接到攻擊機(jī)上,打開(kāi)運(yùn)行Nmap 掃描器,掃描靶機(jī)開(kāi)放的端口服務(wù),并利用掃描腳本和自定義的字典文件掃描是否存在弱口令。
掃描結(jié)果是,發(fā)現(xiàn)靶機(jī)已經(jīng)開(kāi)放了3389 遠(yuǎn)程桌面服務(wù),而且通過(guò)字典掃描出了管理員administrator 的弱密碼5i9x。
然后在攻擊機(jī)上用遠(yuǎn)程登錄客戶端去連接靶機(jī)的遠(yuǎn)程桌面服務(wù),輸入掃描出的賬號(hào)和密碼, 即可以管理員權(quán)限輕松進(jìn)入靶機(jī)系統(tǒng),完成了本次滲透測(cè)試實(shí)驗(yàn)任務(wù)。
其他網(wǎng)絡(luò)攻防實(shí)驗(yàn)任務(wù)都可以用上述類似的方法進(jìn)行理論學(xué)習(xí)和實(shí)際操作練習(xí)。
通過(guò)在攻防平臺(tái)上的檢測(cè)發(fā)現(xiàn), 在同時(shí)練習(xí)人數(shù)不多的情況下,攻擊機(jī)和靶機(jī)的連接速度和運(yùn)行速度基本能夠滿足要求。
5 結(jié)論
用基于Openstack 技術(shù)構(gòu)建的云平臺(tái)可以顯著提高網(wǎng)絡(luò)安全,尤其是網(wǎng)絡(luò)攻防操作的學(xué)習(xí)效率,可以作為課程學(xué)習(xí)及競(jìng)賽培訓(xùn)的有益助手。當(dāng)然,目前云平臺(tái)上的網(wǎng)絡(luò)攻防系統(tǒng)遠(yuǎn)不夠成熟,存在標(biāo)準(zhǔn)不統(tǒng)一、界面不夠友好、制作繁瑣、很難支持大規(guī)模應(yīng)用等缺點(diǎn)。
【淺談基于Openstack 的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)論文】相關(guān)文章:
淺談眾籌融資企業(yè)實(shí)現(xiàn)平穩(wěn)運(yùn)營(yíng)模式論文07-30
淺談基于學(xué)習(xí)對(duì)象理論的教學(xué)資源庫(kù)研究的論文06-22
淺論FPGA的VGA漢字顯示系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)論文05-29
淺談病險(xiǎn)水庫(kù)大壩防滲加固設(shè)計(jì)論文04-14
可持續(xù)發(fā)展論文-淺談實(shí)現(xiàn)林業(yè)可持續(xù)發(fā)展的對(duì)策05-04
淺談城市規(guī)劃設(shè)計(jì)論文(通用10篇)04-26
淺談?dòng)⒄Z(yǔ)課堂導(dǎo)航問(wèn)題的優(yōu)化設(shè)計(jì)論文05-07