摘要： 虚拟技术在网络技术中的应用，主要涉及服务器的模拟、网络设备的模拟，这两者之间往往是各自独立，完成各自领域的任务，但在大型项目案例中，比如基于Internet的黑客入侵案例中，需要将这两者结合起来。该文探索了如何将网络设备虚拟技术与服务器虚拟技术进行融合，并以Internet环境的模拟和基于此环境的木马入侵为例，探究了虚拟技术的综合应用及网络安全中木马入侵与防范方法。

关键词：虚拟机；VMWare；GNS3；木马；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）15-3493-04

只有知道黑客是如何攻击和入侵的，网络管理员才能更好的维护好自己所管理的网络，对自己管理的网络做好安全防护，正所谓“知己知彼，方能百战不贻”。

运用虚拟技术，用一台电脑，就可模拟出Ineternet的环境并模拟多种木马入侵场景，从而提高网络管理员的安全防护技能；同时，也可改变网络安全相关课程的教学培训和实践困难的现状，提高教师的备课质量和学生的知识水平动手及实践能力。

1 在一台PC机中，通过虚拟技术模拟复杂的Internet环境

复杂的Internet环境中，存在着众多的网络互联设备、服务器和客户机等。采用虚拟技术软件VMWare 和GNS3，可分别用来模拟网络设备和主机。其中，VMWare可用来模拟服务器或客户机，在一台真机上，利用VMWare，可安装多个的Windows、Linux等操作系统，从而模拟出多台服务器或客户机；而GNS3则是采用真实路由器的IOS来模拟路由器的，模拟出来的路由器等设备的操作命令及功能与真实路由器一致。在同一台真机上，可同时安装VMWare和GNS3，并让它们虚拟出来的主机与网络设备实现互联。下面，对它们的用法进行分别介绍。

1.1 GNS3的用法

GNS3刚安装好后，先要进行相关配置，方法如下：

1）通过Edit/IOS images and hypervisors，选择路由器的IOS文件；

2）计算Idle PC。不合适的Idle PC值，会导致真机系统CPU占用率过大，甚至达100%，为了能正常使用，需要计算并选择合适的Idle PC值。方法是：在GNS3中，拖出一台路由器，右击运行，右击选“Idle PC”，系统会计算出一些Idle PC值，打“*”号的是系统推荐的值，要获得一个好的值需要在使用过程中反复尝试、不断调整。

1.2 VMWare的用法

VMWare安装好后，可通过操作系统安装盘的ISO文件，进行windows等各种操作系统的安装，安装完第一个操作系统，还可通过克隆等方式，快速生成多个操作系统，用于模拟多台客户机或服务器。VMWare的用法在笔者的文章《运用虚拟化技术模拟黑客入侵与防御》中有详细论述，此处不再赘述。

1.3 虚拟主机与虚拟网络设备的互联

对于大型项目案例，需要将虚拟服务器与虚拟网络设备连接起来，方法如下：

1） 默认情况下，能实现将一台虚拟的路由器与真机相连或与一台VMWare虚拟主机相连，若要模拟多个网络的环境，实现多个网络设备与多台虚拟主机相连，则需要在VMWare中，添加新的虚拟网络。方法是：打开VMWare，选择Edit/Virtual Network Edit...，选择“Add Network”，添加VMnet2、VMnet3等虚拟网络，然后重启真机使之生效。

2） 在VMWare中，将不同网络的主机连接到不同的VMnet。如：将一台路由器与一台主机通过虚拟网络VMnet1互联，步骤如下：

1）在VMWare中，启动PC1，将其连接到VMnet1。

2）启动GNS3，拖出一台路由器R1，一台主机C1。此主机C1将代表VMWare中的主机PC1。

3）在GNS3中，右击C1，选择“配置”，删除原有默认网卡，再选中VMnet1，点击“添加”。

4）在GNS3中，将R1与PC1连接到了网络VMnet1中。方法：选择手工连接；点击C1，选VMnet1；再点击R1，选f0/0。

5）在VMWaret中给主机PC1设置IP地址。

6）在GNS3中，启动R1，给R1的f0/0设置与PC1同网段的IP地址。

7）Ping测试，主机PC1能连通路由器R1。

1.4 用虚拟技术搭建Internet环境

规划如下：柳州A学院局域网两台主机、南宁B公司局域网一台主机、桂林市公网一台Web服务器。共涉及四台主机（或服务器）、三台路由器、一台交换机。拓扑结构如下：

搭建方法如下：

1）打开四个VMWare，启动四台PC机，PC1和PC2模拟柳州A学院局域网内的两台主机，PC3模拟南宁B公司局域网内的一台主机，PC4模拟桂林市公网上的一台Web服务器。将PC1～PC4分别连接到VMnet1～VMnet4。

2）打开GNS3，拖出三台路由器，四台主机，一台交换机，为R2添加一个模块NM-1FE-TX，GNS3中的C1～C4对应于VMWare中的PC1～PC4，将C1～C4的网卡分别设置为VMnet1～VMnet4。

3）在GNS3中，选择“手动连接”，按上图拓扑，将C1的VMnet1连接到SW1的1口，C2的VMnet2连接到SW1的2口，SW1的8口连接到R1的f0/1口，R1的f0/0口连接到R2的f0/0口，R2的f0/1口连接到R3的f0/0口，R3的f0/1口连接到C3的VMnet3，R2的f1/0连接到C4的VMnet4。

4）为R1的各端口设置IP地址、设置默认路由、设置NAT，使192.168.43.0网段的柳州A学院的计算机能访问外网，但外网不能访问内网。配置命令如下：

interface FastEthernet0/0

ip address 202.103.225.2 255.255.255.0

ip nat outside

interface FastEthernet0/1

ip address 192.168.43.1 255.255.255.0

ip nat inside

ip route 0.0.0.0 0.0.0.0 202.103.225.1

access-list 1 permit 192.168.43.0 0.0.0.255

ip nat inside source list 1 interface FastEthernet0/0 overload

5）为R2的各端口设置IP地址。配置命令如下：

int f0/0

ip add 202.103.225.1 255.255.255.0

int f0/1

ip add 202.103.224.1 255.255.255.0

int f1/0

ip add 202.103.210.1 255.255.255.0

6）为R3的各端口设置IP地址、设置默认路由、设置NAT，使192.168.1.0网段的南宁B公司内部的计算机能访问外网，但外网不能访问内网。配置命令如下：

int f0/0

ip add 202.103.224.2 255.255.255.0

ip nat outside

int f0/1

ip add 192.168.1.1 255.255.255.0

ip nat inside

ip route 0.0.0.0 0.0.0.0 202.103.224.1

access-list 1 permit 192.168.1.0 0.0.0.255

ip nat inside source list 1 interface f0/0 overload

7）在VMWare中，配置各主机的IP地址、缺省网关。为服务器安装Web服务。完成后，柳州A学院内网计算机和南宁B公司内网的计算机互相间不能访问，但都能访问桂林公网上的Web服务器，公网上的Web服务器不能访问内网。

2 模拟木马入侵

根据前面搭建好的Internet环境，可进一步模拟木马入侵。公网服务器入侵内网计算机已在笔者的文章《运用虚拟化技术模拟黑客入侵与防御》中详细论述，该文重点探讨利用局域网内部计算机通过网页挂马的形式分别入侵同一局域网中的计算机，入侵不同局域网中的计算机以及公网中的服务器。

2.1 局域网内部的入侵

以黑客在柳州A学院局域网内部通过C1入侵C2为例，步骤如下：

1）搭建黑客网站。在VMWare的PC1上，搭建黑客网站www.heike.com，黑客将通过网页挂马的形式，供受害者浏览，受害者一旦浏览，将会中毒受控。

2）在PC1和PC2上，编辑hosts文件，将www.heike.com解析为192.168.43.2，即黑客网站所在计算机的IP地址。

3）生成木马服务器端。在PC1上，启动灰鸽子客户端，点击“配置服务程序”，将服务程序IP地址或域名设置为：“www.heike.com”，点击“生成服务器”，生成server.exe。生成的木马服务器端将由黑客通过网页挂马、电子邮件、捆绑到游戏中等形式，引诱受害者浏览或下载运行。本例中，通过网页挂马的形式发布木马病毒。

4）生成挂马首页。在PC1上，将灰鸽子服务端server.exe复制到黑客网站根目录；运行网马生成器，输入网页木马路径：http：//www.heike.com/server.exe，生成网马文件，将网马文件重命名为default.htm，复制到黑客网站根目录。

5）控制受害者。在PC2上浏览黑客网站，片刻后，PC1上的灰鸽子客户端会发现PC2上线，从而黑客可在PC1上控制受害者PC2。这是因为，一旦受害者浏览挂马网站，木马服务器端就会自动下载到受害者的计算机上运行，然后主动连接到黑客所在的木马客户端。这一切都是在受害者毫不知情的情况下发生的，而木马服务端还会将自己设置成开机加载，就算受害者重启计算机，仍然会被控。

2.2 在前面配置的基础上，黑客还可进一步入侵公网或其它局域网上的计算机

下面，以黑客在柳州A学院局域网内部的C1入侵桂林市公网上的Web服务器C4、入侵南宁B公司局域网内部的C3为例。

1）外网是不能访问内网的，如何使外网和其它局域网能访问黑客所在局域网内部的挂马网站呢？这需要黑客有权限配置所在局域网的网关R1，将挂马网站的IP地址进行NAT端口映射，此处要映射的是80端口，也就是http协议使用的端口。命令如下：

ip nat inside source static tcp 192.168.43.2 80 interface f0/0 80

若黑客是在家中通过宽带路由上网，因为每次上网，黑客计算机获得的公网IP地址都有可能不一样，因此需要通过申请动态域名，利用花生壳之类的软件将黑客网站与动态域名捆绑，获得动态域名的支持，再进一步通过宽带路由器的图形界面，设置NAT端口映射。

2）以上配置完成后，外网或其它局域网用户访问黑客网站所用的IP地址不再是黑客所在局域网的内网地址192.168.43.2，而是网关连接外网接口的地址，也就是202.103.225.2，因此，需在PC3、PC4上，编辑hosts文件，将www.heike.com解析为202.103.225.2。

此时，PC3、PC4都可以通过域名“www.heike.com”访问PC1上的黑客网站，但受害者计算机上的木马服务端主动联系的是202.103.225.2的8000端口，此端口还未与192.168.43.2作NAT端口映射，所以黑客还无法控制PC3、PC4。

3）为使外网和其它局域网中毒的计算机能被PC1上的灰鸽子客户端控制，黑客还要配置R1，将黑客网站的内网IP地址与外网接口进行8000端口的NAT映射，命令如下：

ip nat inside source static tcp 192.168.43.2 8000 interface f0/0 8000

通过以上配置，黑客不仅可控制同一局域网内的计算机PC2，还能控制不同局域网内的计算机PC3和公网服务器PC4。

通过以上演示，网络管理员可以清楚了解到黑客是如何通过木马达到入侵目的的，网络管理员进一步需要及时更新系统，添加防火墙、安装杀毒软件的方式加强防护。GNS3不但支持路由器、交换机等网络互联设备的模拟，也支持ASA等硬件防火墙的模拟；在VMWare支持的操作系统上，也可安装软件防火墙、部署杀毒软件、安装入侵检测系统。因此，充分运用这两种虚拟技术，可以很好的提高管理员的安全防护能力。

参考文献

[1] 阿博泰克.构建大型企业网络[M].北京：科学技术文献出版社：2009

[2] 秦燊，劳翠金.运用虚拟化技术模拟黑客入侵与防御[J].电脑知识与技术，2011（23）.

[3] 秦燊.通过虚拟机探讨网络隐身及木马攻击[J].硅谷，2012（12）.