基于VMWare的网络安全实验设计
2016-01-18盘炜生
盘炜生
摘要:计算机网络安全实验课程的特殊性使建立网络安全环境比较困难,提出运用VMWare创建虚拟机搭建网络安全虚拟实验网络的方案。根据虚拟机的特点、网络连接模式,以及网络安全课程实验项目,详细地给出实验案例DoS/DDoS攻击和防范在虚拟网络环境中的实现过程。实践证明,运用VMWare建立的网络安全虚拟网络和真实网络环境的步骤、界面、系统响应是一致的,能满足网络安全实验的教学需求,教学效果良好。
关键词:VMWare;网络安全;虚拟机
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)33-0021-02
Network Security Design of Experiment Based on VMWare
PAN Wei-sheng
(Education Technology and Computer Center ,Zhao Qing University, Zhaoqing 526061, China)
Abstract: The particularity of computer network security experiment makes building network security environment has become more difficult. We use the VMWare to create a virtual machine to build virtual experiment network of network security. According to the characteristics of the virtual machine and network connection mode, as well as the network security course experiment project, Test case is given in detail of the DoS/DDoS attack and guard against implementation process in virtual network environment. Practice has proved that using VMWare to establish the virtual network of network security , its operational steps, interface, system response is consistent to the real network environment .Also its can satisfy the need of network security experiment teaching, and the teaching effect is good.
Key words: VMWare;network security;virtual machine
随着互联网的迅速普及,网络应用越来越深入地渗透到人们生活之中。然而互联网在给人们带来极大的便利的同时,网络安全问题也越来越严重[1-2]。因此网络安全也就成为社会现代化以及国家信息化的核心内容之一。为适应社会需要,目前国内高校的计算机专业都设置了网络安全课程。然而由于网络安全教学实验需要专门的硬件测试设备和设置复杂的实验步骤,而且网络安全实验对主机系统、所在的局域网系统、校园网都有一定的破坏性和危害性,如果主机或网络系统被破坏,将会造成难以预测的后果。另外如果建设专业的网络安全实验室,由需要投入较大资金,技术要求高,而且只为少数几门网络课程所使用,导致利用率很低。因此,引入虚拟机技术搭建网络安全实验平台,以保证网络安全教学的顺利进行,显得非常必要[3]。
1 VMWare虚拟机技术
1.1 虚拟机
虚拟机就是以软件虚拟机的方法把一台物理电脑的硬盘和内存虚拟出若干台电脑主机,这些主机都拥有各自独立的芯片和内存、硬盘、网卡,可以像真正的计算机那样运行,如用户可以在其中安装Windows、Linux、Unix等操作系统,安装各种应用程序,访问网络空间资源,如同真正的计算机一样[4]。
1.2 VMWare虚拟软件
VMWare WorkStation是美国VMWare公司研发的虚拟机软件,操作简单,功能强大,是目前主流的虚拟机软件,也是个人桌面虚拟化的首要选择[5]。VMWare可以非常方便地构建不同操作系统的虚拟机,例如在宿主机上可以建立Windows、Linux、Mac等虚拟机。因此VMWware虚拟机可以很好地满足网络安全实验教学的需求。在VMWare中,可以同时运行多个虚拟机,不同的虚拟机系统之间可以很方便通过窗口切换;同时还提供快照功能以保存虚拟机当前的工作状态,并能快速从快照状态恢复回工作状态,这为迅速进入和退出虚拟机提供极大的方便。克隆功能由可以快速地制作已安装和完成配置的虚拟机副本、节省存储空间。此外,VMWare还可以在宿主机和各个虚拟机之间建立异构的局域网,从而方便网络应用的开发和测试。这些使得VMWare成为构建虚拟网络安全实验环境的理想选择[6]。
2 虚拟实验环境的构建过程
2.1 建立虚拟机
本文采用VMWare Workstation 8.0 搭建网络安全实验的虚拟环境。VMWare Workstation 8.0体积较小,技术成熟,对系统的硬件配置要求不高,支持目前市场上多种流行操作系统的虚拟机构建。在计算机实验室的主机上先安装VMWare软件,然后建立用于网络安全实验所需要的虚拟机,同时在虚拟机中安装相应的网络安全实验所需软件。为方便学生在进入实验至后能迅速地进行实验,将安装好的虚拟机文件存放于服务器中,其中可包含Windows操作系统的虚拟机和Linux操作系统的虚拟机,学生只需要将所需要虚拟机文件从服务器下载至本机中,然后再作一些网络IP设置就可以进行实验。
2.2 虚拟机网络配置
VMWare创建的虚拟机需要配置网络,才能与其他虚拟机或宿主机组建网络进行网络安全实验。运行VMWare的电脑主机称为宿主机。VMWare为虚拟机提供三种网络工作模式:桥接模式(Bridged)、网络地址转换模式(NAT)、主机模式(Host-only)。进行网络配置后,虚拟机可以访问网络中其他计算机的资源。
在桥接模式下,虚拟机是与宿主机一样相互独立,如同连接同一交换机的两台主机。桥接模式是VMWare创建虚拟机的默认方式,也是最简单的方式。
在NAT模式中,宿主机与虚拟机通过VMnet8虚拟网卡进行连接,双方在同一网段进行通信。虚拟机系统中的IP配置由VMnet8虚拟网中的DHCP服务器完成配置,不需要人工参与。但要注意的是,此模式下模拟机不能与其他宿主机相互访问。
对于Host-only模式,宿主机和虚拟机系统之间是通过虚拟交换机VMnet1进行的,虚拟机只能访问其他宿主机的虚拟机,而不能与其他宿主机进行通信。
综上所述,桥接模式是最适合于建立网络安全虚拟实验网的,因为宿主机与虚拟机处于同一网段,便于组建局域网进行网络攻防等实验。
3 虚拟网络安全实验设计
3.1实验项目设计
网络安全教学的目的在于使学生能全面掌握计算机网络安全基础知识,培养学生熟悉地操作计算机进行网络防御的能力,以及运用相关技术对网络系统进行安全配置和防护的能力。而采用虚拟机系统进行网络安全实验,可以构建虚拟的实验教学平台以确保网络安全各种实验的顺利进行。基于这些考虑,我们设计的实验项目如下:
表1 网络安全实验项目表
[序号\&实验名称\&1\&ping和arp命令的使用\&2\&nslookup、tracert和netstat命令的使用\&3\&windump和流量分析\&4\&使用Sniffer工具嗅探\&5\&网络端口扫描\&6\&综合扫描及安全评估\&7\&帐号口令破解\&8\&木马攻击与防范\&9\&DoS/DDoS攻击与防范\&10\&古典密码算法\&11\&对称密码算法DES\&12\&非对称密码算法RSA\&13\&缓冲区溢出攻击与防范\&14\&防火墙\&15\&入侵检测系统\&16\&病毒防范\&]
为方便读者理解在虚拟网如何进行网络安全实验,下面给出一个有代表性的案例。
3.2 案例:DoS/DDoS攻击与防范
DoS/DDoS攻击上网络上的常见攻击技术,它利用TCP/IP协议的缺陷,运用欺骗策略对网络发起攻击,导致目标主机资源被全部耗尽而无法处理正常用户的请求,对外表现为拒绝服务。本案例在模拟机中采用黑客工具TFN2K[7]对一台主机发起攻击,虚拟机网络拓扑结构如图1所示。其中攻击者端、两个主控端均安装Redhat Linux 9.0,三者IP分别为172.25.31.101、172.25.31.201、172.25.31.202;而被攻击者端安装Windows XP,设置IP为172.25.31.1。实验步骤如下:
1)在攻击者端执行make命令对行情TFN2K进行编译,输入控制密码并记牢,如果编译通过,同时生成tfn和td。
2)将td上传至两台主控端虚拟机中,并在两台主控端中分别执行td,在后台运行,等待接收来自攻击者命令。
3)在攻击者端建立文本文件host.txt,内容为两台主控端虚拟机的IP。
4)在攻击者端的终端中输入以下命令
tfn -f host.txt -c -5 -i 172.25.31.1
这样攻击者端就向两台主控端发出命令,要求它们对目标主机发起SYN flood攻击。
5)在目标主机上打开任务管理器,观察CPU的使用情况。
4 结束语
运用VMware建立网络安全虚拟实验网络,在现有计算机实验室就能够建立网络安全实验环境,既升级了实验环境,又节省了资金投入。所建立的虚拟实验络与真实的网络相比较,无论窗口界面,还是操作步骤、命令响应都是一样的,不仅可以多次无损地重复进行,之前由于设备数量所限而无法实现的内容,现在也可以很容易地实现。在虚拟网络中学生能按自己的想法大胆尝试,无需担心实验环境被破坏,能调动学生的学习积极性和提高学生的创造能力。另外,在虚拟网络中进行网络安全实验教学,在提高实验教学效果的同时又促进理论教学, 保证了网络安全教学内容的广度和深度,有效地提高学生的学习兴趣和课程的教学质量。我校的计算机专业采用此方案进行网络安全实验教学,取得了良好的教学效果。
参考文献:
[1] 石志国.计算机网络安全教程[M]2版.北京:清华大学出版社,2012.
[2] 李剑.信息安全概论[M].北京:机械工业出版社,2009.
[3] 黄晓华.软件还原与虚拟机技术在计算机实验教学中的应用[J].软件导刊,2014,13(10):194-196.
[4] 李玉峰,王睿.在虚拟机下搭建网络安全课程教学平台[J].内蒙古农业大学学报,2010,31(3):277-281.
[5] Ferrari M. Release: VMware Workstation 9[J]. Red, 2015.
[6] 贾美娟,介龙梅,程晓旭.虚拟机技术在计算机安全技术实验教学中的应用[J].计算机教育,2012,12:82-85 .
[7] Wang Y, Jiang H, Liu Z, et al. A CRF-Based Method for DDoS Attack Detection[C]//Proceedings of the 4th International Conference on Computer Engineering and Networks. Springer International Publishing, 2015: 81-87.