俞海

摘 要： 计算机网络安全教学面临许多困难，如：课时少，教学任务重；网络安全实践的对抗性极强，多数实验破坏性大；网络安全的虚拟仿真主要针对网络协议和网络设备，而对网络攻击和防御过程的场景仿真及分析存在很大的局限性。文章利用虚拟机软件VMware对网络安全的场景进行仿真，并通过Wireshark软件对网络安全场景的仿真做进一步分析，从而达到提高计算机网络安全教学效率的目的。文章以一个攻击过程为例，说明网络安全场景仿真及分析在教学中的应用。

关键词： VMware； Wireshark； 场景仿真； 网络安全教学

中图分类号：TP393 文献标志码：A 文章编号：1006-8228（2016）10-57-04

Application of scene simulation and analysis in network security teaching

Yu Hai

（Department of Computer Science and Technology， Shaoxing College of Arts and Sciences， Shaoxing， Zhejiang 312000， China）

Abstract： The computer network security teaching is faced with many difficulties， such as limited class hour， heavy teaching task； the antagonism of network security practice is extremely strong， most experiments are destructive； virtual simulation of network security is mainly for network protocol and network equipment， and the scene simulation and analysis of network attack and defense process have a great limitation. In this paper， the computer network security scene is simulated by VMware and the scene simulation is further analyzed by Wireshark， so as to improve the teaching efficiency of the computer network security. An example of network attack is given to explain the application of scene simulation and analysis in network security teaching.

Key words： VMware； Wireshark； scene simulation； network security teaching

0 引言

由于计算机网络安全课程内容更新快、课程知识涉及面广、理论与实践结合紧密，许多文献提出了教学改革方法，在教学理念上提出了基于CDIOD的教学法[1]；在教学方法上提出了项目驱动或任务驱动教学法、案例教学法、类比教学法、“角色互换”教学法[2]。

尽管如此，计算机网络安全课程教学仍然需要面对一些现实困难。①课时少，教学任务重。一般每学期只安排32节理论课时加上16或32节实验课时。②网络安全实践的对抗性极强，多数实验破坏性大。③网络安全的攻防实验环境要求复杂、实验步骤较多，通过虚拟机仿真的网络安全实验过程，要在后续教学中再现就比较复杂，而且虚拟软件（例如OPENT、NS-2）仿真主要针对网络协议、通信情况，也有虚拟软件（例如Packet Tracer5.3）主要通过模拟交换机、路由器、无线接入点和网卡等网络设备来模拟网络安全场景，但是对于网络攻击和防御过程的场景仿真及分析存在很大的局限性。

为了提高计算机网络安全课程教学的效率，利用虚拟机软件VMware+Wireshark（网络分析工具）可以实现计算机网络安全的攻击和防御过程的场景仿真以及进一步的分析。

1 场景仿真虚拟机VMware及网络分析软件Wireshark简介

1.1 虚拟机技术

虚拟机技术利用软件在单台物理机上模拟出多台具有完整硬件系统功能的、相互独立的逻辑计算机，其核心是虚拟机监控程序（Virtual Machine Monitor，VMM）为上层逻辑计算机提供一套独立于实际硬件的虚拟硬件，并仲裁它们对底层硬件的访问。虚拟机技术常采用两种虚拟化架构：寄居架构和“裸金属”架构，以满足不同用户的需求。在寄居架构中，VMM 运行在宿主机操作系统之上，可将其视为宿主机操作系统的一个应用，常应用于多操作系统环境下的学习及测试，典型的产品有VMware Server及Workstation、Microsoft的Virtual PC等[3]。

1.2 虚拟机VMware的网络配置

本文选用VMware虚拟机中的多台逻辑计算机仿真网络安全的攻击计算机和防御计算机，并通过VMware提供的网络连接仿真攻击过程和防御过程。VMware主要提供了Bridge、Host On1y以及NAT三种网络连接模式[3]：Bridge将虚拟机连接到宿主机所在的网络上，可与其他计算机相互访问；Host Only将虚拟机与宿主机所在的网络隔离开，仅位于同一宿主机的虚拟机可相互通信；NAT使虚拟机可借助NAT功能来通过宿主机访问外部网络。根据实际需要选择合适的网络连接模式。

1.3 网络分析工具Wireshark

Wireshark是网络数据包分析软件，Wireshark[4-6]能够在网卡接口处捕捉数据包、并实时显示包的详细协议信息；能够打开/保存捕捉的包、导入/导出其他捕捉程序支持的包数据格式。

Wireshark工作界面被分成三部分[5]：上部分显示捕获的数据包列表，用来显示截获的每个数据包的总结性信息；中间部分为协议信息，用来显示选定的数据包中的协议信息；下部分是以十六进制形式表示的数据包内容，用来显示数据在物理层上传输时的最终形式。

在捕捉到的包中可以有选择性的显示不同条件的数据包；还可以显示多种统计分析结果（比如TCP、UDP流、各个协议层统计信息等）。

利用VMware虚拟机中的多台计算机仿真网络安全的攻击和防御过程，同时利用Wireshark捕获这些攻击和防御过程的数据包，并以.pacp格式导出到文件中。网络分析工具Wireshark可以根据不同需要对这些数据包进行分析并得到相应的分析结果。

2 场景仿真及分析在计算机网络安全课程教学中的应用

下面以客户端上传文件到FTP服务器时，FTP服务器受到攻击的场景为例，说明计算机网络安全课程教学中的场景仿真及其分析过程。具体步骤如下。

在VMware中分别启动服务器操作系统Windows Server 2003计算机A和客户端Windows XP计算机，将计算机A配置成FTP服务器，IP地址为169.1.1.1。将计算机A设定为被攻击对象（靶机），计算机B设定为攻击机。

配置计算机B的IP地址为169.1.1.3，通过FTP协议可以正常上传文件到FTP服务器A，如图1所示。

考虑到课程的教学效果，将网络分析软件Wireshark和攻击软件都安装在客户端计算机B上。先启动计算机B上的Wireshark软件，设置Wireshark捕获服务器A的数据包，捕获条件为“host 169.1.1.1”，如图2所示，并使Wireshark开始处于监听状态。

⑷ 在计算机B上安装攻击软件，选择攻击目标为计算机A：169.1.1.1，选择攻击的强度，当计算机B再次上传文件时，开始对服务器A实施攻击，如图3所示。

计算机B上的Wireshark软件同时捕获了上传文件的过程数据包和攻击FTP服务器A的过程数据包，如图4所示。

在教学中可以根据需要对捕获的数据包进行多种分析，这里选取其中的“FTP-DATA”数据流对FTP文件数据传输过程进行分析。点击一个“FTP-DATA”数据包，依次选择菜单项“statistics”→“TCP stream Graph”→“Time-Sequence Graph（Stevens）”，生成单位时间传输数据字节数的图形。通过比对攻击前后所捕获的数据包文件所生成的每秒传输数据字节数的两个图形，可以发现：使用FTP协议上传同样大小的文件所花费的时间、上传文件的连续性、上传文件过程的平滑度都出现较大差别，分别如图5（a）、图5（b）所示。

3 结束语

本文通过实例说明了网络安全攻击和防御过程的场景仿真及分析方法，该方法便于教师充分利用教学时间和教学资源开展计算机网络安全课程教学活动，同时能够帮助学生尽快掌握网络安全的知识，提升学生对于网络安全的分析能力，从而提高计算机网络安全课程教学效率，增强教学效果。

（a） 正常FTP文件上传过程

（b） 受到攻击时FTP文件上传过程

图5 数据包文件生成的每秒传输数据字节数比对

参考文献（References）：

[1] 齐鸣鸣，陈建军.基于CDIO的网络安全课程协作性教学研究[J].

计算机时代，2015：87-89

[2] 马莉，黄营，霍颖瑜.计算机网络安全课程的教学模式探究与

实践[J].教育界：高等教育研究（下），2015：187-188

[3] 何凯，刘伟.基于虚拟机的网络管理与维护实验教学探索[J].

实验技术与管理，2016：201-204

[4] 罗青林，徐克付，臧文羽，刘金刚.Wireshark环境下的网络协

议解析与验证方法[J].计算机工程与设计，2011：770-773

[5] 肖媛娥，康永平，贺卫东，谭云兰.网络监听技术在计算机网络

实验中的实现.煤炭技术，2011：195-196

[6] （以色列）Yoram Orzah.Wireshark网络分析实战[M].人民邮

电出版社，2015.