孔贵琴 江南机电设计研究所

引言

信息化战场条件下各武器系统之间向扁平化发展，作战结构由树状结构正逐渐转变为网络化结构。目前在防空反导装备中，针对网络信息安全技术以采购指定设备为主，没有进行自主的研究。一旦发生大规模的网络袭击，武器系统响应速度及对应防御措施能不能进行有效应对是未知的。对此，我们非常有必要研究出能够应对未来各种复杂、突发、未知的网络威胁的网络安全解决方案。

1 攻防平台搭建

网络安全攻防平台主要实现对作战人员的培训、攻防对抗演练。

1.1 网络攻防平台架构

利用交换设备连接多个作战信息处理设备，以模拟军用信息系统子网；同时利用交换设备的WAN 口连接外部子网，并在外部子网中部署攻击计算机以模拟攻击方；在军用信息系统子网与外部子网之间部署网络防御服务器实现对网络攻击的防御，其系统架构如图1所示。

1.2 攻击方法

1.2.1 协议攻击

假设木马已在窃入点主机上存活，通过如ICMP 扫描、UDP 扫描和TCP 扫描等方式，其余外部连接端口已打开，并且在不断地监听是否有机器和它建立连接，如果连接建立成功，就说明该机器已经感染了该病毒。

1.2.2 SQL 注入攻击

SQL 注入攻击，就是利用SQL 注入技术来实施的网络攻击，SQL 注入的过程：①寻找注入点，②获取数据库类型信息，③猜测字段名、用户名、密码等信息，④寻找web 系统管理后台入口，⑤入侵和破坏。

1.2.3 暴力破解攻击

暴力破解HTTP 身份验证一般都针对基本身份验证，具体过程就是嵌套循环组合用户名和密码，然后发送HTTP 请求，直到服务器返回200 的OK 响应为止。用户名可以采用人工输入或用户名列表文件等方式产生。对于密码的产生可以使用穷举法、密码字典等方法。

1.3 网络防御方法

1.3.1 ICMP 协议与网络安全

避免ICMP 重定向欺骗的最简单方法是将主机配置成不处理ICMP 重定向消息；另一种方法是路由器之间一定要经过安全认证。

1.3.2 SQL 攻击检测

判断Web 系统是否受到过SQL 注入攻击的有效方式有四种：

①检查后台数据库是否有异常数据表。②查看后台数据库日志。③查看IIS 日志。通过查看日志文件的大小和内容，也可以判断是否发生过SQL 注入攻击。④通过查看系统管理员账号、端口开启情况、病毒及安全防火墙日志等信息来判断是否发生过入侵。

1.3.3 暴力破解防御方法

暴力破解攻击可通过设置验证码、限制错误登录次数和增加一个判断机制进行防御。

a）验证码

暴力破解时可以遍历用户名和密码，但每次遍历时无法预测变化的验证码，如果输入的验证码不正确则无法完成最终请求。

b）限制错误登录次数

如果某一用户在短时间内多次错误输入密码，可判定可能存在暴力破解的风险，在网站建设时可以在代码层面做出防护措施。

c）增加一个判断机制

现在大部分的密码的提交方式是POST，再加上一个GET 验证，这样可以通过xxx.php？url=ADmin 来正常登陆，而攻击者只能进行xxx.php 破解。这样暴力破解工具就失效了。

2 仿真结果

2.1 操作说明

a）登陆平台监测界面

在攻击主机上打开浏览器地址栏输入：http//server_ip：8080。

b）打开或关闭攻击检测防御模块

单击监控页面上的模块框即可开启或关闭对应攻击检测防御模块，正常表示运行中，停止表示模块已经停止运行。

2.2 ICMP 洪水攻击

a）攻击演示

关闭ICMP 攻击检测模块，点击主界面ICMP 攻击按钮，打开ICMP 洪水攻击界面。

依次在弹出的界面中输入相应的攻击参数点击开始攻击按钮，实施攻击。

目的地址：代表攻击的靶标；源地址：代表攻击源地址，可随意虚拟一个IP；攻击包数量：代表一次攻击发送的攻击包数量；攻击线程数：模拟攻击源的数量。

b）防御演示

将ICMP 防御模块开启后，重复上述攻击操作，系统会对入侵攻击进行防御，防御动作显示在监控界面中的网络防御控制台中，攻击从12：31：14 开始，系统检测到并发起防御时间：12：31：22，防御时间不小于2min。

2.3 SQL 注入攻击

a）攻击演示

关闭SQL 攻击检测模块，点击主界面SQL 攻击按钮，进入靶标网站登陆界面。用户使用SQL 代码注入攻击，在登陆解决输入sql 注入字符test’or 1=1。

b）防御演示

开启攻击检测模块，重复上述SQL 代码注入操作，点击登录，如果跳转到如下页面则表示SQL 注入攻击被系统拦截成功。

图2 入侵拦截

2.4 暴力破解攻击

a）攻击演示

关闭暴力破解攻击检测模块，点击主界面暴力破解攻击按钮，打开暴力破解攻击界面。

攻击网站登陆地址：所攻击靶标网站的网址；用户名字段：靶标网站登陆界面POST 用户名字段名字；需要破解的用户名：这个字段填写需要破解密码的用户名；密码字段：靶标网站登陆界面POST 密码字段名字；登陆成功后的一段文字：为正常登陆后的一段文字。

找到name 字段对应的test 即为用户名post 字段，同样的方法找到密码post 字段。

点击开始攻击按钮后，监控界面将会显示攻击执行过程，如果密码字典中存在预破解用户的密码，监控界面将会打印出相应的密码。

b）防御演示

打开防御检测模块，重复上述操作，暴力破解攻击被拦截，系统断开服务器，并返回警告信息。

图3 攻击拦截

3 结语

针对防空反导武器系统在未来信息化战争中将面临的网络攻击安全威胁，通过对当前典型的网络攻击技术、防护技术等内容开展研究，并搭建攻防模拟仿真平台进行演示验证，提升设计人员的网络攻击能力，实现自主防御，为后续在以网络化为中心的作战安全提供技术支撑。