网络攻防实验教案

网络攻防实验教案（精选6篇）

网络攻防实验教案 篇1

一、学习目的

网络安全目的：保护计算机、网络系统的硬件、软件及其系统中的数据，使之不因偶然的或者恶意的原因而遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。

本次学习目的：希望通过本次学习，了解一些最基本的网络攻击的原理与技术，熟悉使用一些主流的攻击工具，并能够针对这些基本的攻击发现安全漏洞、找到应对措施。

二、培训原则

为了强化培训的实际效果，培训原则是：联系实际、学以致用。注重突出培训工作的操作性、实用性和有序性。

三、培训对象

培训对象是：信息学院大

一、大二对网络安全及攻防有兴趣的学生。

四、对象来源

信息学院大

一、大二学生。

五、学习方式

为了使培训目的和培训效果实现统一，主要采取的方式有讲授法、演示法、研讨法和案例研究法等。

坦白说，对于培训我们没有任何经验，我们也是抱着互相学习的态度，所以难免会有一些不如意，非常欢迎大家能够指出缺点和给出意见。我想，除了培训本身之外，更重要的是给大家提供了一个交流的机会，激起大家学习信息安全技术的热情。

六、学习内容

一些常见的技术性手段： WEB安全介绍-常见漏洞 

1、注入（SQL、系统命令）

2、XSS跨站 

3、上传 

4、源代码泄露



5、网站编辑器（FCK editor、Eweb editor）

6、数据库备份（网站后台）WEB安全介绍-WEB后门 WEB shell程序：网站后门

ASP、PHP、ASPX、JSP、PERL、Python 大马：phpspy、aspxspy、jspspy 小马：功能单一，只有上传功能。一句话木马：中国菜刀 一些工具介绍

•Burp Suite：web安全漏洞检测、利用工具。•Web Scarab ：web安全漏洞检测、利用工具。•Paros ：web安全漏洞检测、利用工具。•Wire shark：免费的抓包、嗅探工具。•Open SSL：开源的SSL加密技术软件包。•JDK：java程序的开发工具包。•JRE：java程序的运行环境。

•WEB漏洞扫描：WVS、appscan、JSKY、webinspect •SQL注入工具：Pangolin、啊D、明小子、HDSI …… 渗透技巧-流程



1、搜索目标相关信息(Google hack、查看网页源文件、社会工程学)

2、漏洞扫描、端口扫描工具、旁注 

3、漏洞利用工具、手工利用漏洞 

4、获取权限、系统权限（内网）

5、权限提升



6、内网、C段网络渗透（网络嗅探、ARP欺骗）渗透技巧

旁注：从旁注入

同一台服务器的其他网站来入侵目标网站、同一个C段服务器 注入：

SQL注入：有明显的错误信息、注入结果。SQL盲注：没有、没有明显的注入结果的显示、系统命令注入、 渗透技巧-注入类型 SQL注入类型： 整形：URL地址后面 字符型：URL地址后面 搜索型：网站的搜索框 HTTP提交方法： Get注入：URL地址后面 Post注入：表单、搜索框 Cookie注入：cookie文件 Head、put 渗透技巧-寻找后台

1、手工猜测：admin、root、manager、login、管理员http:// 

4、爬行工具，WVS

个人认为，除了掌握一些工具技术之外，网络安全最重要的因素是人。一些人可能遵从了专家所有最好的安全建议，安装了各种受推荐的安全产品，并十分谨慎的处理系统配置以及应用安全补丁，但他们仍然很不安全。因为人为因素才是安全的软肋。

信息安全最大的威胁是什么？很简单，社会工程师。一个无所顾忌的魔术师，用他的左手吸引你的注意，右手窃取你的秘密。他通常十分友善，很会说话，并会让人感到遇上他是件荣幸的事情。

我们学习攻击的目的是为了防护，作为攻击者，可以不懂社会工程学，但作为防护者，就应该对社会工程学有一定了解，推荐了解《社会工程学》，作者是范建中，还有史蒂夫·沃尼亚克的《欺骗的艺术》。

七、学习时间

15号以后大部分时间应该有空。具体时间可以再讨论。

八、学习地点

。。。待定

九、学习要求

了解掌握基本的安全知识，对攻击有一定的认识，并能根据这些攻击找到相应的应对措施。

十、学习标准

网络攻防实验教案 篇2

网络的开放性、黑客的攻击和系统本身的缺陷导致网络内的计算机并不安全, 网络入侵也经常发生, 往往造成严重的后果, 为了尽早恢复网络或系统的正常运转, 降低入侵的风险成为了急待解决的问题。由于攻防实验技术以入侵技术为前提, 因此防御实验存在着时间滞后性。攻防实验也成螺旋状态不断地发展变化。本文通过对攻防技术的具体剖析来对攻防实验的一般方法和过程进行详细介绍。

1 攻防实验与信息安全风险评估

根据国标《GB/T20984-2007信息安全技术信息安全风险评估规范》, 信息安全风险评估被解释为:“依据有关信息安全技术与管理标准, 对信息系统及由其处理、传输和存储的西悉尼的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性, 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响”。风险评估是对信息系统的安全属性进行评估, 风险级别和评估范围决定评估的方式和方法, 而评估方式和方法决定评估的手段。攻防实验技术是对风险评估工作的有效技术补充, 是对系统保密性、完整性和可用性的系统评估分析手段, 可降低安全事件发生的可能性, 对修订安全策略、加强调整预防、监控和应急有着不可忽视的作用。

2 攻防实验的目标和任务

在攻击和防御的对抗中, 攻击方通常掌握着主动性, 而防御方必须具备能够和攻击方相抗衡的智能。因此, 攻防实验通常需要达到的目标是发现信息系统的脆弱性, 提高信息系统的防御能力和信息系统的入侵响应能力, 尽可能有效排除信息系统的威胁。

攻防实验的第一任务是掌握先进的入侵方法和手段, 发现信息系统的潜在脆弱性, 分析攻击的规律及轨迹, 为反向工程提供实践依据。很多情况下, 信息系统的入侵是由于管理员不知道黑客攻击的入侵手段和系统的潜在脆弱性, 不能够快速反应。

攻防实验的第二任务是收集积累准确的数据资料, 为安全策略分析和系统改进提供依据。在攻防实验的过程中, 要注意记录和保留相关的原始资料, 为下一阶段的分析和总结提供良好的基础。

3 攻防实验的主要技术

为了井然有序地进行攻防实验, 攻防实验可以被分成入侵技术和防御技术。两者相辅相成, 但防御技术比入侵技术发展滞后。入侵技术又可分为信息搜集技术和攻击技术, 防御技术可分为监控技术、检测技术和蜜罐技术。通过对攻防实验的准确定位, 达到让攻防实验可以较真实较全面地模拟网络入侵。同时依据信息安全风险评估规范, 可以有针对性地对某类入侵进行详细的资料搜集和数据分析。

3.1 入侵技术

基于对网络攻击行为过程性的认识, 入侵技术以入侵目标网络为主要目的, 通常以入侵为主要手段, 以盗取信息或破坏系统为主要目的。对其进行分类研究, 对于了解攻击的本质以更准确地对其进行检测和响应具有重要的意义。通常, 入侵以信息搜集为前导, 通过系统所暴露的脆弱性进行相应的入侵操作, 可分为攻击技术和信息利用技术。

攻击技术包括攻击前期的信息搜集技术和后期的攻击技术。黑客的入侵过程通常在对目标主机的扫描探测后, 针对系统所暴露的脆弱性和漏洞, 对系统进行入侵操作。

3.1.1 信息搜集技术

信息搜集技术通常包括扫描技术和网络嗅探技术。扫描技术是一种检测本地主机或远程主机安全性的程序。根据网络扫描的阶段性特征, 可分为主机扫描技术、端口扫描技术以及漏洞扫描技术。其中端口扫描和漏洞扫描是网络扫描的核心。主机扫描的目的是确认目标网络上的主机是否处于启动状态及其主机的相关信息。端口扫描最大的作用是提供目标主机的使用端口清单。漏洞扫描则建立在端口扫描的基础之上, 主要通过基于漏洞库的匹配检测方法或模拟攻击的方法来检查目标主机是否存在漏洞。此外, 信息搜集型攻击还包括会话劫持、信息服务利用、电磁泄漏技术等。

网络嗅探技术主要指通过截获网络上传输的数据流来对目标网络进行分析的技术。网络嗅探技术要优于主要扫描技术, 因为网络嗅探技术不易被发现, 让管理员难以察觉。而嗅探的设备可以是软件, 也可以是硬件。

3.1.2 攻击技术

在攻击阶段, 黑客利用信息搜集技术搜集来的信息, 会采取攻击技术对目标进行攻击。攻击技术的种类很多, 大致可分为拒绝服务攻击、信息利用攻击和恶意代码攻击。

拒绝服务DoS攻击指利用网络协议的缺陷或耗尽被攻击对象的资源, 目的是让目标计算机或网络无法提供正常的服务或资源访问, 使目标计算机停止响应甚至崩溃, 而在此攻击中并不入侵目标设备。分布式拒绝服务DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。分布式拒绝服务DDoS通过占领傀儡机来实施, 将多个计算机联合起来作为攻击平台, 对一个或多个目标发动DoS攻击, 从而成倍地提高拒绝服务攻击的威力。

信息利用攻击指并不对目标主机进行破坏, 而是盗取或伪造存储的重要信息。信息利用攻击一般是通过协议缺陷, 以冒充安全域欺骗主机的行为。目前, 一般分为欺骗攻击和伪造攻击两种。

恶意代码攻击包括病毒和木马攻击。病毒是一种可以通过自我复制来感染其它程序的程序, 并且具有传染性和不可预见性。木马程序是一种暗含某种功能的程序, 内部含有隐蔽代码, 其实质是通过隐藏端口进行通信, 因此木马一般是C/S结构的。黑客以病毒攻击的方式对系统进行破坏, 以木马的方式对系统留下后门, 以便可以随时进入系统, 对系统的权限和配置信息进行更改或破坏。

3.2 防御技术

基于对入侵技术的识别, 防御技术以应对入侵技术而产生。目前, 防御技术以弥补漏洞为主, 辅以检测设备, 并设置防火墙等防护软件。通常防御技术包括监控技术、检测技术和蜜罐技术。

3.2.1 监控技术

监控技术即监督控制技术, 主要对目标主机或网络进行实时监控。监控以监控网络状态为主, 通过数据包的收发, 防止信息探测, 也可对主机内进程监控, 查看主机异常进程。通常, 监控技术又可分为软监控和硬监控两种。

软监控指通过软件来实现对目标网络实现监控的目的。如网络监控软件就是典型的软监控例子。而硬监控技术指通过硬件的方式来实现对目标网络实现监控的目的。物理隔离技术和入侵防护设备是硬监控技术的体现。监控技术主要针对入侵技术中的信息搜集技术, 防止黑客对网络的信息搜集, 也可阻止恶意代码对网络的攻击。

3.2.2 检测技术

检测技术是近年来发展起来的一种防范技术, 其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。核心是依照一定的安全策略, 对网络、系统的运行状况进行监视, 尽可能发现各种攻击企图、攻击行为或者攻击结果, 以保证网络系统资源的机密性、完整性和可用性。检测技术不同于监控技术, 检测的第一要素是监听, 因此, 只要通过监视来自网络区域的访问流量和需要进行网络报文的统计。

3.2.3 蜜罐

蜜罐是一种安全资源, 其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用, 因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。

蜜罐技术的优点包括:收集数据的保真度高, 漏报率和误报率较低;使用蜜罐技术能够收集到新的攻击工具和攻击方法;不需要大量的资金投入;网络管理人员能够比较容易掌握。蜜罐技术也存在着一些缺陷, 主要有需要较多的时间和精力投入;只能对针对蜜罐的攻击行为进行监视和分析;蜜罐技术不能直接防护有漏洞的信息系统;部署蜜罐会带来一定的安全风险。

蜜罐可以按照部署目的分为产品型蜜罐和研究型蜜罐两类。研究型蜜罐则是用于对黑客攻击的捕获和分析, 通过部署研究型蜜罐, 对黑客攻击进行反向追踪和分析, 能够捕获黑客所使用的攻击工具及攻击方法, 甚至能够监听到黑客之间的交谈, 从而掌握他们的心理状态等信息。产品型蜜罐的目的是为网络提供安全保护, 帮助管理员对攻击做出及时正确的响应等功能。产品型蜜罐一般容易部署, 且不需要投入大量的工作。

4 结束语

本文从技术角度对常见的攻防方法作了全面的分类阐述, 当然由于篇幅的限制, 本文对网络攻防技术的总结难免挂一漏万, 并且对每一个方法都没有深入探讨, 对网络安全防护技术的分类也有待进一步的理论化、系统化。网络攻防技术的研究是一个非常复杂和费时的过程, 并且入侵技术也在不断的发展更新, 但是良好的安全策略会有助于被攻击的系统更快的恢复, 更为高效的处理。

参考文献

[1][Z].GB/T20984-2007信息安全技术信息安全风险评估规范.

[2]诸葛建伟, 叶志远, 邹维.攻击技术分类研究[J].计算机工程, 2005 (11) .

[3]艾大清, 祝烈煌.网络攻防问题研究[J].警察技术, 2008 (7) .

《网络营销》课程实验教案 篇3

一、课程简介及基本要求 掌握网络营销的理论基础和网络营销的营销策略。本课程以理论学习为主，要求学生实验是在实验过程《网络营销》课程的重要教学环节，根据课程的性质、任务、要求及学习的对象，将实验内容分两个层次：基础验证实验和综合应用性实验。在验证实验中要求学生认识各网络营销工具的作用，并能熟练应用；在综合应用中要求学生能应用所学的知识，结合实际情况分析、制定出企业的网络营销策略。通过各种类型的验证和综合性实验教学环节，对学生进行实践技能和科学研究方法的训练，巩固其在课堂上所学书本知识，加深对网络营销的基本原理、营销策略和方法的理解，掌握利用互联网络这个营销平台有效开展营销活动的基本技能，并运用相关理论处理一些实际问题。同时，通过实践教学活动，拓宽学生的知识领域，锻炼学生的实践技能，培养科学严谨、求真务实的工作作风。

二、课程实验目的要求 网络营销中是以互联网络为基础平台来实施营销策略，具有较强的实践性，该实验环节是理论教通过上网实践验证所学的理论知识，并能结合实际需求进行综合分析策划，学的深化和补充，以培养学生理论联系实际、活学活用的能力。以下针对每一实验环节提出具体的目的和要求： 实验一 网络营销工具熟悉 1.实验目的 了解用户通过企业网站、搜索引擎、电子邮件等常用网络营销工具获取商品/服务信息的特征，认识各网络营销工具的作用及其信息传递的特点，为接下来的课程学习增加感性认识。2.以下以搜索引擎的应用为例，说明其操作步骤

（1）假如在网络平台购买一束鲜花给上海的朋友，或者希望了解更多相关信息；

（2）利用该关键词分别在3－5个常用搜索引擎进行检索，观察检索结果第一页的信息差异情况；输入不同的关键词进行搜索比较后购买；（3）从检索结果中分别登录你感兴趣的网页，点击进入该网站；

（4）对比该网页在搜索引擎检索结果中的信息，是否可以在网站上立即发现这些相关信息更为详细的内容；

（5）思考这个实验过程中的一些相关问题： a.如果同一关键词在不同搜索引擎中检索的结果有较大差异，分析是什么原因造成这种差异，这种状况对网络营销信息传递产生哪些影响？ b.分析不同关键词搜索的界面，并分别从价格、网站界面、购物方便性、支付、物流支持服务、信誉保障等方面分析比较;c.搜索引擎检索结果中的信息为什么吸引你的注意并促使点击进入网页，对此有什么启发？ d.在你选择进入的网站中，是否能获得你期望的信息和服务？ 常用搜索引擎：

3.实验报告要求 实验报告以书面形式提交。实验报告主要内容：（1）网站专业性评价报告概要，包括网站概况、评价范围选择说明、分析结论（优点和缺点）等；（2）对于在网站分析过程中发现的问题，提出针对性的改进建议。实验四 网站搜索引擎友好性分析实验 1.实验目的 了解搜索引擎营销对网络营销信息传递的作用，通过对部分选定网站搜索引擎进行友好性分析，深入研究网站建设的专业性对搜索引擎营销的影响，对于发现的问题，提出相应的改进建议。2.实验内容和步骤（1）从备选网站中选定一个企业网站或自定一企业网站；（2）浏览该网站并确认该网站最相关的2－3个核心关键词（比如主要产品名称、所在行业等）；（3）用每个关键词分别在搜索引擎google和百度进行检索，了解该网站在搜索结果中的表现，如排名、网页标题和摘要信息内容等，同时记录 同一关键词检索结果中与被选企业同行的其他竞争者的排名和摘要信息情况；（4）根据有关信息分析被调查网站的搜索引擎友好性。附：本实验备选网站网址（10个）： ；； ；；

；

；； 3.实验报告要求 实验报告以书面形式提交。实验报告主要内容：通过调查中获得的信息分析网站设计对网站搜索引擎友好性的影响，可重点突出某些关键因素，如网站结构的影响、动态网页的影响、网站内容文本信息量及核心关键词的影响等，如果利用同一关键词进行检索，同一网站在不同搜索引擎中的表现有较大差异，请分析问题产生原因并提出合理的建议。

实验五 许可Email营销方法及管理 1.实验目的 了解许可Email营销的实际过程，正确认识许可营销的思想和方法，重点了解邮件列表营销的实现方法和后台管理功能。2.实验内容和步骤 通过创建一个邮件列表营销活动的完整流程，包括邮件订阅方法、订阅用户管理、邮件发送过程、已发送邮件的管理等。主要步骤如下：（1）上网了解许可Email营销方法及管理（2）了解许可邮件订阅过程：加入邮件地址，根据反馈信息进行确认（许可的实现），直至完成订阅。（3）了解邮件列表后台用户管理的主要功能：用户查询、删除、批量导入、邮件地址备份等。（4）了解邮件列表后台用户订阅反馈信息的设计管理功能，如定义用户加入反馈页面的信息、确认邮件的内容设计等。（5）了解邮件列表内容设计与发送：邮件格式选择、内容编辑、邮件内容发送前的检查等。（6）了解邮件列表档案文件的管理功能：发送邮件序号、主题和内容、发送数量、退回数量、退邮服务器和邮件地址等。注：结合某一具体产品设计一则促销广告，并通过电子邮件的方式发送。

3.实验报告要求 实验报告以书面形式提交、。实验报告主要内容：通过本实验，谈谈自己对许可Email营销的认识，可以重点突出对某一方面的理解，比如邮件订阅过程（获得用户许可的过程）、邮件内容测试、退回邮件管理等。实验六 网上市场调研方法及管理 1.实验目的 掌握网上市场调研的一般方法，主要包括在线调查问卷设计和后台发布管理、调查数据分析等，重点掌握调查问卷问题及其选项设计的一般原则，深入理解“预期结果导向法”调查问卷设计的基本思想。2.实验内容和步骤（1）了解在线调查的方法并选择/确定在线调研主题；（2）设计在线调查问卷；（3）通过后台发布调查问卷；（4）分析调查结果并完成调查报告。

3.实验报告要求 实验报告以书面形式提交。实验报告主要内容：（1）在线问卷主要调查问题设计及预期结果的说明；（2）后台发布在线调查问卷的一般方法及遇到的问题分析；（3）调查结果分析及调查问卷设计中存在的问题分析；（4）简要总结个人对于在线调查问卷设计及发布的心得体会。

实验七 网站流量统计分析 1.实验目的 了解网站流量统计分析的内容和方法，以真实案例数据设计一个网站流量分析报告，重点分析网站流量统计数据对网络营销策略的指导意义。2.实验内容和步骤 包括两个部分的内容：网站流量统计和网站访问分析。（1）根据给出的网站流量统计数据设计一个网站流量统计月度报告，包括流量统计指标内容及统计报告摘要信息。主要统计指标包括： 该月页面浏览总数；独立用户总数每个用户平均页面浏览数；每天平均独立用户数量和页面浏览数量；日访问量最高的5天及其每天的页面浏览数；独立用户数日访问量最低的5天及其每天的页面浏览数；独立用户数搜索引擎带来访问量占总访问量的比例；带来访问量最高的3个主要搜索引擎及其对访问量的贡献率；用户检索比例最高的5个关键词访问量；最高的5个网页除搜索引擎之外带来访问量；最高的5个网站（URL）其他对网站访问分析具有价值的信息；（2）根据网站流量统计数据，分析网站访问量与网络营销策略之间的关系，主要包括下列方面： ① 网站访问量是否具有明显的变化周期？ ② 本月网站访问量的增长趋势用户来源主要引导网站的特点及可能进一步增加访问量的改进方法； ③ 网站搜索引擎推广的效果及存在的问题分析； ④ 根据网站流量统计数据发现的问题及其对网络营销策略的影响，请提出相应的改进建议。3.实验报告要求 实验报告以书面形式提交。实验八 个人品牌的推广策划与实施 1.实验目的

掌握个人品牌的推广方法，并能实施。2.实验内容步骤 市场经济阶段，品牌和形象不仅是组织和团队的生命，也是个人事业和价值的核心动力。个人品牌价值是个人思想价值和行为价值的总和。它包括个人文化、学识、技能、创造力，以及性情、品行、世界观等方方面面。创造力是品牌价值的基础，知誉度和美誉度是品牌价值的标杆。那在互联网环境中，我们可以如何进行个人品牌的推广呢？

（1）明确个人品牌的内涵（2）了解在网络中个人品牌的表现形式（3）个人品牌的推广策划（充分考虑已学的网络营销方法，并能结合实际灵活应用）（4）个人品牌的推广实施。3.实验报告要求

实验报告以书面形式提交，实验报告主要内容：个人品牌的推广策划思路，实施效果分析、实验体会总结等。实验九 企业网站推广 1.实验目的 通过对某个具体的企业进行研究并进行推广方案的构想设计与实施，进一步加深对网络营销的知识、理论体系的理解，进一步掌握并灵活运用网络营销的一些策略和方法来解决实际问题，提高营销实践能力。2.实验内容及步骤 首先，选择一个在某些方面具有代表性的企业； 从企业网站诊断、企业网站推广方案策划、企业网站推广方案实施、企业网站推广效果分析等方面进行研究，要求明确诊断分析的整体思路。（1）企业网站诊断 建议从网站结构、网站内容和可信度、网站功能和服务、网站搜索引擎友好性等方面着手分析。（2）企业网站推广方案策划 结合企业实际及所学的理论知识进行研究，考虑推广方法的适用性，并给出整体策划方案。结合实际考虑网站推广策略，在报告中要对方法、工具的选择进行说明。网络营销的工具和方法很多，其中主要的有十三项，网络营销八大职能可以通过有机地组合不同的网络营销工具和方法得以实现。网络营销的方法与职能的对应关系见下表所示。可参考下表，但不应该局限于下表所示的方法和对应关系。针对你的需求分析中提到的主要的关键问题，选择用于解决的合适的网络营销工具，并说明选择

网络攻防实验教案 篇4

近年来, 随着多起安全相关事件在互联网上曝光, 网络安全成为当前技术研究热点, 网络安全课程和网络安全竞赛也得到了更多的重视。

我们在网络安全课程的学习和网络安全竞赛的训练过程中, 做了大量网络攻防方面的实验, 比较深切地感受到现有的网络攻防实验手段的不足。

考虑到网络攻防相关实验往往都带有一定的破坏性, 在真实网络环境里进行攻防实验还会遇到法律授权方面的麻烦, 一般都是通过安装VMware、Virtualbox等模拟软件构建虚拟网络环境去进行攻防实验。

在自己计算机上架设虚拟机构建网络攻防环境方式的优点是简单、廉价和灵活。但我们在练习过程中也发现, 随着学习内容和人数的增多, 会出现比较严重的管理问题, 例如出现越来越多的虚拟机镜像和快照文件、越来越多的文档资料等, 时间一长就容易遗忘, 要搜索、准备很长时间才能进行实验操作;另外, 人数多了, 还牵涉到文档、软件、攻防系统镜像的分发和同步的问题。很多网络攻防实验的关键步骤其实并不多, 却往往要耗费大量的时间和精力做准备和排错工作, 大大降低了效率, 更不容易进行共享和更新工作。

经考虑, 我们准备借助云计算技术来构建网络攻防实验平台。云计算技术可以灵活地按需提供虚拟化、并行计算、网络存储和负载均衡等服务, 因此如果能把网络攻防所需的各种工具软件、攻击机和靶机镜像、操作指南等文档资料统一安放到云平台中, 则可以极大地改进管理工作。例如, 可以省去本地安装配置工作, 只要有网络随时能用注册账号登录到云平台上做有操作权限的网络攻防实验;所有的技术文档、操作指南等统一存储在云平台, 非常容易检索;在攻防实验平台的存储空间、CPU性能出现瓶颈时, 也非常容易进行扩充升级。

2 基于Openstack云平台的设计和实现

Openstack是一个美国国家航空航天局和Rack space合作研发的, 旨在为公共及私有云的建设与管理提供软件的开源项目。Openstack正处于高速发展和推广应用过程中, 目前已经是各种公有云和私有云建设的主流方案。

基于Openstack的云平台部署非常灵活, 既可以只装在单节点服务器上, 也可以部署到大规模集群服务器组, 经综合考量, 我们使用两台服务器去实现网络攻防实验用云平台, 其中一台服务器部署为控制节点, 另一台部署为计算节点, 这也是目前广泛使用的方案, 足以应付通常的实验, 以后如果有需求, 可以再添加计算节点以提高性能。服务器可以只放在私有局域网中, 也可以接入校园网提高公开服务, 因此每台服务器都装上双网卡, 一块连接到外网, 另一块连接内网。 (如图1所示)

设计的云平台服务器使用操作系统Cent OS Linux 6.4版, 下载Open Stack的Icehouse版本进行安装配置, 根据Openstack的官方安装指导, 在控制节点先后安装并配置Mysql、Rabbit MQ、keystone、Nova、Neutron、Cinder、Glance、Horizon和Apache等服务项目, 而在计算节点上只需安装配置Nova和Neutron。

Openstack安装完成后, 借助Dashboard服务可以通过Web界面登录后进行管理。 (如图2所示)

登录进入云平台管理页面后, 即可非常便捷地进行各种虚拟机镜像的创建、上传、配置、运行、删除等配置工作。这些虚拟机镜像运行后, 借助VNC等远程控制工具, 可以让多人同时通过网络访问, 从而充分发挥云平台的作用。 (如图3所示)

3 攻击机和靶机的配置

在基于Openstack的云平台搭建好了以后, 为实现网络攻防实验功能, 主要任务就是创建足够有用的攻击机和靶机的虚拟机镜像。

攻击机的镜像相对比较容易解决, 我们首先制作了基于Windows操作系统的攻击机镜像, 在系统中事先封装了大量网络安全渗透测试用工具, 包括各种扫描工具、嗅探工具、加解密工具、远程渗透攻击测试工具、动态调试工具、静态反编译工具等等。其中最常见最有用的一些工具包括Metasploit开源安全漏洞测试工具、Nmap扫描器、Wireshark嗅探器、burpsuite集成Web渗透测试工具集、sqlmap注入工具、Ollydbg动态调试器、IDA反编译工具等。

另外, 我们也制作了基于Kali和Back Track 5的攻击机系统镜像, 它们都是开源的Linux系统, 已经在系统中事先集成了大量有用的网络安全测试工具, 可以免去大量工具收集的繁琐工作。

靶机的制作则相对比较麻烦, 因为这不是简单安装好操作系统和软件就行了, 还经常需要自己在靶机上挖掘出或人为生成需要的某种安全漏洞以供攻击机做网络攻击实验。我们首先自己制作了一些基于Windows 2000、Windows XP、Windows 2003、Windows 2003、Windows 7等操作系统的镜像, 都是没有打足补丁留下系统漏洞用于系统攻击测试, 然后我们还在一些Windows镜像中创建了各种基于ASP、ASP.NET、PHP和JSP技术的有已知漏洞的Web网站用于Web渗透测试。另外, 我们下载了一些开源免费靶机资源, 例如OWASP组织发布的一些靶机镜像资源。

4 网络攻防平台应用和测试

为了更方便地使用和管理实验平台, 我们另外编写并部署了一个管理网站, 主要就是将云平台中的各种虚拟机资源及各种网络攻防实验所需的学习资料进行了分类组织显示。

事先获取权限的网络攻防练习者登录到这个网站后, 可以非常便利地查看学习资料, 更重要的是可以启动云平台上各种虚拟机镜像, 从而实际连接到运行中的攻击机和靶机进行各种攻防操作。

例如, 在做通过弱密码安全漏洞远程控制实验时, 练习者可以登录到管理网站上, 通过阅读详细学习资料理解了这个课题的相关背景知识后, 按照操作指南, 先连接到攻击机上, 打开运行Nmap扫描器, 扫描靶机开放的端口服务, 并利用扫描脚本和自定义的字典文件扫描是否存在弱口令。 (如图4所示)

扫描结果是, 发现靶机已经开放了3389远程桌面服务, 而且通过字典扫描出了管理员administrator的弱密码5i9x。

然后在攻击机上用远程登录客户端去连接靶机的远程桌面服务, 输入扫描出的账号和密码, 即可以管理员权限轻松进入靶机系统, 完成了本次渗透测试实验任务。 (如图5所示)

其他网络攻防实验任务都可以用上述类似的方法进行理论学习和实际操作练习。

通过在攻防平台上的检测发现, 在同时练习人数不多的情况下, 攻击机和靶机的连接速度和运行速度基本能够满足要求。

5 结论

用基于Openstack技术构建的云平台可以显著提高网络安全, 尤其是网络攻防操作的学习效率, 可以作为课程学习及竞赛培训的有益助手。当然, 目前云平台上的网络攻防系统远不够成熟, 存在标准不统一、界面不够友好、制作繁琐、很难支持大规模应用等缺点, 有待技术的进一步发展和更多的开发工作。

摘要：网络攻防环境难以构建和管理是一个普遍性的难题, 本文介绍了一个使用开源的Openstack技术构建网络攻防实验平台的设计方案。在校园网中的运行测试结果显示, 这种基于云计算的网络攻防平台可以显著降低管理和实验成本, 提高学习效率。

关键词：网络攻防,云计算,Openstack

参考文献

[1]Install Guides[OL].http://docs.openstack.org.

网络攻防实验教案 篇5

随着网络攻击技术的多样化、协同1化和智能化的发展, 多步骤的组合渗透攻击成为威胁网络安全的主要形式。为了保证网络系统的安全性和健壮性, 投入人力和资金是保障信息信息安全设施的必然选择。以往的网络安全攻防未考虑攻防成本, 并未在投入和收益间寻求一种均衡, 因此使得做出的攻防决策并非是最优的决策。本文将根据现有信息系统的部署情况生成网络状态攻防图, 根据攻防图对信息安全进行风险评估, 结合投资预算帮助网络管理员制定防御策略。

2 状态攻防图模型

2.1 状态攻防图定义

状态攻防图是一种基于模型的脆弱性分析方法。在综合分析多种网络配置和脆弱性信息的基础上, 以面向攻击的方式分别对目标网络和攻击者建模, 发现脆弱点间的关系, 枚举攻击者利用目标网络内不同脆弱点逐步实施攻击的路径。

2.2 实验环境

项目实验环境如下图网络拓扑结构所示。网络中有一台Web服务器 (server2) , 一台DNS服务器 (server1) , 一台数据库服务器 (server4) 和一台邮件服务器 (server3) 。网络防火墙只允许外部主机访问Web服务器上的服务, 其他的外部访问均被阻止。为了简化实验环境, 服务器的弱点均为权限提升类弱点。攻击者一旦攻入服务器就有完全使用服务器资源的权限。

2.3 状态图的生成

每个服务器有编号, 如Server1, 网络管理员根据经验和公开的漏洞信息列出每个服务器存在的漏洞, 此处只关注获得系统权限的漏洞, 图中省略了每个服务器的漏洞信息。下图中的箭头表示一次攻击行为, 每次攻击行为包含五个信息, 分别为攻击编号、利用的漏洞、攻击的可能性、受到的损害、防御漏洞需要的投资。其中攻击的可能性和受到的损害分别用高、中、低来表示, 对应数值0.9、0.6、0.3。

3 基于投资额的最优防御策略

3.1 攻击路径成功可能性计算

攻击的实施是有多个步骤组成的, 每个步骤对应状态图上的一个攻击行为, 如上图的一条攻击路径为0-2-4-6, 因此攻击路径成功的可能性是各个攻击行为可能性的乘积。对攻击行为的攻击可能性值的评估采用国际上通用的安全脆弱点评估系统 (CVSS) , 安全脆弱点评估系统由美国国家漏洞库 (NVD) 发布并保持数据的更新, 他对从漏洞利用评估分为基本评价、环境评价、生命周期评价三方面, 每个方面又分若干个元素。由于安全脆弱点评估系统的评价值不超过10, 因此转换成攻击行为可能性时除以10即可, 如CVE-2005-0768漏洞的攻击可能性为0.99。

3.2 确定需保护的关键信息资产

信息资产保护PC、服务器、软件、数据、网络设备等等, 种类和数量都很多, 都市信息安全的评估和保护对象, 但我们只选择重要的信息资产进行保护, 这样在风险能够承受的范围内有效的减少了工作量。本文从资产的可用性、完整性、保密性三个方面来计算资产的价值, 每个元素包含高、中、低三个值, 分别对应数值3, 2, 1, 资产的价值为可用性、完整性、保密性三个值的平均值。对所有资产进行计算, 选出平均值大于2的资产进行保护。

3.3 最优防御策略

最优策略首先选择需要保护的关键资产, 然后根据状态图选择保护资产需要防御的攻击路径, 把攻击路径上每个攻击的可能性乘以对应资产的价值得到每个攻击产生的损失, 最后把攻击路径上所有损失相加, 得到保护资产所需的代价。计算所有关键资产保护所需的代价, 根据投资额确定每个资产保护所需的投资额。在资金充足的条件下, 可以保护攻击路径上的所有资产, 当资金不足时, 可以根据多条攻击路线选择公共接点, 对改接点进行重点保护, 达到保护设备关键资产的效果。

4 结束语

本文提出了一种基于网络状态攻防图设计网络最优防御策略的方法, 该方法考虑了攻击端和防御端, 根据攻防图获得攻击路线, 选择关键资产进行保护, 在投资一定的前提下设计最优防御策略。

参考文献

[1]姜伟, 方滨兴等.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报, 2009, 32 (4) :817-827.

网络控制论在网络攻防中的应用 篇6

关键词：网络控制论,网络攻防,入侵检测,系统防护

0 引言

在当前现代战争不断向智能化与信息化方向发展的过程中,网络攻防系统也已经进入了开放式和模块化设计的新时代。而各国关于网络攻防博弈的激烈程度也呈现出上升的变化趋势。在此背景下,本文立足于网络攻防的现代化战争背景,通过引入网络控制论系统,并构建网络攻防模型,进而为该系统在网络攻防中的应用做出了深入分析,以求为帮助我国在网络攻防背景下奠定良好的战场优势提供合理的意见和建议。

1 建立网络攻防模型

1.1 网络控制论简述

网络控制论系统是,在较为离散的事件驱动前提下,经过各类离散事件有规则的相互作用,进而催生状态演化的人一类典型的动态人机系统。通常,网络控制论系统包括施控系统、受控网络以及前馈系统和反馈系统。

1.2 构建模型

网络攻防控制的核心即同网络系统具有密切关联的各类攻防知识,而网络攻防模型实质上就是对网络攻防双方借助攻防知识进而展开博弈过程的刻画工具,其核心工作就是对受控系统进行构建并互相博弈各自网络系统自身的脆弱性。由此可知,攻防控制模型含有两个必备要素,分别为攻击方与防御方。在攻击方方面,其通过借助不同的攻击技术,在发现并利用对方网络系统脆弱性攻防知识的基础上,使防御方的网络系统产生较多的风险因素,并增加攻击方攻击成功的可能。但在攻击过程中,由于受到防御方的防御措施以及攻击环境的影响,而使得攻击具有较强的不确定性,从而增加攻击方自身的危险。在防御方方面,通过研发和引用各类防御技术,进而发现并弥补己方网络系统攻防知识的脆弱性,进而降低对方攻击成功的可能,但在防御过程中,由于受到攻击方攻击措施以及攻击环境的影响,而使得防御产生较强的不确定性。

1.3 过程分析

以上述攻防双方的博弈过程为依据,进而建立网络攻防模型,所建立的模型主要包括了以下因素和假设:(1)参与人:假定在军事战争中,攻防双方分别为A国和B国;(2)信息集:信息机i表示同脆弱性相关的网络攻防知识;(3)假设如下:假定在网络攻防过程中, A i表示A知晓网络知识i,而Bi表示B知晓网络知识i;A∩B表示A与B均知晓网络知识i,若A国对B国发动网络攻击时,若此攻击行为成功,则对于B国而言,其会由于经验教训而增加额外收益a,而A国在下次网络攻击时仍以此攻击方法对B国进行攻击,将会减少收益b。若在A攻击过程中,B国并未采取适当的防御措施,则对于A国而言,其攻击代价的减少幅度为c;若A下次攻击中并未采取此种手段,但B却通过完善原系统弥补了此处缺陷,B国付出代价为d,获得收益为m,而相对而言,A国所收到的损失为n。需要说明的是,若B并未发现隐患,则其因完善系统而导致的额外损失为x。

假定当A国与B国在知道网络知识i且A采取攻击所付出的代价和损失分别为y和p,而b所遭遇的损失和产生的防御代价分别为o和q时,根据上述情况,对A国向B国发动攻击的条件及结果做出如下分析:(1)A国攻击成功时,有两种情况。当B国不采取网络防御措施时,其所受到的损失为-y+p-b+c;若B国采取网络防御措施但防御失败时,其所收到的损失为-y+p-b;(2)当A国攻击失败时,仍有两种情况:当B国防御成功时,A的支付为-q+o+a;B国所付出的代价为-y-b;当B国未防御时,A国受到的损失为-y-b+c,B国付出的代价为a;(3)当A国不再利用B国对网络知识i的脆弱性对其网络进行攻击时,也存在以下两种情况即B防御成功或未防御时,当B防御成功时,A遭受的损失为-n,B付出的代价为-c+m;当B未进行防御时,A国与B国各自的支出分别为b和-x。

综上所述,当A国在采取一系列的攻击策略时,一方面需要对当时所处战场的实际情况进行充分研究,另一方面,也需要对以往的记录攻防历史记录进行准确分析,并总结出有利于取得战场优势的策略集,进而为下一次所发动的网络攻击策略的制定奠定良好的基础。

2 网络控制论在入侵检测及系统防护中的应用

2.1 系统结构及信息流程

通常,网络的入侵检测与防护系统均处于受到保护的网络以及外网之间,具体涵盖了攻击特征知识库、入侵检测系统以及控制中心和入侵防护系统等。对入侵检测系统进行分析可知,其主要是由分布在网络或是主机当中的传感器构成的,其工作任务为对当前网络活动信息进行搜集和捕获,通过对网络中的活动进行实时监测,进而将网络中的相关数据及时传入控制中心。当控制中心接受到网络数据后,利用信息推理以及模式匹配等方法,从所接收到的海量的网络信息中快速检索出正常访问与非法访问的企图,进而将关系到网络安全的事件及时送至部门负责人员。网络安全负责人根据入侵检测系统已经识别出来的攻击,对防火墙等网络入侵的防护系统进行合理调度,进而阻断网络攻击。此外,在专家的帮助下,入侵检测系统的控制中心还可以对新的网络攻击模式进行学习,并将新攻击模式添加到相应的攻击特征库当中。

在入侵检测以及防护系统的信息流程方面,入侵检测与防护系统包括了两个信息闭流环。而从最开始的传感器数据提取,到数据提炼与态势提炼,再到对各类防护资源的调度和控制均需要外部控制人员的参与,因此,此过程实际上是基于外部控制人员与系统相结合的开环回路控制。但从态势提炼到形成态势集,再到最后的防护资源调度及控制,这一过程实际上是系统内部的一类小型控制过程,故属于闭环控制。

2.2 系统特点

基于网络控制论的入侵检测与防护系统是集中控制和分散控制共同作用于网络攻防的体现,其将数据信息采集、攻防决策分析以及实施和反馈控制的人过程进紧密联系,总整体上提高网络入侵的检测与网络安全的防护效率。通过闭环控制同开环控制相结合,进而形成了高度智能化的自动控制模式,当系统检测到攻击事件时,将会向防护系统发出命令,促使其以实现制定好的网络防护措施对攻击行为进行防护,不需要外部工作人员进行干预。当系统检测到新的攻击行为时,会向网络安全负责人发出警报,在相关人员参与的前提下,根据攻击模式和攻击特点采取适当的防护措施进行防护。在控制中心对新的攻击行为与攻击特征进行总结和存储的基础上,全面提高检测与防护系统的智能性,使得此类攻击下次出现时,系统可以直接采取防护措施拦截公攻击行为。

3 结论