基于虚拟蜜网的网络攻防实验平台的构建

董 辉，马建

（亳州职业技术学院  安徽.亳州  236800）

摘  要：针对传统被动防御式网络安全教学实验平台的缺点，研究虚拟机和蜜网关键技术，构建基于虚拟蜜网技术的网络安全教学实验平台，并给出平台核心功能实现过程。在实践中，运用平台模拟网络攻击行为和安全防御过程，结果证明该平台完全可以胜任网络安全攻防教学实验，同时可以兼顾网络管理操作实验任务，减少了对网络硬件设备的依赖，具有较强的可伸缩性和可扩充性。

关键词：网络安全   虚拟机   虚拟蜜网  数据控制  数据捕获

中图分类号：TP 393.1    文献标识码：A

Construction of Network Attack-Defence Experimental

Platform  Based  on  Virtual Honeynet

Abstarct:Aiming at the defect of traditional network attack-defence experimental teaching platform,the paper study on the key technology of virtual computer and build a network security attack-defence Experimental teaching platform based on virtual honeynet,Then give the realization process of platform core function.In practice teaching, Using the platform to simulate the network attack-defence process,The results show that the platform can be fully competent in network security attack-defence experiment teaching,and it Takes into account the network management,and also reduce the dependence on the network hardware ,therefor the platform  has strong  scalability and expandability.

Key Words: Network  Security, Virtual Computer,Virtual Honeynet, Data Control, Data Capture

0   引言 

互联网是一个混杂的信息世界， 网络攻击防御一直都是信息安全领域重要的研究课题。目前许多高校及组织都非常注重信息安全技术人才的培养，并搭建各自网络安全教学实验平台，重点进行网络攻防认识、验证类型及被动防御的实验。但随着网络技术的进步，“入侵与防御”此消彼长，原有的被动式防御平台无法满足信息安全技术教学的需要。另一方面由于网络实验设备昂贵，囿于资金条件，许多高校网络安全实验室不愿或是无力更换新的安全实验设备，致使对于新型的入侵行为，学员无法动手实验体会，不利于对网络安全最新技术的了解和掌握。

基于以上原因，本文深入研究了蜜网最新技术，设计基于GenⅢ蜜网(第三代蜜网)关键技术并集攻击和防御功能于一体的网络安全攻防实验平台，该平台充分利用现有的网络设备和局域网环境，构建成本低廉但设备利用率高，组建灵活且维护简易，又利于操作，可方便学员完成各种攻防实践、各种安全工具学习与网络管理实验。在网络攻防教学实际演练中，取得较好的成效，有助于学员理解信息安全的抽象概念及认识网络整体架构。

1构建平台的关键技术

1.1虚拟机技术

虚拟机系统是支持多种操作系统并行于一个物理计算机上的应用系统软件，是一种可更加有效的使用底层硬件的技术。但并发的多个操作系统及其上的应用程序是在“保护模式”环境下运行的，即每个虚拟系统由一组虚拟化设备构成，都有对应的虚拟硬件，每虚拟系统单独运行而互不干扰，各自拥有自己的CMOS、硬盘和操作系统，同时可将它们联成一个虚拟网络，用来学习和实验网络方面的有关知识，又可节省物理硬件设备，管理方便，安全性又高，非常适合用来构建网络实验平台。

1.2虚拟蜜网技术

(1)蜜网概念

蜜网是在蜜罐的基础上逐步发展起来的一种性的网络安全防御技术，其本质是一种被严密监控的网络诱骗环境，所以又被称为诱捕网络。与传统的防火墙、入侵检测技术相比，蜜网是由真实的计算机构成一个诱捕攻击者的网络体系架构，在其中布置若干蜜罐，用真实操作系统、应用程序和服务来与入侵者进行交互，并引进了主动控制、人工智能等思想，在确保网络高可控的前提下，采用多种技术软件对入侵数据进行检测、采集与分析处理，网络安全工作人员通过蜜网能深入的研究入侵者的思路、 攻击工具和目的，进而及时采取相应措施，在与入侵者的“战斗”中有更大的主动权，因此蜜网更具交互性、主动性和学习性，改变传统网络安全技术的被动防御局面。

典型蜜网组成通常包含有蜜网网关、入侵检测系统及若干个蜜罐主机组成。蜜网网关是控制蜜网网络的枢纽，其上安装多种工具软件，对数据进行重定向、捕获、控制和分析处理，如IPTables、Snort、SebekServer、Walleye等，访问业务主机的流量不经过蜜网网关，而访问蜜罐的网络连接，都由重定向器引向蜜网。               

(2)虚拟蜜网技术

虚拟蜜网是指通过应用虚拟机软件，在同一时间、同一硬件平台上模拟运行多个操作系统，部署若干个虚拟蜜罐，构成的一个虚拟网络。该虚拟网络既能运行传统蜜网的所有组成部分，具备传统蜜网的所有功能，又可在单个主机上实现整个蜜网的体系架构，从而实现在单一主机上部署整个蜜网系统的解决方案。与传统蜜网相比，虚拟不仅节省硬件资源，成本低廉，而且蜜网部署便捷, 配置集中，维护简易，系统容易恢复，引入的安全风险较低，非常适合在设备不足的情况下搭建网络安全攻防实验平台。

2 平台的设计与实现

本文基于最新虚拟机软件VMware8.0和虚拟蜜网技术，构建集网络攻击、防御实验于一体的网络安全实验平台，并用实验验证平台的功能。应用该平台，学员可以任意选取攻击对象和防御策略，在模拟真实环境情况下，参与攻与防对抗演练，在实战模拟中理解网络攻击产生的本源，掌握信息安全防御技术。

2.1平台体系结构

根据网络安全攻防实验功能的需求和现有的网络设备，本实验平台架构如图1所示：

根设计的目标，为了使实验平台能达到真实环境下的效果，又不影响学生机的正常工作，本平台是在一个真实的局域网环境中实现的。虚拟蜜网部分，除日志/管理计算机外，其他的都是基于虚拟机之上，安装虚拟机系统的宿主计算机（蜜网网关）的配置要求要稍高，CPU 最好是双核至四核的，内存应配置2G以上，这样可更好地运行多个虚拟蜜罐操作系统。局域网内的其他计算机一部分做成内部服务器，模拟诸如WWW、Email、FTP服务器的角色，当然也可以选择一台计算机利用虚拟技术来模拟多个服务器，其它的作为日常工作PC，组成业务网络。

在虚拟蜜网网关中，有3个网络接口：Eth0是面向业务网络的外部接口；Eth1是面向多虚拟蜜罐系统的内部接口，Eth0和Eth1在网桥模式，均无IP地址，数据包经过网关时TTL值也不会变化, 也不会提供自身的MAC地址, 因此蜜网网关对于攻击者是透明不可见的，入侵者不会识别出其所攻击的网络是一个蜜网系统；Eth2是用作远程管理，具有有 IP地址，作秘密通道，可把出入虚拟蜜罐系统的数据包及蜜网系统日志转发给一台作远程管理主机。 

图1 实验平台架构图            图2 数据控制与捕获

2.2实验平台核心功能实现

(1).数据控制和重定向功能

数据控制是蜜网必需的核心功能之一。蜜网采用“宽进严出”的方式，所有外来数据都被接入，但向外部发出的数据却严格控制，目的是保障蜜网系统自身的安全的同时，又能防止被攻破的蜜罐主机被用来攻击蜜网之外其他主机系统。

本平台数据控制功能是通过在网关虚拟系统中安装了入侵检测软件Snort和IP包过滤软件IPtables来实现的。Snort用来监控和记录网络数据流，根据已有的攻击特征检测数据库库，对符合特征库的数据发出的警报，起到网络流中的攻击事件进行标识的功能。另外，Snort软件还可以可实现对数据包进行修改、丢弃或放行等操作，并攻击者在蜜网中对第三方发起的攻击行为，降低安全风险。IPtables是IP信息包过滤功工具，具有功能能强大的过滤规则，可通过添加、编辑和删除过虑规则，实现数据的重定向功能。Iptables数据重定向过程是当捕包程序侦听到所有流向蜜罐的数据包，经过滤程序过滤后的特定数据包，由包转移程序重新封装再经蜜网网关转移到虚拟蜜罐，让入侵者感觉就是正在真实产品服务器中行动，达到欺骗入侵者的目的。这样既可监视入侵者的活动，有利于捕获攻击者信息，阻止其达到目的，又不易被入侵者发现身处蜜网之中。虚拟蜜网数据控制机制如图2所示。    

在网关上通过设置IPtables的rc. Firewall脚本，可对向外发出的连接的频率和连接数，实现对它们要采取的措施，进行删除、禁止或丢弃等操作。若在单位时间内，发出数据包达至上限，则记下有关信息，并发出警告。有关规则设置代码如下：

Scale = "Time units"     ----设置时间单位(Time units)可为日、时、分、秒等 

Tcprate= "N"           ----单位时间内TCP连接数目 

Udprate= "M"          ----单位时间内TCP连接数目 

Icmprate= "X"          ----单位时间内TCP连接数目 

Otherrate= "Y"         ----单位时间内IP协议连接数 

数据捕获是蜜网系统中最难实现的核心功能，本平台采用Argus、P0f、Sebek等多种工具相结合的方法来实现这一功能。通过这些工具，对攻击数据进行多层次捕获，捕获到的入侵数据及蜜网日志被通过Eth2端口转存到不易被攻击者觉察的单独的安全系统内，为进一步分析攻击行为提供全面而丰富的数据。

Argus(流量监视器)软件负责监视网络数据流，其利用 libpcap来收集规范的网络通信数据，其收集的数据可以描述数据的数量和每个数据流的持续时间，并能把所收集的数据处理成一个导出数据源；P0f是一个基于Pcap的监控器，可根据Argus监听到的网络流指纹特征，对攻击者的操作系统指纹进行被动辨认；Sniffer软件(网络嗅探器)可被用来获取网络数据包的具体内容，监视数据包的类型、地址、端口等，根据具体的网络问题，还可对捕获的数据包进行分析；Sebek软件分为客户端和服务器端，可用来记录攻击者读取的数据、击键和运行程序的情况，可用来分析攻击者的活动，再现攻击者的行为。Sebek客户端被安装到蜜罐主机上，被用来在蜜罐捕获数据并发送到网关的Sebek服务器端的数据库中。网络安全人员可利用 SebekWeb 来浏览、查询、分析这些数据。图3中包含了数据捕获机制。

 (3).数据分析与报警功能

对捕获的数据进行分析有助于研究入侵者的击键特征、入侵意图、入侵工具及攻击方法等，通过采用数据预处理和行为提取与跟踪的技术手段，及时捕获黑客信息，获得新的入侵特征，有利于预测攻击并在攻击发生之前发生响应，建立早期预警和威胁预测机制。

在本实验平台中，利用Walleye软件和Swatch 工具，可非常方便的实现这一功能。Walleye软件提供了一个基Web的蜜网数据分析接口，它被安装在蜜网网关上，可处理多个数据源，并精确高效分析蜜网所收集的数据，如Sebek 捕获的数据、IDS 报警信息、p0f 系统识别结果、Argus 的分析结果等，以便安全人员快速识别蜜网中所发生的入侵事件。Swatch工具被用来监视日志文件，利用它的自动报警功能，一旦入侵者攻击蜜罐主机，攻击信息符合配置文件的相关特征时，Swatch自动发送E-mail报警通知，并标识向外外连接的目标 IP、端口号以及连接时间等关键信息，安全技术人员通过Walleye的辅助分析功能，即可获知入侵者的攻击方法和动机。 

3 配置操作和实验测试

为了验证本实验平台，在局域网环境中做了蜜网配置操作和实验测试。实验环境：1台虚拟蜜网网关宿主计算机，一台日志/管理监控主机，20台学生用机和一台WWW服务器构成的业务模拟网络，局域网带宽为100M。在业务网络中选择学生机作为攻击计算机，运用一些常见网络攻击软件对本平台的虚拟蜜网系统进行模拟入侵。结果显示，不管采取什么攻击策略，由于蜜网不提供任何工作服务，一旦对蜜网发起连接，都将视为非法连接而被捕获，其活动记录并连同蜜网日志，被发送到蜜网监控主机上。 下面给出实验平台中虚拟蜜罐配置操作和一些简单实验测试实例，验证该平台的可用性。

3.1 虚拟蜜罐配置操作

虚拟蜜罐是虚拟蜜网中的重要角色，在虚拟蜜网中，根据需要基于不同的操作系统，可布置多个蜜罐，在每个蜜罐上设置不同的虚拟服务，可达到更好的欺骗效果，诱使入侵者对其攻击以获取攻击者的有关信息。此处只给出基于Win32系统的虚拟蜜罐Honeyd的脚本配置，如图5所示： 

图4 虚拟蜜罐的配置脚本

3.2  常见的扫描攻击测试

(1).在攻击计算机(IP:192.168.1.8)上运行Nmap工具，针对某一虚拟蜜罐系统(IP:192.168.1.28)，进行SYN的半开扫描，进行网络勘察，企图确定其上运行那种操作系统。攻击结果如图6所示。

图6 网络勘察攻击

(2).当入侵者试图通过发送一个Icmp Echo数据包扫面端口，测试系统是否在运行，为发起连接做准备。通过Snort软件，捕获数据如图3所示： 

图7 端口扫描攻击的捕获数据

3.3  RPC远程溢出攻击测试实验

下面是利用DCOM RPC接口缓冲区溢出漏洞，选择IP地址为192.168.1.26的虚拟蜜罐主机系统为攻击对象，发起远程溢出入侵，入侵实验全过程如图8所示。

RPC远程溢出攻击测试

4 结束语

网络安全攻防实践是信息安全教学中的重要环节，本文构建了一个虚拟蜜网系统，给出其体系结构，并详细阐述了该平台核心功能实现过程。在平台中运用虚拟蜜罐模拟出各种操作系统以及服务漏洞，通过实际测试，验证了平台的可用性，实现平台设计的目标。

通过实验测试，可以看出该平台： 

一则可以降低网络攻防实验对物理网络和操作系统的破坏性，减少实践难度和维护成本。

二则可以使学生对网络入侵攻击工具和方式进行更为直观及真实的理解，激发学生学习的积极性，提高学习兴趣，有利于掌握更多的网络安全防御知识，为发现新的病毒和攻击方法打下基础。

未来的工作是根据实际应用，发现攻防实验平台的不足，从实现技术和实验内容等方面去进一步完善并优化配置，达到更好的实验教学效果。

参考文献：

[1]The honeynet project [EB/OL].http://www.Honeynet.org，2007.8

[2]程杰仁，殷建平，刘  运等．蜜罐及蜜网技术研究进展[J]，计算机研究与发展，2008，(Suppl.)45:375-378

[3]司凤山．蜜网的关键技术研究[J]，计算机安全，2011,(6):61-63

[4]阮  航，张梅琼，许榕生．第三代蜜网体系研究与分析[J]， 莆田学院学报， 2006，13(5):54-57

[5]章 英，向  宏，田庆宜.基于蜜网的网络攻防平台的设计与实现[J]，微计算机信息，2007，23(7-3):44-46

[6]张  翼．利用虚拟主机软件在单机上构建网络课程实验平台[J]，太原师范学院学报，2003，2(3):33-35.

[7]李志勇，刘  锋，孙晓燕.网络对抗实验平台构建[J]，实验技术与管理，2004，21(5):56-60

[8]郭春霞，刘增良，陶源等.虚拟网络攻防分析模型[J]，算机工程与应用，2008，44(25):100-103.

[9]周雪松，丰美丽，马幼捷等．虚拟实验技术的研究现状及发展趋势[J]，动化仪表，2008，29(4):1-4

[10]胡义召，王  贞，安  利．虚拟蜜网的设计与实现[J]，算机工程与科学，2009，31(8):20-23

[11]徐向阳．基于虚拟技术的学生机房安全研究[J] ，光盘技，2008，(4):37-41

[12]韩迎春．使用虚拟机技术搭建网络安全教学的平台[J]，昆明冶金高等专科学校学报，2006，22(5):44-48

[13]张  俊．基于Honeypot主动防御系统的研究与设计[D]，中南大学，2008.6