TCP/IP协议安全分析平台及其在实验教学中的应用

姚罡 谭庆浩

【摘 要】信息安全学习者学习网络攻防技术在学习过程中往往进入一个误区，依赖于现成网络攻防工具，而大部分工具的使用并不需要进行相应参数设置，是“傻瓜式”应用，并不清楚这些工具的工作原理，不理解涉及的网络协议，仅仅停留在“用”的层次。那么开发一个网络协议安全分析平台，剖析TCP/IP协议漏洞利用及攻击检测方法，将有助于提高学习者的学习效率和分析能力，有效化解学习者在学习网络安全协议过程中所面临的概念抽象、分析困难等障碍。

【关键词】协议安全；实验教学

中图分类号： TP393.04；G642.423 文献标识码： A 文章编号： 2095-2457（2018）24-0094-002

DOI：10.19694/j.cnki.issn2095-2457.2018.24.045

【Abstract】Information security learners learn network attack and defense technology often enters a misunderstanding in the learning process， just relying on network attack and defense tools， and most tools do not need to set the corresponding parameters， it is a “fool” application. It is not easy for the learners to understand the network protocols involved， just stay at the “use” level. Then develop a network protocol security analysis platform， analyze TCP/IP protocol exploit and attack detection methods， which will help improve learners learning efficiency and analysis ability， and effectively discuss the concepts that learners face in learning network security protocols.

【Key words】Protocol Security； Experimental Teaching

0 引言

通过对国内主流网络安全教学平台进行分析，TCP/IP协议的安全分析只是一个功能模块，并没有从分层的角度去逐层分析，而且大部分运用网络仿真工具，模拟主机、路由器等设备，即以可视化的方法分析数据包流动，动画显示网络攻防过程，学习者只能看，无法进行验证。网络安全涉及的空间巨大且系统复杂，网络安全研究需要在攻击和破坏情况下进行，运用实况仿真技术进行研究非常必要，即利用真实主机、路由器、交换机等设备组成独立网络，进行攻击和检测、防范的实时实况仿真。

1 TCP/IP协议安全分析平台设计思路

研究TCP/IP协议工作原理、攻击与防范技术，实现集成网络协议分析、常见协议攻击、防范功能模块的实况仿真平台，通过以下技术实现。

1.1 数据包捕获、解析、构造技术

研究基于WinPcap的网络分析技术的实现原理及使用方法。其中包括WinPcap内核驱动，编译与使用，数据包的捕获、发送、内核过滤与接收，以及网络流量的统计与网络状态的分析等重要内容。对TCP/IP协议了解深入，构造符合要求的数据包，能构造ARP报文、DHCP报文、TCP报文（根据学习者的需求设置数据包字段，如MAC地址、IP地址、标志位等），实现网络攻击仿真。

1.2 网络协议攻击与防范技术

实现网络扫描及其检测技术，实现针对网络协议的攻击，以ARP欺骗为例，ARP欺骗攻击轻则掉线断网，重则攻击者能实现监听，暴力的获取别人发送的数据包。网络中网关的物理地址和IP地址是唯一对应的，通过在启动时会获得一次真实的网管信息，然后保存，并加入检测规则集合中，当发现这一对应关系被篡改，就会被检测出来。

1.3 入侵检测系统技术

采集内网用户间的数据包，利用数据库存储并整理采集到的数据，对数据库中所整理数据进行特定条件的检查，看这些数据是否满足预置的入侵特征，以提示入侵行为。

1.4 简单蜜罐技术

主要针对利用ARP、TCP扫描。当发现有主机扫描网络时，平台将回复虚假应答给该主机，记录该主机并迷惑该主机，加大攻击者的攻击难度，化被动为主动。

2 TCP/IP协议安全分析平台主要功能模块

通过分析常见TCP/IP协议安全漏洞，研究ARP欺骗、DNS、DHCP服务器常见攻击的工作原理，实现基于WinPcap和Qt的TCP/IP协议安全分析平台。

2.1 数据报文捕获与解析模块

数据报文捕获与解析是整个平台的基础，流动的网络数据报文将会以列表和图表的形式显示，并且用户在捕获前可以设置过滤条件，只捕获自己想要的数据报文。用户还可以查看某一数据报文的详细字段信息，分析所处的网络环境的情况，显示当前网卡的MAC地址、IP地址、子网掩码、网关和网速，更好地协助用户分析网络环境的状况。

2.2 数据报文构造与传输模块

通过数据报文构造与传输模块，用户可以进行数据报文的半自动化的构造并发送到用户定义的地址，实现ARP欺骗、PING、UDP數据传输和TCP SYN扫描等常见的网络攻击和扫描探测。此外，为了让用户了解整个局域网的网络状况，将会进行局域网主机探测和端口扫描，给用户提供数据包的发送对象和方便用户填写数据报文相关参数。

2.3 DNS服务器仿真模块

DNS服务器主要功能就是将发送到服务器上的DNS请求进行解析，服务器将会把请求的内容（如：域名）在用户自己配置的HOST文件中查找对应的记录。如果找到，则将结果返回给请求者，如果没有，则不进行回应。

2.4 DHCP攻击仿真模块

该模块主要完成一个假冒的DHCP服务器和客户端，用户需要知道局域网有哪些可用的地址，然后简单配置DHCP客户端，该客户端启动后会对局域网已存在的DHCP服务器进行泛洪攻击，让其他DHCP服务器IP地址资源耗尽，这样新加入局域网的主机就只能获取假冒DHCP服务器提供的假冒IP地址和相关网络信息，从而控制被攻击者的网络。

3 平台在实验教学中的应用

本平台能让用户在可控范围内使用真实的网络环境，获取真实的网络数据，开展真实的网络攻击与扫描探测，部署基本功能完备DNS服务器和DHCP服务器。用户在使用本平台学习的时候，能更加直观真实的观察网络数据的流动和数据报文详细信息，更直观的面对各种网络攻击，学习网络攻击的特征。

本项目利用实况仿真，用真实主机、路由器、交换机等设备组成独立网络（完全功能的实际应用网络），集成了网络协议分析、常见协议攻击、防范三个功能模块，配置针对TCP/IP协议安全分析的应用场景，提供半自动网络攻防工具，即要求学习者在分析TCP/IP协议基础上，针对不同层的协议的漏洞，进行参数配置后发送相应的数据包，达到漏洞利用的目的，平台能够对整个攻击过程进行记录，便于学习者回溯，分析攻击原理，并在此基础上启动、配置平台相应的防范模块，达到攻防两方面的学习。

4 结语

TCP/IP协议是Internet的网络基础，而其核心不可能在短期内进行重新设计和部署实施，无法从根本上改变目前网络面临严重安全威胁的状况。只有通过研究、学习常见攻击的原理，才能给出相应防范策略，通过部署一些监测、预防与安全加固措施，增强网络对已知攻击的抵御能力。

【参考文献】

[1]吕雪峰等.网络分析技术揭秘[M].北京：机械工业出版社，2012.

[2]LawrenceBerkeley.TCP/IP详解卷1：协议[M].北京：人民邮电出版社，2016.

[3]LawrenceBerkeley.TCP/IP详解卷2：实现[M].北京：人民邮电出版社，2016.

[4]霍亚飛.Qt Creator快速入门[M].北京：北京航空航天大学出版社，2014.