基于虚拟化技术的网络攻防平台设计

　　网络已经成为现代信息社会必不可少的部分，社会对网络的依赖，一方面促进了网络技术的发展，另一方面也带来许多安全问题。据统计，2011年全国每天平均有超过853万台计算机受到病毒或木马攻击，占每天开机联网计算机总数的5.7%[1]。近期美国的“棱镜门”事件，更是将网络安全问题推到风口浪尖上，国家之间的信息化战愈演愈烈，我国的信息安全也处于十分危险的地步。

　　为应对网络安全以及信息化战争的攻击，许多国家都开始建立网络武器训练场——“靶场”。2008年美国防高级研究计划局发布关于展开“国家网络靶场”（NationalCyberRangeProgram）项目研发工作的公告[2]；2010年诺·格公司在英国的首个商用联合赛博试验靶场法汉姆（Fareham）工厂正式成立[3]。“靶场”被用来模拟大型的复杂网络，并在安全可控的试验环境下进行基础设施生存能力和可靠性方面的试验评估。我国开展网络战研究已有20年的历程，但由于经费投入和技术水平有限，网络战研究需要的条件还不完善。

　　当前国内用来模拟网络对战的方法主要有两种类型：一是通过OPNET、NS2等网络仿真软件来实现，另一种则是通过真实的物理主机来搭建实验网络环境[4]。网络仿真软件存在仿真对象单一、平台制约多以及采集数据少等问题，而使用真实的物理平台则存在价格昂贵、管理困难和模拟规模有限的问题。该文使用虚拟化技术来设计网络攻防平台，将两者的优点进行结合，不仅可以在较少主机规模的情况下模拟较大的网络环境，还可以采集大量真实的数据信息用于后续分析，实现硬件资源部署自动化、虚拟资源管理自动化、实验网络构建自动化，并为结果评估自动化的部署基础模块，具有一定实用价值。

　　1需求分析

　　基于虚拟化技术的网络攻防平台需求体现在四个方面：功能需求、主机需求、网络需求和软件需求。

　　首先，在功能方面，平台需具备：1硬件管理功能，即通过平台可灵活增加、删除主机和交换机等硬件资源，对硬件资源进行统一管理，并在数据库中进行相应的更新；2虚拟机管理功能，即在指定物理主机上增加、删除虚拟机，对虚拟机的启动、关机与使用等状态管理；3操作系统管理功能，指对虚拟机的系统镜像进行管理；4攻防实验管理功能，一个攻防平台绝不是用来完成一次实验就不再使用，极有可能要在调整攻击或防御手段后重复历史实验，因此系统需要对已经进行过的实验配置进行记录和管理，便于后续使用；5监控管理功能，监管并采集平台中运行实验的主机性能指标，用于分析攻防代价；6自动部署功能，自动部署功能是平台最复杂的功能，它包括自动部署主机和自动部署网络两部分，平台需提供简便的网络设计界面，在用户设计完网络拓扑后自动选择合适主机进行实验并配置网络。

　　其次，在主机选择方面，由于攻防平台中的虚拟机都是运行在真实的物理主机上，因此物理主机的性能直接决定了其上运行虚拟主机的数量，继而决定攻防实验的网络规模。在物理主机选型时，该物理主机上运行的虚拟机CPU总和，不超过物理主机的CPU核心数为宜。此外，物理主机的网卡数目不能少于两个，充当路由器的物理主机网卡数目不能少于三个。

　　再次，在网络需求方面，需配置管理网络和实验网络两部分，管理网络用于完成各主机的配置、增删等管理功能，实验网络则为用户根据实验需要定义的网络，需要配备两台或以上交换机来组建平台。

　　最后，软件需求包含操作系统和应用软件两部分。Linux操作系统集成了FTP、TFTP、DHCP等平台搭建所需要的服务，且配置简单快捷，因此Linux系统为首选；应用软件部分主要有虚拟机软件VMware、性能监控软件Ganglia、低交互蜜罐软件Honeyd、网络拓扑绘制软件NetlabClient等。

　　2攻防实验流程

　　1）系统初始化。确认各类资源是否正常启用，并以列表显示可用的物理主机、系统镜像，保证这些资源可远程登录与管理。

　　2）准备实验。使用NetlabClient软件绘制实验网络拓扑（如图2），并给拓扑中的节点指定系统镜像、IP地址等信息，结果导出为.ns文件，用于解析网络结构及节点配置信息，如图3所示。

　　3）调整实验拓扑。实验拓扑是由实验操作人员任意绘制生成，因此无法保证当前的有效实验资源能满足其需求，在首次提交实验拓扑时，并不会进行步骤，只有当步骤（4）报错时才需要进行实验拓扑的调整。

　　4）检查实验资源。从步骤（2）和（3）得到的.ns文件中，解析实验需要用到的虚拟主机以及路由器数量，将其与数据库中可用的资源进行对比，当请求数目小于可用数目时，则进入步骤（5），否则报错，提示用户修改实验拓扑。

　　5）配置虚拟资源。在平台初次进行实验时，物理主机上并没有虚拟机，此时首台物理主机将从管理控制主机的FTP目录下载需要的虚拟机镜像，当首台物理主机上的虚拟机达到可容纳的最大量时，下载工作转到第二台物理机上，直到下载的镜像数目和类型完全满足实验所需。接下来管理服务器上发送指令启动这些虚拟机，并通过轮询的方式判断虚拟机的启动状态。完全启动所有虚拟机后，系统通过管理网登录到各虚拟主机上，给其实验网卡配置与第（2）步生成的.ns文件对应的IP地址，然后与实验交换机进行交互，划分出对应的VLAN。当虚拟主机和网络全部顺利配置完成后，提示用户开始攻防实验，否则报告错误，关闭所有虚拟主机，并退出配置过程。

　　6）开始实验。用户在第（5）步完成后，就可以在已构建的实验网络中开始攻防演练。通常攻击方会通过远程连接登录若干主机，在其上面进行一些攻击武器的部署，然后通过监控工具收集实验中各主机产生的数据。

　　3平台设计与实现

　　基于虚拟化的网络攻防平台从硬件结构上来看由四部分组成：管理控制服务器、管理交换机、实验交换机和物理主机，如图4所示。