中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)14-0127-04
Abstract:In view of the current problems in the network security experiment teaching, such as limited time, single environment and scattered topics, taking the SYN Flood attack and defense experiment as a teaching case and proposing a multi scene and combined teaching design. Based on the PC end and the mobile phone end, a modular approach was adopted to achieve a comprehensive offensive and defensive experiment in both real device and simulation environment, which has applied value to the information reform of computer experiment teaching in colleges and universities.
Key words: combination; SYN Flood; network security; experimental teaching; teaching reform
随着互联网的快速发展,DOS攻击和DDOS攻击是目前网络安全领域最严重的问题之一。DOS攻击不同于木马攻击,它不会损害攻击目标的系统和数据,而是通过对目标网络或系统发起持续“合理”的服务请求?砗木》?务器有限的资源,或造成服务器崩溃、瘫痪无法响应正常用户的请求。SYN Flood攻击是目前DOS和DDOS主要的攻击手段之一,它利用TCP协议在建立连接时需要“三次握手”的缺陷对目标服务器恶意发起大量伪造源地址的TCP(SYN置位)请求[1,2],而不给予后续的确认包。因此三次握手无法完成,目标服务器会在SYN Timeout时间内重试(再次发送SYN+ACK包,并将这种半连接状态存储在TCP连接队列中,服务器端将忙于处理攻击者伪造的TCP请求,此时,从正常客户的角度来看,服务器失去响应,即服务器受到了SYN Flood攻击。
在高校网络安全实验教学中,由于SYN Flood对促进学生理解和应用TCP连接控制过程作用明显,因此SYN Flood的攻击和防御实验通常是网络安全类课程的教学重点,如何利用信息技术和先进的教学设计理论推动SYN Flood的攻击和防御实验教学改革值得关注。
1 SYN Flood攻击和防御的原理
TCP(传输控制协议)是一种面向连接、可靠的传输层协议,面向连接是指客户端与服务器在传输数据之前需要建立起特定的虚电路连接。该连接过程被称为TCP的“三次握手”。第一步:客户端向服务器发送一个SYN置位的TCP报文,包含客户端使用的端口号与初始序列;第二步:服务器收到客户端的SYN报文后,回复一个SYN+ACK的报文,并对客户的请求进行处理;第三步:正常情况下,客户端在收到服务器的SYN+ACK报文后,向服务器发送ACK报文,此时三次连接建立[3,4]。此时若出现网络拥塞等原因使服务器在一定时间内没有收到第三次的ACK报文,则服务器会不断重传SYN+ACK报文直至收到ACK或者SYN Timeout超时才会丢弃这种TCP半连接状态并释放资源[5,6]。
SYN Flood攻击的原理就是利用TCP三次握手缺陷和IP欺骗恶意向服务器发送大量伪造源IP地址的SYN包,服务器为这些伪造的客户端不断开辟缓存将导致系统瘫痪,无法响应正常客户的请求[7,8]。而SYN Flood防御则可以通过升级路由器设备为防火墙,保护网站服务器,将可疑源ip地址发往目标服务器tcp连接过滤,以保证正常客户的访问。
2 实验教学设计
网络安全实验总体上分为攻击实验与防御实验,传统网络安全实验教学中多采用多个课时,集中学生在实验室分别展开攻击实验与防御实验。最后在结课时,将两者组合成综合性网络安全攻防大实验。这种的教学设计符合教学大纲,贴合阶段主题。但其主题分散、场景单一、占用课时多等现实问题[9 ,10],不利于拔尖创新人才的培养、不利于促进学生个性化的发展。针对上述问题,本文采取模块化的方法,提出一种具有灵活组合、场景开放、实用性广的综合网络教学设计如图2所示:
在此教学设计中为了克服传统实验教学中场景单一、设备单一的弊端,在攻击实验设计中提出基于PC端和手机端的多场景实验,在防御实验设计中,提出真实设备与虚拟设备相结合的多设备实验,以满足不同层次学生学习的进度要求。
3 基于SYN Flood攻击与防御的教学案例
基于上述组合式的网络安全综合实验教学设计,本文选择网络安全实验中常见的SYN Flood攻击与防御实验作为教学案例来讲解上述教学设计在具体实验教学中的应用。
3.1 攻击实验模块
3.1.1 实验环境 华为ENSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台[11,12],有着完整的网络应用环境支持体系,完美呈现真实设备实景,支持大型网络模拟。LOIC是一个开源的网站压力测试工具,由C#语言开发,其安卓汉化版可以在手机端发起拒绝服务攻击。
本文使用上述工具搭建虚拟网络环境,在ubuntu虚拟机上安装hping3工具作为攻击源向同网段内的ensp目标服务器发起SYN Flood攻击。在手机端使用LOIC软件作为攻击源,通过设定目标机的IP地址、端口、设定与手机性能相适应的线程数向阿里云服务器发起跨网段的SYN Flood攻击。实验拓扑如图3所示:
3.1.2 实验内容与目标
3.1.3 数据分析
(1)抓包分析
当ubuntu虚拟机向同网段内的目标服务器发起SYN Flood攻击时,在虚拟机上开启wireshark抓取报文。当其攻击为不含源地址欺骗时,虚拟机会相应收到目标服务器响应的ACK报文如图4所示:
而当其攻击为含源IP欺骗时,由于所有的源IP地址都是随机伪造的,所以虚拟机上不会收到目标服务器给予的任何ACK报文,如图5所示:
Hping3在短时间内发出大量40字节、TCP Segment Len为0、SYN位被置1的请求数据包如图6所示,此时目标服务器忙于处理这些SYN?求而耗费大量资源,无法及时响应正常用户的请求,我们在另一台电脑上进行网络连通测试,对目标服务器进行ping操作,如图7所示其TTL值随之增大,甚至发生丢包现象。
(2)资源使用率与网络占用率
由于阿里云服务器可以实时监测其网站流量变化,当在手机端使用LOIC向其发起SYN Flood攻击时,在阿里云客户端实时监测服务器资源占用率和公网入流量变化,结果看到当服务器受到SYN Flood攻击时,其入流量与CPU使用率都显著增长如图8所示:
3.2防御实验模块
3.2.1 实验环境
由于路由器只具有转发数据包的作用而不对数据包的内容做相应处理,所以其不具有安全防护功能。而防火墙既能转发数据包又可以对非可靠源的发来数据包进行过滤等处理,可以有效保证服务器的正常工作。本文将上述网段内攻击实验中的路由器设备替换为防火墙设备,通过合理配置,使其有效阻断攻击源恶意发起的TCP半连接。同时,由于任何服务器系统中均有抵御SYN Flood的相关措施,本文以LINUX操作系统为例,通过配置、优化系统,加固协议栈等操作进行防御攻击,实验拓扑如图9所示。
3.2.2 实验内容与配置
(1)防火墙阻断攻击
(2)优化目标服务器系统配置
3.2.3 抓包分析
完成上述配置后,在正常客户机和虚拟攻击机端同时对目标服务器发起ping操作测试网络连通性。此时,Trust域的正常客户可以主动访问目标服务器,而Untrust域的攻击机则无法通过防火墙访问目标服务器,如图10所示:因此虚拟攻击机也无法对目标服务器发起SYN Flood攻击。
4 总结
在计算机学科教学中,实验教学对计算机领域人才培养起到重要作用,传统实验教学多采用前期在课堂进行理论教学,后期集中学生在实验室进行实验教学,最后进行综合性大实验。这种先分散后综合的教学设计存在主题松散、场景单一、占用课时多等现实问题,不利于拔尖创新人才的培养、不利于促进学生个性化的发展。
针对上述计算机网络安全教学实验中存在的问题,本文采取模块化的方法,提出一种将PC端、手机端、以及真实设备和虚拟设备灵活组合,模块化的教学设计。以网络安全实验中常见的SYN Flood攻击与防御实验作为具体教学案例来阐述上述教学设计在具体实验教学中的应用。最后通过分析网络占用率、资源使用率等方法可以清楚看到SYN Flood攻击实验与防御实验的效果。采用这种多场景、组合式的教学设计支持学生灵活选择真实设备与虚拟设备自主开展实验、有利于个性化拔尖创新人才的培养,对高校计算机实验教学改革具有应用价值。
