TCP/IP协议安全分析仿真平台设计

黄展鹏　蒙炜龙　吴俊璋　韦杰帅

【摘 要】TCP/IP协议安全分析仿真平台主要由数据报文捕获与解析、数据报文构造与发送、DNS服务器、DHCP服务器等模块构成。本平台使用的是真实可控的网络环境，捕获网络流量并对数据报文进行解析，能按需求构造报文并发送，实现网络协议安全分析。

【关键词】协议安全;实验教学

中图分类号： TP393.08文献标识码： A文章编号： 2095-2457（2019）32-0121-002

DOI：10.19694/j.cnki.issn2095-2457.2019.32.055

Design of TCP/IP Protocol Security Analysis and Simulation Platform

HUANG Zhan-peng MENG Wei-long WU Jun-zhang WEI Jie-shuai

（Department of Computer Science and Information security， Guilin Guangxi 541004， China）

【Abstract】TCP/IP protocol security analysis and simulation platform consists of four modules： data packet capturing and analysis， data message constructing and transiting， DNS server and DHCP server. The platform is used in the real network environment， to capture and analyze the real network traffic， and can construct data packets needed and send them to the real network environment， to achieve the real network attack and scanning probe， helping learning network protocol security technology.

【Key words】Protocol Security; Experimental Teaching

0 引言

网络安全是计算机領域要解决的重要问题之一，对于计算机专业的学生或者在信息安全领域工作的人员而言，在真实的网络环境下，学习常用的网络攻击和检测手段是十分有意义的。

本平台设计包括数据报文捕获与解析、构造与发送、DNS服务器和DHCP服务器共四个模块。数据报文捕获与解析、构造与发送模块使用基于Winpcap，包括以数据报文的捕获、解析、内核过滤与接收技术为基础，根据用户的学习需求，提供了数据报文的捕获和详细分析功能和数据报文构造传输功能。用户可以分析捕获的数据报文，或根据自己需求填写数据报文的字段并发送到目标主机中。本平台的DNS服务器和DHCP服务器则是使用Qt下的QtNetwork模块来实现，为学习者提供了研究常见的攻击DNS服务器和DHCP服务器手段的环境。

1 TCP/IP协议安全分析平台设计

本平台由两个自主封装库和五个程序组成，分别是网络工具库、界面工具库、启动界面程序、数据报文捕获与解析程序、数据报文构造与发送程序、DNS服务器和DHCP服务器。

1.1 网络工具库设计

网络工具库主要是实现WinPcap的面向对象封装版本、结构格式转换函数、网络协议格式首部定义和数据报文构造的函数。

在WinPcap的面向对象封装版本中，通过定义一个网卡对象，可以十分简单地打开一张网卡并获取它的相关信息（如MAC地址，IP地址，子网掩码和网关等），还能捕获经过这张网卡的所有网络数据报文或通过这张网卡对外发送网络数据报文。除此之外，还能定义一个堆文件对象，将捕获到的数据报文记录到堆文件中保存或者从堆文件中读取已保存的数据报文进行相关操作。

结构格式转换函数主要是为了方便将网络中传输的IP地址或MAC地址结构转换为用户可读的字符串形式，或者从字符串形式转换成网络中传输的IP地址或MAC地址结构。

网络协议首部定义和数据报文构造的函数实现主要是方便分析网络数据报文时存储数据，还有在编写数据报文构造与发送程序、DNS服务器和DHCP服务器时，要求能快速地构造所需协议的数据报文。

1.2 界面工具库设计

对于一个具有图形化界面的软件而言，美观的界面是吸引用户使用的一个重要的手段，界面工具库主要用来设置整个应用程序的界面的风格使应用程序整体看起来扁平化。界面工具库还会设计一些程序经常用到的对话框，如警告提示对话框、错误提示对话框和确认对话框等等。由于本平台的程序比较多，因此需要设计一个启动界面方便用户快速启动平台的程序。该启动界面相当于是整个平台的一个入口，只允许本程序只有一个实例在操作系统中运行。

1.3 数据报文捕获与解析模块设计

数据报文捕获是整个平台的最重要的程序之一，在主机上流动的网络数据报文将会以列表和图表的形式显示在这个程序上。用户在捕获前可以设置过滤条件，只捕获自己想要的数据报文。用户还可以查看某一数据报文的详细字段信息，分析所处的网络环境的情况。本程序还将用状态栏显示当前网卡的MAC地址、IP地址、子网掩码、网关和网速，更好地协助用户分析网络环境的状况。

为了保证捕获过程不会影响到应用程序界面对用户的及时响应，将开启一个线程来捕获数据报文，并且为了详细解析数据报文该线程还要将数据报文写到堆文件中保存。此外实时流量地监控也应该在线程中执行。

1.4 数据报文构造与发送模块设计

数据报文构造与发送也是整个平台的重要程序之一，用户可以使用本程序进行数据报文的半自动化的构造并发送到用户定义的地址，实现ARP欺骗、PING、UDP数据传输和TCP SYN扫描等常见的网络攻击和扫描探测。

此外，为了让用户了解整个局域网的网络状况，将会局域网主机探测和端口扫描，给用户提供数据包的发送对象和方便用户填写数据报文相关参数。与数据报文捕获程序类似，本程序也会有一个状态栏显示当前所使用网卡的MAC地址、IP地址、子网掩码和网关。

由于发送数据报文的数量往往需要循环发送，为了避免应用程序界面卡死，所有发送数据报文的操作都将在线程中进行。

1.5 DNS服务器设计

DNS服务器主要功能就是将发送到服务器上的DNS请求进行解析，服务器将会把请求的内容（如：域名）在用户自己配置的HOST文件中查找对应的记录。如果找到，则将结果返回给请求者，如果没有，则不进行回应。

DNS服务器主要由DNS解析构造和DNS配置两大部分组成。DNS服务器先配置好本地HOST文件，然后开始监听本地主机的53端口，将收到全部数据报文转交给DNS解析构造模块处理，如果能解析成功，则将解析结果返回给请求者。

1.6 DHCP服务器设计

DHCP服务器主要是一个伪装的服务器，用户需要知道局域网有哪些可用的地址，然后简单配置DHCP服务器，DHCP服务器启动后会对局域网已存在的DHCP服务器进行泛洪攻击，让其他DHCP服务器IP地址资源耗尽，这样新加入局域网的主机就只能獲取本DHCP服务器提供的假冒IP地址和相关网络信息，从而控制被攻击者的网络。

DHCP主要由DHCP解析，DHCP构造，DHCP泛洪和DHCP假冒四个部分组成。本DHCP服务器会监听所有经过操作系统67和68端口的所有数据包。分析数据包是DHCP报文类型。如果是局域网内主机请求DHCP服务器分配IP地址的DHCP请求报文，则进行DHCP欺骗攻击。如果是局域网内其他DHCP服务器回复给某台主机的DHCP回复报文，则对那台DHCP服务器进行DHCP泛洪攻击。

2 平台在实验教学中的应用

本平台能让用户在可控范围内使用真实的网络环境，获取真实的网络数据，开展真实的网络攻击与扫描探测，部署基本功能完备DNS服务器和DHCP服务器。用户在使用本平台学习的时候，能更加直观真实的观察网络数据的流动和数据报文详细信息，更直观地面对各种网络攻击，学习网络攻击的特征。

3 结语

TCP/IP协议是Internet的网络基础，而其核心不可能在短期内进行重新设计和部署实施，无法从根本上改变目前网络面临严重安全威胁的状况。只有通过研究、学习常见攻击的原理，才能给出相应防范策略，通过部署一些监测、预防与安全加固措施，增强网络对已知攻击的抵御能力。

本平台所捕获的数据报文真实，解析数据报文析详细，构造数据报文完整，传输数据报文准确，伪造的DNS服务器和DHCP服务器基本功能齐全，能完整地展现发生在局域网内的常发生的网络问题，用户可以在可控范围内学习各种网络攻击与扫描探测方法，并自主研究如何防范网络攻击或屏蔽恶意地扫描监测。

【参考文献】

[1]吕雪峰，等.网络分析技术揭秘[M].北京：机械工业出版社，2012.

[2]LawrenceBerkeley.TCP/IP详解卷2：实现[M].北京：人民邮电出版社，2016.

[3]霍亚飞.Qt Creator快速入门[M].北京：北京航空航天大学出版社，2014.