◆冷涛 鄢雨涵 高彬晗 谭珊然 王衡
网络攻防与取证训练平台设计与实现
◆冷涛1,2鄢雨涵1高彬晗1谭珊然1王衡1
(1.四川警察学院计算机科学与技术系 四川 646000;2.四川警察学院刑事检验四川省高校重点实验室 四川 646000)
当前网络犯罪形势严峻,网络警察专业人才缺口较大,专业素质要求较高。传统网络靶场费用高,部署在实验室,重型化等不足,设计在个人主机运行的网络攻防与取证训练平台,因而支撑实践学习具有重要意义和急切需求。本文采用以CTFd开源平台为基础,构建网络攻防和电子数据取证的相关知识体系,利用Docker、虚拟机等虚拟化技术构造靶场资源,实现集网络攻防、电子数据取证训练于一体的网络安全训练平台,用于个人学习和竞赛演练,高效促进用户能力提升。
网络安全;网络攻防;取证;平台
当前互联网的快速发展带给人们便利的同时,也滋生了网络犯罪,特别是网络攻击、网络诈骗、网络赌博、网络传销等犯罪频发,给单位和个人带来巨大的经济损失,严重危害我国网络安全。公安机关为打击网络犯罪,维护政权安全压力巨大,而网络警察作为打击网络犯罪的前沿主力军,其人才培养受到国内众多公安院校的重视。近年来,各公安院校建立了网络攻防靶场实验室,购买了取证设备,但由于以前的靶场多采用openstack搭建,一般在实验室机房教学使用,投入较大。而在线的大多数的训练平台多为CTF竞赛模式,缺少与公安实战联系,不利于公安网络民警和学警对最新的网络安全技术和实战案例的学习和掌握。在学术研究方面,国内学者围绕网络攻防靶场做了许多研究[1],并提出基于Docker技术在AWS云搭建网络靶场,主要包括CTF和AWD两种竞赛模式,用于服务学生培养[2]。采用虚拟化技术搭建网络靶场,在电子数据取证靶场方面,刘琛在文献[3]中详细介绍了电子取证的实训平台设计与电子取证的相关技术内容,该文侧重电子取证训练平台的开发。徐国天在文献[4]中提出基于openstack搭建电子数据取证靶场。总体来看,OpenStack云平台主要适用于单位环境,比较重型,成本较高,不适用于个人单机使用。而国内市场的教学训练靶场也多针对网络攻防能力的培养,较少针对电子数据取证方面来设计训练平台。本文探究基于Docker等虚拟化技术,构建网络攻防与电子数据取证综合训练靶场,既可用于教学,也可在个人主机部署,有力支撑人才培养与训练。
1.1.1网络攻防训练平台概念
网络攻防训练平台的核心理念是仿真。它是一种运用虚拟化技术,对真实的网络空间中的网络架构、业务流程、系统设备的运行状态及运行环境进行模拟和复现的平台。借此平台能更有效地实现公安网络民警和学警对网络安全相关的学习、研究、检验、竞赛、演习等项目进行系统的训练,从而达到提高用户的网络安全对抗能力水平的目的。
1.1.2网络攻防训练平台功能
网络攻防训练平台是一个集成网络安全漏洞验证、网络武器试验、攻防对抗演练及网络风险评价的重要基本工具和平台,本文所设计网络攻防训练平台在于专业技能训练,验证网络漏洞,提升实战能力,主要包含了Web安全、系统安全等知识,并且可满足网络民警和学警的专业教学和个人学习需求。平台设计考虑专业知识实训、技巧培养、仿真演示、管理考核等功能,可以广泛应用于专业技术人员培养和应用需要。
1.2.1电子取证训练平台概念
电子取证训练平台主要是一种泛指通过虚拟化的技术来取证相关的网络犯罪案件活动,以镜像形式提供给用户分析,通过设计不同的题目资源,引导用户分析问题,考核用户解决问题的技术能力。题目设计可覆盖电子数据取证的相关文件规范和整个取证流程,技术难点等。
1.2.2电子取证训练平台功能
从资源建设上讲,电子取证训练平台包括计算机取证、手机取证、内存取证、网络取证、数据库取证、恶意代码取证,日志分析等,从功能设计上,主要以题目考核和案例报告的形式提交管理平台进行考核评分,既有主观评分,也支持自动评判客观成绩。在组织形式上,可以竞赛或个人测验或学习通关的形式展现。
为了提高人才培养质量和针对性,设计网络攻防靶场和电子数据取证靶场为一体的综合训练平台。基于虚拟机、phpstudy、Docker、CTFd等技术来构造靶场学习平台与竞赛平台。其中,靶场学习平台主要是网络攻防靶场与电子取证靶场相结合的综合性网络训练平台,平台根据网络攻防和电子取证相关知识体系设计题目;而竞赛平台则基于CTFd,CTFd采用Python 语言编写的capture the flag 框架,支持使用自定义插件和主题,快捷方便的实现个性化,其构建简单、可定制性,在CTF竞赛平台中广泛采用。本实验平台基于CTFd框架,通过分析网络攻防和电子数据取证相关知识体系,设计包含Web安全基础,综合渗透,内网渗透的网络攻防靶场,以及覆盖网络取证,内存取证,计算机取证,手机取证等资源的电子数据取证靶场,通过CTFd框架设计竞赛平台和题目演练,题目资源采用Docker和虚拟机技术承载,平台功能设计如图1所示:
图1 网络攻防与取证训练平台
平台资源主要覆盖网络攻防靶场和电子数据取证靶场。其中网络攻防靶场包含Web安全基础、综合渗透、内网渗透等知识,电子数据取证靶场涉及网络取证、内存取证、手机取证、计算机取证等。
Web安全基础靶场目标在于训练Web安全专项基础知识,逐一训练常见Web安全漏洞,如Sql注入,跨站脚本攻击,文件上传,命令执行等漏洞知识。靶场选择目前经典的Web安全单项靶场,例如Sqli-labs,Uploadlabs,Xss-labs等靶场。sqllabs靶场是综合了各种sql注入漏洞,难度从易到难。uploadlabs 靶场是一个基于 php 语言进行编写的文件上传漏洞靶场,Xss-labs为跨站脚本攻击漏洞靶场,一共20关,通过单项靶场的训练,让学员能系统掌握每个漏洞,夯实基础知识能力。
Web渗透综合靶场主要侧重综合应用Web安全知识能力。设计Dvwa靶场,Vulhub,Pikachu靶场等。Dvwa 靶场软件是一个基于 php / mysql 架构搭建的 Web 应用程序,为我国公安网络民警及学警们检测自身的相关专业知识技术和工具时,提供了一个合法的环境,同时还有利于帮助我国公安网络民警及学警们更好地了解网络应用安全风险防范的重要性。Dvwa 靶场总共由十个模块组成:(1)暴力破解;(2)命令注入;(3)跨网请求假冒伪造;(4)文件内容;(5)文件上传漏洞;(6)不安全的验证;(7)sql注入;(8)sql注入(盲注);(9)反射型XSS;(10)存储型XSS。同时每一个安全模块的开放源代码都具有4种不同安全级别。通过从较低的复杂难度问题测试转变到较高的困难难度测试和参考等级之间代码的改变,能够更加有助于用户迅速并准确的理解其中的一些漏洞。Vulhub则是一个基于Docker和Docker-compose的漏洞环境而具体复现的集合,进入相应的目录并在其中执行一条语句后就可以直接启动一个全新的漏洞环境,让整个漏洞的具体复现原理工作流程变得更加简便,让用户更多地能够专注于理解整个漏洞的原理本身。
内网渗透靶场,是高级实战靶场,侧重综合渗透能力、横向移动能力和后渗透能力的训练,这部分靶场采用自定义网络拓扑设计环境或采用借鉴启元学堂提供的红队实战镜像。红队实战是以发现网络系统薄弱的环节,并尽可能地找出系统中存在的所有网络安全问题,从而提升网络系统安全性为练习目标。该镜像设计贴近实战,可全面提升攻防实战能力。
电子数据取证靶场,包含了网络取证靶场,计算机取证靶场,计算机取证靶场和移动网络取证靶场。本部分靶场资源通过收集各类取证大赛,CTF竞赛的相关镜像资源和公安实战抽象案例资源设计而成。其能够系统地锻炼电子数据取证能力,同时还可结合现场勘验,文书制作等知识要点设计竞赛题目,对学员进行考核训练。以此完善学员对电子数据取证知识、各种技术手段、工作流程的认识。
基于CTFd竞赛平台,设计Web安全基础、综合渗透、内网渗透和电子数据取证靶场资源如图2所示,经测试可正常运行,支撑人才培养训练。并可结合知识体系,自定义增加,修改资源,开展竞赛训练等。
结合网络攻防与电子取证相关知识点,通过VM虚拟机,phpstudy和Docker搭建了CTFd,并在该平台上部署Sqli-labs,Uploadlabs,Dvwa,Vulhub等系列靶场,操作简单方便。同时针对其他靶场的缺点进行了以下改进(1)运用了基于VM虚拟机、Docker与phpstudy的虚拟化技术,可以快速搭建和恢复实验环境;(2)在出题方面,增添了系统进行的安全性测试形式的题目,更加贴近公安实战;(3)每道题目附带答案与恢复实验环境步骤;(4)平台题目增添了电子取证方向的题目,旨在打造一个全面提升使用者的平台。
图2 平台资源页面
此平台可以服务公安网络民警和学警进行训练和实战。其能全方位的锻炼用户的网络攻防和电子取证的实战水平,掌握专业知识并了解最前沿的网络安全知识。不仅如此,靶场收纳大量题目与解题思路,极大减少了使用者查找相关资料的时间。对用户具有很大的积极意义。
[1]杨路.用于网络攻防教学的AWS+Docker网络实训平台设计——以安徽公安职业学院为例[J].云南警官学院学报,2020(03):35-40.
[2]黎水林,陈广勇. 基于虚拟化技术的网络攻防仿真平台的设计与实现[A]. 公安部第三研究所.信息网络安全 2016增刊[C].公安部第三研究所:《信息网络安全》北京编辑部,2016:4.
[3]刘琛.电子数据取证综合实训平台设计与实践[J/OL].实验技术与管理,2017(1):144-148.
[4]徐国天.面向取证能力提升的网络靶场训练系统构建[J].警察技术,2017(03):69-73.
刑事检验四川省高校重点实验室开放基金研究项目(2020ZD03);四川省大学生创新训练项目(S202012212034);泸州市科技创新苗子培育计划项目(2019-RCM-90)