课程2-网络攻防实验环境构建

2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2010诸葛建伟1诸葛建伟zhugejw@gmail.com网络攻防技术与实践课程2.网络攻防实验环境构建2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟2内容1.网络攻防实验环境2.虚拟化技术与云计算热潮3.蜜网(Honeynet)技术介绍4.基于虚拟蜜网的网络攻防实验环境5.网络攻防的活动与竞赛形式一些名言和典故―不闻不若见之，闻之不若见之，见之不若知之，知之不若行之，学至于行之而止矣，行之，明也。‖——荀子《儒效篇》―实践出真知‖,―实践是检验真理的唯一标准‖——毛泽东《毛泽东选集》―纸上谈兵‖(赵括)―知其然，而不知其所以然‖——梁启超《论小说与群治之关系》―什么都略懂一点，生活更多彩一些‖——?2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟32011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟4为什么需要网络攻防实验环境?网络攻防是基础知识和实践紧密结合的技术方向基础知识:计算机各个方面专业知识都要‖略懂‖操作系统、网络的基本结构与底层机制编程语言、汇编语言及软件编译执行机理密码学与信息安全专业基础…实践技能:各种网络和系统实践技能也要‖略懂‖系统底层机制进行深入探究的技术能力:网络、程序…掌握网络渗透测试的实践技能支持更好的研究和防御掌握对攻击的分析实践技能了解安全威胁,支持更好的防范掌握攻击防御和响应技能专属的网络攻防实验环境学习网络攻防技术需要一个实验环境学打篮球：你就需要篮球场拿Internet直接作为攻防实验学习环境违背传统黑客道德与精神效率低下学习方式，“脚本小子”/低水平骇客专属的网络攻防实验环境环境的可控性、可重复性“我的地盘我作主”2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟52011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟6网络攻防实验环境的基本组成攻击机:发起网络攻击的主机Win32:WindowsXPLinux:morepowerful,建议攻击平台攻击目标主机（靶机）Win32桌面操作系统:WindowsXPLinux服务器操作系统:Ubuntu/…Win32服务器操作系统:Win2K3/Win2KServer攻击检测、分析与防御平台攻击目标主机网关位置网关:网络流分析、检测、防御攻击目标主机:系统日志采集与分析构建一个基本网络攻防环境，需要4-5台主机及相关联网设备2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟7V-Net:基于虚拟蜜网的攻防实验环境虚拟机技术(VirtualMachine)通过虚拟化技术在一台主机上构建攻防实验环境降低部署成本同时提高易管理性虚拟机软件:VMwareWorkstation/vSphere蜜网技术(Honeynet)陷阱网络：诱骗和分析网络攻击高交互式蜜罐：提供攻击目标环境蜜网网关/Sebek：攻击网络/系统行为捕获与分析虚拟机+蜜网=虚拟蜜网(VirtualHoneynet)2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟8基于虚拟蜜网的攻防实验环境拓扑2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟9内容1.网络攻防实验环境2.虚拟化技术与云计算热潮3.蜜网(Honeynet)技术介绍4.基于虚拟蜜网的网络攻防实验环境5.网络攻防的活动与竞赛形式虚拟化技术和云计算热潮GoogleTrends：虚拟化和云计算查询热度趋势比较虚拟化技术：21世纪以来的IT技术热点云计算：近年来IT领域最热点的词汇2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟102011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟11什么是虚拟化?虚拟化(Virtualization)创建某种事物的虚拟(非真实)版本的方法和过程.虚拟(Virtual)通常用于区分纯粹概念上的事物和拥有物理实体的事物.计算领域中的虚拟化[whatis.com][webopedia]创建某种计算资源的虚拟版本的方法和过程.某种事物某种计算资源示例:处理器,内存,磁盘,完整的计算机,网络等2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟12虚拟化技术的提出与复兴虚拟化技术Zerogeneration:大型机虚拟化1964-1973:IBMmainframes(CP-40,M44/44X,S/360,CP-67,CP/CMS,S/370,VM/370)–分时,虚拟内存,runVMunderVM,对稀有的硬件资源进行多路复用，支持运行多个作业程序.1974:IEEEComputer―SurveyofVirtualMachineResearch‖80s,90s:虚拟化技术消失,由于现代多任务操作系统兴起和硬件价格飞速下降1995-:虚拟化技术的复兴–JavaVM(95),VirtualPC(Connectix,97),VMware(98)虚拟化技术的发展过程年份1964197419952008复兴期初生期沉寂期全盛期流行度2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟13虚拟化技术的复兴:第一代虚拟化第一代虚拟化技术:x86虚拟化(1997-2005)1997:VirtualPCforMacintoshbyConnectix1998:DianeGreene和MendelRosenblum从Stanford创建VMware公司，申请专利技术1999:VMwareVirtualPlatform(Workstation)forx862001:VMwareGSXServerproduct(Server,2006年免费发布)2003:MS并购Connectix(VirtualPC&VirtualServer),EMC并购VMware$635million第一代虚拟化技术：基于动态翻译技术的完全虚拟化2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟14第二代虚拟化技术:硬件/操作系统支持的虚拟化技术(05-)硬件支持虚拟化技术-nativevirtualization2005:Intel在芯片中开始支持虚拟机IVT(Vanderpool/Silvervale)2006:AMD在芯片中开始支持虚拟机AMD-V(Pacifica)操作系统支持虚拟化技术-paravirtualization2002:DenalibyWashingtonU.2003:XenbyXenSource(fromU.ofCamb.)2005:VirtualMachineInterfacebyVMware2008:XenSourceisalsodevelopingacompatibilitylayerforMSWindowsServer2008虚拟基础设施2005-:VirtualInfrastructurebyVMware虚拟化技术的复兴:第二代虚拟化2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟15计算机系统最重要的三个接口ISA:指令集架构Interface3:系统ISA,OS可见,用于管理硬件Interface4:用户ISA,应用程序可见ABI:应用程序二进制接口Interface2:系统调用接口Interface4:用户ISAAPI:应用程序编程接口Interface1:高级编程语言库函数调用Interface4:用户ISAFigure:ComputerSystemArchitecture2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟16什么是虚拟机？什么是虚拟机?机器(―machine‖)的虚拟版本那什么是机器Machine?从一个进程的角度定义机器一个逻辑内存地址空间;用户级的指令和寄存器;I/O(仅通过操作系统系统调用可见)实际上,ABI接口定义了进程角度所看到的机器;API接口定义了一个高级编程语言程序所看到的机器.从操作系统的角度定义机器底层硬件特性定义了机器.ISA提供了操作系统和机器之间的接口.2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟17进程级虚拟机和系统级虚拟机进程级虚拟机进程级虚拟机是执行单一进程的虚拟平台.JavaVM,FVMSandbox,etc.系统级虚拟机系统级虚拟机提供了支持操作系统和上层众多应用进程的一个完整、持久稳固的系统环境.VMware,Qemu,etc.基本概念guest,host,runtime,VMM2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟18系统级虚拟机HostedVS.Hypervisor2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟19HostedVMHypervisorVM2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟20系统级虚拟机实现需求和目标系统级虚拟机实现需求向GuestOS提供与真实硬件相类似的硬件接口硬件接口:CPU,Memory,I/O(Disk,Network,外设)系统级虚拟机实现目标兼容性:具备运行历史遗留软件的能力性能:较低的虚拟化性能开销简单性:支持安全隔离(没有/很少安全缺陷),可靠性(不失效)多种不同技术,分别提供不同的设计平衡2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟21CPU虚拟化技术CPU架构可虚拟化:如果支持基础的虚拟化技术——直接执行(directexecution)直接执行在VMM保持对CPU的最终控制权前提下，能够让虚拟机中的指令直接在真实主机上运行实现直接执行需要:虚拟机特权级和非特权级代码:CPU的非特权模式执行VMM:CPU特权模式执行虚拟机执行特权操作时:CPUtraps到VMM,在模拟的虚拟机状态上仿真执行特权操作提供可虚拟化的CPU体系框架的关键提供trapsemantics,使得VMM可以安全的、透明地、直接的使用CPU执行虚拟机.2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟22CPU虚拟化的挑战大部分modernCPU并不支持可虚拟化,如x86需直接访问内存和硬件的操作系统特权代码必须在Ring0执行CPU虚拟化必须在GuestOS下面添加VMM(Ring0)一些关键指令在非Ring0权限级执行具有不同语义:不能有效虚拟化,如POPF指令非特权级指令可以查询CPU的当前特权级,x86并不trap这些指令Figure:x86privilegelevelarchitecturewithoutvirtualization2011年3月6日网络攻防技术与实践课程Copyright(c)2008－2009诸葛建伟23CPU虚拟化技术:动态代码翻译结合直接执行和动态代码翻译运行普通程序代码的CPU模式可虚拟化:直接运行保证高性能不可虚拟化的特权级CPU模式:代码翻译器快速:相同ISA架构时,较低延迟动态:paravirtualization(静态)兼容:对GuestOS全透明，可以运行无需修改的历