組合式SYN Flood網(wǎng)絡(luò)安全綜合實(shí)驗(yàn)教學(xué)改革研究

黃慧榮 胡曦明 馬苗 李鵬

摘要：針對(duì)當(dāng)前網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中存在的課時(shí)有限、環(huán)境單一和主題分散等現(xiàn)實(shí)問(wèn)題，以SYN Flood攻擊和防御實(shí)驗(yàn)為教學(xué)案例，提出一種多場(chǎng)景、組合式的教學(xué)設(shè)計(jì)，基于PC端和手機(jī)端，采用模塊化的方法實(shí)現(xiàn)了真實(shí)設(shè)備與仿真環(huán)境下的攻防綜合實(shí)驗(yàn)，對(duì)高校計(jì)算機(jī)實(shí)驗(yàn)教學(xué)信息化改革具有應(yīng)用價(jià)值。

關(guān)鍵詞：組合式；SYN Flood；網(wǎng)絡(luò)安全；實(shí)驗(yàn)教學(xué)；教學(xué)改

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）14-0127-04

Abstract：In view of the current problems in the network security experiment teaching， such as limited time， single environment and scattered topics， taking the SYN Flood attack and defense experiment as a teaching case and proposing a multi scene and combined teaching design. Based on the PC end and the mobile phone end， a modular approach was adopted to achieve a comprehensive offensive and defensive experiment in both real device and simulation environment， which has applied value to the information reform of computer experiment teaching in colleges and universities.

Key words： combination； SYN Flood； network security； experimental teaching； teaching reform

隨著互聯(lián)網(wǎng)的快速發(fā)展，DOS攻擊和DDOS攻擊是目前網(wǎng)絡(luò)安全領(lǐng)域最嚴(yán)重的問(wèn)題之一。DOS攻擊不同于木馬攻擊，它不會(huì)損害攻擊目標(biāo)的系統(tǒng)和數(shù)據(jù)，而是通過(guò)對(duì)目標(biāo)網(wǎng)絡(luò)或系統(tǒng)發(fā)起持續(xù)“合理”的服務(wù)請(qǐng)求來(lái)耗盡服務(wù)器有限的資源，或造成服務(wù)器崩潰、癱瘓無(wú)法響應(yīng)正常用戶的請(qǐng)求。SYN Flood攻擊是目前DOS和DDOS主要的攻擊手段之一，它利用TCP協(xié)議在建立連接時(shí)需要“三次握手”的缺陷對(duì)目標(biāo)服務(wù)器惡意發(fā)起大量偽造源地址的TCP（SYN置位）請(qǐng)求[1，2]，而不給予后續(xù)的確認(rèn)包。因此三次握手無(wú)法完成，目標(biāo)服務(wù)器會(huì)在SYN Timeout時(shí)間內(nèi)重試（再次發(fā)送SYN+ACK包，并將這種半連接狀態(tài)存儲(chǔ)在TCP連接隊(duì)列中，服務(wù)器端將忙于處理攻擊者偽造的TCP請(qǐng)求，此時(shí)，從正?？蛻舻慕嵌葋?lái)看，服務(wù)器失去響應(yīng)，即服務(wù)器受到了SYN Flood攻擊。

在高校網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中，由于SYN Flood對(duì)促進(jìn)學(xué)生理解和應(yīng)用TCP連接控制過(guò)程作用明顯，因此SYN Flood的攻擊和防御實(shí)驗(yàn)通常是網(wǎng)絡(luò)安全類課程的教學(xué)重點(diǎn)，如何利用信息技術(shù)和先進(jìn)的教學(xué)設(shè)計(jì)理論推動(dòng)SYN Flood的攻擊和防御實(shí)驗(yàn)教學(xué)改革值得關(guān)注。

1 SYN Flood攻擊和防御的原理

TCP（傳輸控制協(xié)議）是一種面向連接、可靠的傳輸層協(xié)議，面向連接是指客戶端與服務(wù)器在傳輸數(shù)據(jù)之前需要建立起特定的虛電路連接。該連接過(guò)程被稱為TCP的“三次握手”。第一步：客戶端向服務(wù)器發(fā)送一個(gè)SYN置位的TCP報(bào)文，包含客戶端使用的端口號(hào)與初始序列；第二步：服務(wù)器收到客戶端的SYN報(bào)文后，回復(fù)一個(gè)SYN+ACK的報(bào)文，并對(duì)客戶的請(qǐng)求進(jìn)行處理；第三步：正常情況下，客戶端在收到服務(wù)器的SYN+ACK報(bào)文后，向服務(wù)器發(fā)送ACK報(bào)文，此時(shí)三次連接建立[3，4]。此時(shí)若出現(xiàn)網(wǎng)絡(luò)擁塞等原因使服務(wù)器在一定時(shí)間內(nèi)沒(méi)有收到第三次的ACK報(bào)文，則服務(wù)器會(huì)不斷重傳SYN+ACK報(bào)文直至收到ACK或者SYN Timeout超時(shí)才會(huì)丟棄這種TCP半連接狀態(tài)并釋放資源[5，6]。

SYN Flood攻擊的原理就是利用TCP三次握手缺陷和IP欺騙惡意向服務(wù)器發(fā)送大量偽造源IP地址的SYN包，服務(wù)器為這些偽造的客戶端不斷開(kāi)辟緩存將導(dǎo)致系統(tǒng)癱瘓，無(wú)法響應(yīng)正?？蛻舻恼?qǐng)求[7，8]。而SYN Flood防御則可以通過(guò)升級(jí)路由器設(shè)備為防火墻，保護(hù)網(wǎng)站服務(wù)器，將可疑源ip地址發(fā)往目標(biāo)服務(wù)器tcp連接過(guò)濾，以保證正?？蛻舻脑L問(wèn)。

2 實(shí)驗(yàn)教學(xué)設(shè)計(jì)

網(wǎng)絡(luò)安全實(shí)驗(yàn)總體上分為攻擊實(shí)驗(yàn)與防御實(shí)驗(yàn)，傳統(tǒng)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中多采用多個(gè)課時(shí)，集中學(xué)生在實(shí)驗(yàn)室分別展開(kāi)攻擊實(shí)驗(yàn)與防御實(shí)驗(yàn)。最后在結(jié)課時(shí)，將兩者組合成綜合性網(wǎng)絡(luò)安全攻防大實(shí)驗(yàn)。這種的教學(xué)設(shè)計(jì)符合教學(xué)大綱，貼合階段主題。但其主題分散、場(chǎng)景單一、占用課時(shí)多等現(xiàn)實(shí)問(wèn)題[9 ，10]，不利于拔尖創(chuàng)新人才的培養(yǎng)、不利于促進(jìn)學(xué)生個(gè)性化的發(fā)展。針對(duì)上述問(wèn)題，本文采取模塊化的方法，提出一種具有靈活組合、場(chǎng)景開(kāi)放、實(shí)用性廣的綜合網(wǎng)絡(luò)教學(xué)設(shè)計(jì)如圖2所示：

在此教學(xué)設(shè)計(jì)中為了克服傳統(tǒng)實(shí)驗(yàn)教學(xué)中場(chǎng)景單一、設(shè)備單一的弊端，在攻擊實(shí)驗(yàn)設(shè)計(jì)中提出基于PC端和手機(jī)端的多場(chǎng)景實(shí)驗(yàn)，在防御實(shí)驗(yàn)設(shè)計(jì)中，提出真實(shí)設(shè)備與虛擬設(shè)備相結(jié)合的多設(shè)備實(shí)驗(yàn)，以滿足不同層次學(xué)生學(xué)習(xí)的進(jìn)度要求。

3 基于SYN Flood攻擊與防御的教學(xué)案例

基于上述組合式的網(wǎng)絡(luò)安全綜合實(shí)驗(yàn)教學(xué)設(shè)計(jì)，本文選擇網(wǎng)絡(luò)安全實(shí)驗(yàn)中常見(jiàn)的SYN Flood攻擊與防御實(shí)驗(yàn)作為教學(xué)案例來(lái)講解上述教學(xué)設(shè)計(jì)在具體實(shí)驗(yàn)教學(xué)中的應(yīng)用。

3.1 攻擊實(shí)驗(yàn)?zāi)K

3.1.1 實(shí)驗(yàn)環(huán)境