黃慧榮 胡曦明 馬苗 李鵬

摘要：針對當(dāng)前網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中存在的課時有限、環(huán)境單一和主題分散等現(xiàn)實(shí)問題，以SYN Flood攻擊和防御實(shí)驗(yàn)為教學(xué)案例，提出一種多場景、組合式的教學(xué)設(shè)計，基于PC端和手機(jī)端，采用模塊化的方法實(shí)現(xiàn)了真實(shí)設(shè)備與仿真環(huán)境下的攻防綜合實(shí)驗(yàn)，對高校計算機(jī)實(shí)驗(yàn)教學(xué)信息化改革具有應(yīng)用價值。

關(guān)鍵詞：組合式；SYN Flood；網(wǎng)絡(luò)安全；實(shí)驗(yàn)教學(xué)；教學(xué)改

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）14-0127-04

Abstract：In view of the current problems in the network security experiment teaching， such as limited time， single environment and scattered topics， taking the SYN Flood attack and defense experiment as a teaching case and proposing a multi scene and combined teaching design. Based on the PC end and the mobile phone end， a modular approach was adopted to achieve a comprehensive offensive and defensive experiment in both real device and simulation environment， which has applied value to the information reform of computer experiment teaching in colleges and universities.

Key words： combination； SYN Flood； network security； experimental teaching； teaching reform

隨著互聯(lián)網(wǎng)的快速發(fā)展，DOS攻擊和DDOS攻擊是目前網(wǎng)絡(luò)安全領(lǐng)域最嚴(yán)重的問題之一。DOS攻擊不同于木馬攻擊，它不會損害攻擊目標(biāo)的系統(tǒng)和數(shù)據(jù)，而是通過對目標(biāo)網(wǎng)絡(luò)或系統(tǒng)發(fā)起持續(xù)“合理”的服務(wù)請求來耗盡服務(wù)器有限的資源，或造成服務(wù)器崩潰、癱瘓無法響應(yīng)正常用戶的請求。SYN Flood攻擊是目前DOS和DDOS主要的攻擊手段之一，它利用TCP協(xié)議在建立連接時需要“三次握手”的缺陷對目標(biāo)服務(wù)器惡意發(fā)起大量偽造源地址的TCP（SYN置位）請求[1，2]，而不給予后續(xù)的確認(rèn)包。因此三次握手無法完成，目標(biāo)服務(wù)器會在SYN Timeout時間內(nèi)重試（再次發(fā)送SYN+ACK包，并將這種半連接狀態(tài)存儲在TCP連接隊(duì)列中，服務(wù)器端將忙于處理攻擊者偽造的TCP請求，此時，從正?？蛻舻慕嵌葋砜矗?wù)器失去響應(yīng)，即服務(wù)器受到了SYN Flood攻擊。

在高校網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中，由于SYN Flood對促進(jìn)學(xué)生理解和應(yīng)用TCP連接控制過程作用明顯，因此SYN Flood的攻擊和防御實(shí)驗(yàn)通常是網(wǎng)絡(luò)安全類課程的教學(xué)重點(diǎn)，如何利用信息技術(shù)和先進(jìn)的教學(xué)設(shè)計理論推動SYN Flood的攻擊和防御實(shí)驗(yàn)教學(xué)改革值得關(guān)注。

1 SYN Flood攻擊和防御的原理

TCP（傳輸控制協(xié)議）是一種面向連接、可靠的傳輸層協(xié)議，面向連接是指客戶端與服務(wù)器在傳輸數(shù)據(jù)之前需要建立起特定的虛電路連接。該連接過程被稱為TCP的“三次握手”。第一步：客戶端向服務(wù)器發(fā)送一個SYN置位的TCP報文，包含客戶端使用的端口號與初始序列；第二步：服務(wù)器收到客戶端的SYN報文后，回復(fù)一個SYN+ACK的報文，并對客戶的請求進(jìn)行處理；第三步：正常情況下，客戶端在收到服務(wù)器的SYN+ACK報文后，向服務(wù)器發(fā)送ACK報文，此時三次連接建立[3，4]。此時若出現(xiàn)網(wǎng)絡(luò)擁塞等原因使服務(wù)器在一定時間內(nèi)沒有收到第三次的ACK報文，則服務(wù)器會不斷重傳SYN+ACK報文直至收到ACK或者SYN Timeout超時才會丟棄這種TCP半連接狀態(tài)并釋放資源[5，6]。

SYN Flood攻擊的原理就是利用TCP三次握手缺陷和IP欺騙惡意向服務(wù)器發(fā)送大量偽造源IP地址的SYN包，服務(wù)器為這些偽造的客戶端不斷開辟緩存將導(dǎo)致系統(tǒng)癱瘓，無法響應(yīng)正?？蛻舻恼埱骩7，8]。而SYN Flood防御則可以通過升級路由器設(shè)備為防火墻，保護(hù)網(wǎng)站服務(wù)器，將可疑源ip地址發(fā)往目標(biāo)服務(wù)器tcp連接過濾，以保證正?？蛻舻脑L問。

2 實(shí)驗(yàn)教學(xué)設(shè)計

網(wǎng)絡(luò)安全實(shí)驗(yàn)總體上分為攻擊實(shí)驗(yàn)與防御實(shí)驗(yàn)，傳統(tǒng)網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中多采用多個課時，集中學(xué)生在實(shí)驗(yàn)室分別展開攻擊實(shí)驗(yàn)與防御實(shí)驗(yàn)。最后在結(jié)課時，將兩者組合成綜合性網(wǎng)絡(luò)安全攻防大實(shí)驗(yàn)。這種的教學(xué)設(shè)計符合教學(xué)大綱，貼合階段主題。但其主題分散、場景單一、占用課時多等現(xiàn)實(shí)問題[9 ，10]，不利于拔尖創(chuàng)新人才的培養(yǎng)、不利于促進(jìn)學(xué)生個性化的發(fā)展。針對上述問題，本文采取模塊化的方法，提出一種具有靈活組合、場景開放、實(shí)用性廣的綜合網(wǎng)絡(luò)教學(xué)設(shè)計如圖2所示：

在此教學(xué)設(shè)計中為了克服傳統(tǒng)實(shí)驗(yàn)教學(xué)中場景單一、設(shè)備單一的弊端，在攻擊實(shí)驗(yàn)設(shè)計中提出基于PC端和手機(jī)端的多場景實(shí)驗(yàn)，在防御實(shí)驗(yàn)設(shè)計中，提出真實(shí)設(shè)備與虛擬設(shè)備相結(jié)合的多設(shè)備實(shí)驗(yàn)，以滿足不同層次學(xué)生學(xué)習(xí)的進(jìn)度要求。

3 基于SYN Flood攻擊與防御的教學(xué)案例

基于上述組合式的網(wǎng)絡(luò)安全綜合實(shí)驗(yàn)教學(xué)設(shè)計，本文選擇網(wǎng)絡(luò)安全實(shí)驗(yàn)中常見的SYN Flood攻擊與防御實(shí)驗(yàn)作為教學(xué)案例來講解上述教學(xué)設(shè)計在具體實(shí)驗(yàn)教學(xué)中的應(yīng)用。

3.1 攻擊實(shí)驗(yàn)?zāi)K

3.1.1 實(shí)驗(yàn)環(huán)境