0 引 言
疫情防控期间,政府为主导下政校企以及社会力量各方协同联动、多措并举,合力保障高校“停课不停教、停课不停学”。在此基础上,针对计算机类专业课程实践性要求高的特点,为保证在线学习与线下课堂教学质量实质等效,中国高校计算机教育MOOC 联盟联合高校和企业单位推出了Trustie 、Educoder 、ModelArts 等一批在线实践教学平台,力促“停课不停练”。在此支持下,各高校因校制宜,“一课一策”,灵活多样地开展实验教学,例如:西安邮电大学计算机学院采用程序设计类实验辅助教学平台PTA (Programming Teaching Assistant )实施全校C 语言课程线上实验教学[1],湘潭大学信息工程学院和西藏大学信息科学技术学院采用Educoder 开展计算机语言和程序设计类课程实验教学[2-3]。
随着疫情期间在线实验教学的展开,一部分学生因没有电脑无法参与实验教学的问题逐步显现。例如:山东大学管理学院本科生的调查数据显
示,8.25%的学生没有电脑[4];南京邮电大学通达学院调研发现,58.9% 的学生使用手机而非电脑进行在线学习,如此高比例的原因之一正是其中部分学生家中没有电脑[5]。如何充分发掘“互联网+教育”的巨大潜力和作用,有效克服因为学生居家条件的差异而导致的教学资源鸿沟,发展公平而有质量的教育成为疫情期间线上实验教学实践过程中凸显出来的现实问题。
面对疫情防控期间实验教学面临教学资源鸿沟的现状,紧密结合国内互联网产业和技术体系从IPv4向IPv6过渡升级的必然性和紧迫性要求,高校网络空间安全专业实验教学改革如何以新工科建设为引领,探索IPv6网络环境下以手机为接入终端的网络安全实验新技术,通过基于手机
基金项目:国家自然科学基金项目“基于移动社会网络的校园协作学习交互与微视频扩散关键技术研究”(61877037);陕西省科技计划重点研发项目“基于移动社会网络的智慧校园共性关键技术研究与应用示范”(2020GY-221);陕西师范大学2020年教师教学模式创新与实践研究专项基金项目“金课导向下计算机网络协议课程体验式教学改革与实践”(JSJX2020Z28)。
作者简介:李晓琳,女,在读本科生,***********************;胡曦明(通信作者),男,副教授,研究方向为智慧教育、计算机教育,*****************。
疫情下基于手机的IPv6网络安全实验技术与张雨绮美腿现淤青
教学应用
李晓琳1,胡曦明1,2,李 鹏1,2
(1.陕西师范大学 计算机科学学院,陕西 西安 710119;2.现代教学技术教育部 重点实验室,陕西 西安 710119)
摘 要:针对疫情防控期间计算机专业课在线实验教学面临的教学资源鸿沟现状,分析手机成为互联网发展关键支点的格局,提出基于手机开展真实IPv6环境下的网络攻击与防御的实验技术并具体论述总体设计、手机升级与改造以及实验流程,在此基础上,通过IPv6邻居发现协议中间人攻击的实验环境搭建、操作与配置以及实验数据测量与可视化分析,详细阐述基于手机的IPv6网络安全实验教学的方法与过程,为高校实验教学改革创新提供新的技术途径。关键词:智能手机;
IPv6;网络安全;实验技术;实验教学文章编号:1672-5913(2021)03-0108-06
中图分类号:G642
第 3 期
教育与教学研究
的实验技术创新驱动学科专业与产业需求精准对
接,从而更高质量推进产教融合新发展[6],以实
验教学质量提升进一步增强教育服务创新发展能力,成为了疫情防控下在线实验教学与新工科改革领域富有时代感、前瞻性和挑战性的新课题。
1 IPv6网络安全实验技术发展现状
通过对中国知网(CNKI)收录的中文期刊开展文献调查发现,目前国内高校IPv6网络安全实验教学所采用的实验技术与方法已形成了两种典型路线,分别是虚拟仿真实验与专用设备实验。
1.1 虚拟仿真实验技术
采用思科、华为等公司推出的虚拟仿真实验平台或基于虚拟机的开源网络仿真软件是当前高校将IPv6技术快速引入实验教学体系的主流方案。例如,文献[7]在“基于云计算技术的定制化虚拟专用实验环境构建”中,基于开源的云计算技术,利用OpenStack基础架构在虚拟机上构建IPv6虚拟环境开展仿真实验;文献[8-9]在“IPv6路由综合实验设计与实现”中,分别使用思科的GNS3和Packet Tracer虚拟仿真平台开展IPv6综合路由实验教学。虚拟仿真实验技术具有成本低、可扩展和易实现等优点,但
同时也存在临场感缺乏、交互性弱和
与真实环境有差异等实践性不足的缺
点。
1.2 专用设备实验技术
一部分国内高校从更加注重实
训实操的教学过程出发,专门部署
IPv6路由交换以及安全设备开展实验
教学,在享有实践性强、真实高效等
优势的同时也暴露出硬件要求高、占
地面积大和便携移动性差等不足。例
如,文献[10]部署多台支持IPv6的路由器、交换机以及PC,开展IPv6网络VLAN间通信以及基础路由实验;文献[11]针对移动IPv6技术,通过支持IPv6网络的硬件设备,实现MIPL支持的移动IPv6实验;文献[12]基于真实的硬件设备,为实验教学设计专用的IPv6网络安全测试系统进行IPv6安全性实验。
点,但都是针对台式电脑为接入终端的IPv6网络实验教学场景,以手机为终端的IPv6网络安全实验技
术与教学实践仍亟待研究。
2 基于手机的IPv6网络安全实验技术
2.1 总体设计
现有虚拟仿真实验技术和专用设备实验技术在教学应用中往往表现出理论与实践脱节、课堂与产业脱离、成绩与能力脱钩等诸多难题,究其核心成因主要在于这两种实验技术在根本上都是归属于教师侧,实验环境构建和实验过程展开都不能离开教师因素。
基于手机的IPv6网络安全实验技术的总体设计理念是完全基于手机构建实验环境和展开实验过程,手机是归属于个人所有的,因此学生或学生之间基于他们各自拥有的手机相互协作就可以独立于教师构建起完全归属于学生侧的IPv6网络安全实验环境,从而打造出归属于学生的“7×24h”掌上实验系统。基于上述设计理念,提出基于手机的IPv6网络安全实验技术总体架构,如图1所示。
该架构根据实验角和功能的不同划分为3个模块,分别是攻击方手机模块、网络互联手机模块和被攻击方手机模块。攻击方手机模块通过对智能手机进行系统升级、实验支撑类APP 部署、攻击工具加载及可视化处理等一系列技术性配置和操作,从而基于智能手机打造出集报文伪造、欺骗与截获等攻击功能,以及攻击过程、
图1 基于手机的IPv6网络安全实验技术总体设计
110计算机教育Computer Education
抓包分析于一体的综合性“实验利器”。网络互联手机模块负责将攻击方手机模块和被攻击方手机模块接入IPv6网络,攻击方和被攻击方手机通过无状态地址自动配置获取链路本地地址。被攻击方手机模块由普通智能手机组成,它们之间建立的正常通信作为攻击方手机模块实施报文伪造、欺骗与截获等网络攻击的对象,通过为被攻击手机额外安装终端模拟器可在不进行系统升级和无需获取手机Root权限的条件下查询本机网络参数和监视通信状态,从而更加直观地实时反馈实验效果。
2.2 手机的升级与改造
普通智能手机(安卓系统)需要经过Root权限获取、系统升级、实验支撑APP部署、攻击工具安装等一系列升级改造之后,才能转变为具有IPv6网络嗅探、报文伪造和抓包等实验功能的工具,主要步骤与具体操作如图2所示。
首先,作为攻击方的手机要获取Root权限。Root权限的获取并不影响用户手机的正常使用。
对IPv6 NDP中间人攻击的实现基于Kali Linux系统,因此,选择安全可控的APP来实现手机端的Kali Linux搭建是整个实验的基础,也是最关键的环节。利用
Linux部署工具在Android
设备上部署Linux环境。
朱丽晨此外,在配置Kali Linux
环境过程中需要用到很多
Linux命令,所以需要在
手机上安装Linux命令工
具集配合使用。
由于Linux环境在手
机后台运行,需要安装
远程连接软件,通过它
连接Linux系统并实现对
其的操作。但许多远程
连接软件可以支持的对
Linux的操作是基于命令
行来进行的,对实验者
吴亦凡是加拿大人还是中国人
的知识储备要求较高且
操作繁琐,因此可以在
攻击方手机上安装图形
化工具,将Kali Linux系统从命令行界面转换为可视化图形界面,更加易于学生的理解和操作。至此,手机
境搭建完成。
设计的安全性实验用到的攻击工具和抓包工具需要在搭建好的Kali Linux环境中下载安装。以上软件都是安全可控的,不会影响手机的正常使用,实验结束后可以安全卸载。
2.3 实验流程
基于移动网络,以手机端搭建Kali Linux系统为操作端,搭建基于智能手机的便携式IPv6安全性实验平台并开展安全性实验,实验流程如图3所示。
实验主要分为3个阶段,分别是实验环境搭建、网络安全实验模块、数据测量与可视化分析。首先,通过系统升级、APP安装等系列技术性配置和操作完成攻击方手机改造,将攻击方手机和被攻击方手机接入网络互联手机组成无线IPv6局域网搭建实验环境;在此基础上,针对IPv6邻居发现协议(NDP:Neighbor Discovery Protocol)等多种IPv6典型协议开展伪造、欺骗和篡改等多类型多层次多科目的攻击以及相应的攻击防御实验;然后,通过报文抓包、协议分析
图2 实验用手机升级改造的步骤与操作
和数值计算等多种方法对IPv6地址分配、网络连通性和丢包率等关键性能指标进行深入分析、效能评价和创新实践,最后对实验结果进行总结归纳。
3 基于手机的IPv6网络安全实验教学应用
3.1 实验原理
邻居发现协议是IPv6的一个关键协议,它组合了IPv4中的ARP、ICMP路由器发现和ICMP重定向等协议,并对它们作了改进。同时,中间人攻击由来已久,使用广泛,实现途径多样,并且对于攻击方没有过高的要求,易于学生理解且便于实现。
在IPv6网络环境下,当一台主机连入一个网络时,会周期性地向局域网中二层网络上的所有节点发送一条邻居请求(NS)报文,里面包含自己的IPv6地址和MAC地址。其余节点在收到NS报文后以一条邻居通告(NA)报文作出应答,其中包含了各自的IPv6地址和MAC地址。此时,新加入主机的邻居缓存表中添加了若干条邻居项,各节点的IPv6地址对应其MAC地址,邻居关系建立。
基于智能手机的IPv6 NDP中
间人攻击以使用移动流量接入IPv6网络的智能手机为网络互联手机组建IPv6局域网,使得攻击方可以对该局域网下任何一台主机通过篡改邻居表进行攻击。
IPv6局域网的部署以网络互联手机为核心,要实现IPv6网络的接入首先要使网络互联手机支持IPv6协议,通过修改APN协议类型以及APN漫游协议类型使其接入IPv6网络,而后开启无线数据热点组建IP
v6局域网。其余手机接入移动热点,通过无状态地址自动配置获得链路本地地址。
3.3 操作与配置
实验环境搭建好之后,便可着手准备攻击实验的进行。NDP中间人攻击实验的具体流程如图4所示。
1)组建IPv6局域网。向太陈岚
可爱的英文名字接入IPv6网络的网络互联手机开启热点共享,攻击方和被攻击方手机加入网络互联手机热点网络,局域网组建完成。
2)局域网络嗅探。
打开Ettercap,对本机接入的局域网络内的主机及网络参数进行扫描嗅探,扫描结果见表2。
图3 基于手机的IPv6网络安全实验流程
112
计算Computer Education
2 扫描网络结果
设备
IP
MAC
网络互联fe80::7e76:68ff:
fe9a:e7da 7c:76:68:7a:e7:da 攻击方
fe80::8213:82ff:fef5:f9e2
80:13:82:f5:f9:e2
被攻击方fe80::29a:cdff:fed5:
ac2b
00:9a:cd:d5:ac:2b
3)确定攻击目标。
攻击之前需要按软件规则设置好相关攻击参数,将被攻击方手机(除本机和网关)设置为Target1,网络互联手机设置为Target2。
4)选择攻击类型。
Ettercap 提供ARP 欺骗、ICMP 重定向、DHCP 欺骗等多种中间人攻击,其中NDP 攻击是IPv6基础的安全性实验。5)开始攻击。
开启NDP 攻击,Ettercap 下方的记录栏会显示攻击的请求、参数设置和攻击结果,同时需结合报文进行分析(如图5所示)。6)抓取网络报文。
在开始NDP 中间人攻击的同时启动Wireshark ,对攻击过程中的网络报文进行抓包。
3.4 数据测量与可视化分析
1)攻击报文分析。
通过NDP 中间人攻击过程报文分析可以看到攻击方分别伪装成被攻击方向网络互联手机发送NA 报文、伪装成网络互联手机向被攻击方发送篡改后的NA 报文,修改二者本地的邻居缓存表(如图6所示)。
表1 实验设备的分工与工作参数
序号
分工
设备型号
最好就业的专业网络参数
1网络互联手机HUAWEI Nova3
IP:fe80::7e76:68ff:fe9a:e7da MAC:7c:76:68:7a:e7:da 2攻击方手机荣耀5X IP:fe80::8213:82ff:fef5:f9e2MAC:80:13:82:f5:f9:e23被攻击方手机荣耀4C IP:fe80::29a:cdff:fed5:ac2b MAC:00:9a:cd:d5:ac:2b 4
其他用户
Vivo X9
IP:fe80::20c:29ff:fe7d:f7d2MAC:00:0c:29:7d:f7:d2
图4 攻击实验流程图
图5 攻击过程的详细信息
2)手机邻居缓存参数分析。
攻击实验开始前后分别在网络互联手机和被攻击方手机终端模拟器中输入命令查看邻居缓存表,结果见表3。此时发现网络互联手机本地的邻居缓存表中IP 地址为fe80::29a :cdff :fed5:ac2b 的被攻击方手机的MAC 地址被修改为攻击方手机的MAC 地址80:13:82:f5:f9:e2;与此同时,被攻击手机本地的邻居缓存表中IP 地址为fe80::7e76:68ff :fe9a :e7da 的网络互联手机的MAC 地址也被修改为攻击方手机的MAC 地址80:13:82:f5:f9:e2。此结果表明,NDP 中间人攻击成功。