攻防平台(共7篇)
攻防平台 篇1
1、引言
随着计算机网络的发展, 网络安全问题日益受到重视。保护网络免受攻击, 保障信息安全正成为研究的热点[1]。搭建一个网络攻防平台以供人们实践或检验他们的相关理论和方法是促进网络安全技术迅速发展的重要平台工具。目前虽然己有很多网络仿真软件, 但它们主要是着重于网络的通信性能而较少体现网络的安全性[2]。
在网络攻防平台中, 构建一个虚拟网络是必须的, 在虚拟网络构造完毕后, 虚拟设备间的数据传输首先要保证其连通性, 即网络节点的连通性。将网络拓扑抽象为无向图后, 可借助图论的知识判断连通性, 如邻接矩阵[3]。但在网络节点较多的时候, 用邻接矩阵判断连通性计算复杂而且计算量很大。本文对网络攻防平台中节点连通性进行了研究, 提出了一种节点连通性判断算法, 并在网络攻防平台中对算法进行了验证。
2、节点连通性判断
利用网络攻防平台进行攻防模拟的前提是构建虚拟网络拓扑, 在虚拟网络拓扑构建完成后, 虚拟设备之间需要进行数据传递, 虚拟设备间的数据传递首先要保证两个虚拟设备的物理连通[4]。当数据到达虚拟网络后, 就从攻击服务器节点处开始传输。攻击服务器根据数据包的目的地址, 获取目的虚拟主机节点, 此时需要判断两者的连通性, 若连通, 则按流程处理数据;若不连通, 说明数据无法到达目的虚拟主机, 直接丢弃数据包。将虚拟网络拓扑抽象为数学模型, 就转为研究无向图中节点的连通性问题。设无向图模型如图1所示:
图1中各节点的连接关系很明显, 整个图由三个连通子图构成, A、B、C、D、F、G和J七个节点为一个连通部分, E和H为一个连通部分, I为一个连通部分, 在各个连通部分内部的任意两个节点都是连通的, 而不同连通部分中的两个节点则是不连通的。在攻防仿真平台中, 虚拟网络即可看成是上面的模型, 每个节点代表一个网络设备。
对树的遍历目前主要有深度优先和广度优先两种方法[5]。深度优先搜索就是在搜索树的每一层时始终先只扩展一个子节点, 不断地向纵深前进直到不能再前进 (到达叶子节点或受到深度限制) 时, 才从当前节点返回到上一级节点, 沿另一方向又继续前进。这种方法的搜索树是从树根开始一枝一枝逐渐形成的。深度优先搜索也称纵向搜索, 由于一个有解的问题树可能含有无穷分枝, 深度优先搜索如果误入无穷分枝 (即深度无限) , 则不可能找到目标节点。所以, 深度优先搜索策略是不完备的。另外, 应用此策略得到的解不一定是最佳解 (最短路径) 。
在深度优先搜索算法中, 是深度越大的结点越先得到扩展。如果在搜索中把算法改为按结点的层次进行搜索, 本层的结点没有搜索处理完时, 不能对下层结点进行处理, 即深度越小的结点越先得到扩展, 也就是说先产生的结点先得以扩展处理, 这种搜索算法称为广度优先搜索法。
对无向图的遍历也可以采用这两种方法, 但由于无向图的节点层次与树大不相同, 用这两种方法来判断连通性可能造成对某些节点的重复访问。邻接矩阵[3]也可以判断图的连通性, 但是, 邻接矩阵判断的时候, 需要将矩阵乘方多次, 这样在网络节点较多的时候, 其计算很复杂且计算量很大, 不适合在网络攻防平台中使用。现给出一种节点连通性判断算法:
该算法首先检查与原节点X直接相连的节点, 将其存入节点集N中, 然后将X存入父节点集M中, 父节点集用于记录已经检查过的节点, 从N中去掉N与M的交集是将已经检查过的节点从待检节点集中删掉, 避免重复操作。然后检查N中每一个节点Z, 若目的节点Y与Z相同, 则说明两者连通, 否则递归调用该方法, 判断节点Z与Y的连通性, 若Z与Y连通, 说明X与Y连通。该算法的流程如图2:
图2体现了算法的整个流程, 通过逐个检验和原节点直接相连的各个节点与目的节点的连通性, 来判断原节点和目的节点的连通性。算法递归调用了该方法, 通过从和原点直接相连的节点集中去除被列在父节点集中的节点, 来排除已经检验过的节点, 避免了检验过程中的重复和冗余, 提高了检验效率。
3、测试及分析
现结合网络攻防平台, 对上述算法进行测试。启动网络攻防平台, 在该平台上构建一个虚拟网络拓扑结构图, 本实例的虚拟网络拓扑图中涉及到的网络设备有四台主机设备、两台交换机设备、一台防火墙设备、三台路由器设备和一台攻击服务器。测试用的虚拟网络拓扑如图3所示:
图3中主机host1和host3与交换机Switch1直接相连, 形成一个独立的网络。主机host2和host4与交换机Switch2相连, 交换机Switch2连接到防火墙Firewall1, 防火墙Firewall1连接到路由器Rutor2, 三台路由器两两相连, 攻击服务器连接到路由器Rutor3上。虚拟网络拓扑构建完毕后, 需要对各设备进行配置。在拓扑图中设备的图标位置点击右键, 选择配置设备, 即可对所选设备进行配置。四台主机的配置情况如表1:
主机参数设置完毕后, 为其余各设备配置好网卡参数, 并设置防火墙的规则和路由器的路由表信息。这样, 主要网络设备的参数配备完成, 可以进行攻防模拟。
在攻击服务器中, 开始向目标地址为192.168.0.11-192.168.0.14的主机发送数据包, 即指定目标机为虚拟网络中的四台主机, 攻击服务器的IP被设置为192.168.4.1。平台运行的效果如图4所示:
可以看出, 平台捕获到大量的数据包[6], 这些包的目标地址各不相同, 它们从攻击服务器Server处开始在虚拟网络中传输。但是, 攻击服务器Server并不是将所有的包都发往虚拟网络, 而是首先判断它与目标主机是否为物理连通, 即判断连通性, 连通性的判断采用上节中的算法。平台运行完毕后, 可以查看各设备统计信息。现分析攻击服务器Server的数据信息, 在Server上单击右键即可查看其统计信息, 攻击服务器Server的统计信息界面如图5:
可以看出, 攻击服务器Server转发了大量数据包, 转发的数据包目标均为192.168.0.12和192.168.0.14, 而丢弃的数据包目标均为192.168.0.11和192.168.0.13, 这一点符合网络拓扑图的实际情况, 因为主机host2和host4与攻击服务器Server连通, 而主机host1和host3与攻击服务器Server不连通。这个测试结果较好地验证了上节中的节点连通性算法。
4、结论
当今网络日益复杂化, 网络攻防平台为网络安全分析提供了很好的方法, 而网络拓扑中节点的连通性判断是网络数据传输的前提[2]。本文研究了网络攻防平台中虚拟网络拓扑的特点, 将虚拟网络抽象为无向图, 分析了其节点的连通性。通过对比现有连通性判断方法, 结合网络攻防平台的特点, 分析了现有算法的不足之处, 在此基础上提出了一种网络拓扑节点连通性判断算法, 该算法通过引入父节点集的方法来排除已经检查过的节点, 避免了可能出现的重复检验, 提高了效率。实验结果表明, 通过本算法能够准确判断网络拓扑中节点的连通性。本算法判断连通性不一定是最快的方法, 但基本能够满足应用的需求。尽管如此, 在现实应用中, 这种方法仍然是一种有效的节点连通性判断方法。
参考文献
[1].王绍斌, 王昭顺.信息系统攻击与防御.电子工业出版社.2007
[2].杨延庆.网络攻防平台的分析与设计.2005
[3].姜启源.数学模型.高等教育出版社.1995
[4].R.Siamwalla, R.Sharma, and S.Keshav.Discovering Internet Topology.
[5].叶其孝.数学建模辅导教材.湖南教育出版社.2003
[6].W.Richard Stevens.TCP/IP Illustrated Volume1:The Protocols
边的攻防之 篇2
图一:黑1拆后,右下角成为此时的焦点。白2大飞挂角,是比较温和的态度,也是经过多位棋家实践后,被判定为在大贴目棋局中比较妥善的一手。黑3尖应是最正统的下法,牢牢守住角地,并遏制白在这一带的手段。白4拆二也是最常见的应手,看似狭窄,但坚实,有根据地,是所谓“劳逸相关”的地方。
图二:白拆后,黑1立刻紧紧逼住,几乎成为本局面下的“只此一手”。如在左上挂角或其他地方行棋,被白在A位一带挂角或B位拆二,右面将成为白棋的势力范围,局势也立即显得悠长,这是有大贴目负担的黑棋所不愿意看到的;而黑1逼后,对白的拆二尚有种种的攻击手段,这是典型的“急场”,是不容错过的要点。
图三:黑1逼住后白如脱先,黑有A点待白B挡住后C点盖封锁或D长急战的下法,以及2位镇头“宽攻”等手段(以前本刊曾有专题讲解此变化,这里不再详述)所以白不能脱先。白2跳补是最多见的应手。如果黑直接在3位应一手,白已经先手缓解了黑的急攻手段,白4就可脱先反击(白4也有在E、F的选择,尚无定论)。
图四:黑脱先在1位挂角,是最初的下法。白2飞先手,黑3要应。
图五:前图白2时黑如脱先,则本图白1飞是极大的先手便宜。以后白3位一带有子后,白A、黑B就成为白棋的权利。这样不但黑子的结构显出薄味,黑子也变成了“靠近白厚势”的恶手。
图六:白1、黑2之后,黑@的构阵的弱点——A位的价值无形中就被降低了不少。因为此时白如在A位打入,黑只需在B位简单压住,由于黑2一子的存在,白在下方的行动将受到钳制。此外,一旦时机成熟,黑C、白D、黑E的突袭将非常严厉,而白棋即使对此心知肚明,却苫于没有合适的、高效的补强方法。因此,不少棋手认为,白1、黑2的交换,不见得是“先手便宜”。而自如在其他地方打人,因既无法对黑造成特别大的伤害,而且还可能落后手,以及有与右面白棋被黑缠绕攻击之虞。因此,对白的跳,黑棋脱先抢占大场的下法是完全可行的。
图七:对白的跳,黑脱先并无不可。但在1点试应手,有趣,是后来开发出来的手法,也是现在非常流行、本期研究的重点。
图八:黑1点时,白2爬是一法。此时黑3转到左上挂角是后续的着手。白4大致要应(白4也有在A、B一带夹击的下法)……
图九:白1黑2的交换,如前所述未见有利。尤其本图有了变换后,将来黑4以下的狙击手段将更显严厉。所以对黑的挂角,白在左上角应也是必然。
图十:黑l立即冲断,是连贯的构思。黑一子正好起到了“引征”的作用。右下一带黑子力占优,白无法正面作战,白4枷本手。以下至12补,基本必然。其后由于白A的弱点,黑有B、C的先手。
图十一:前图白12也有在1位虎的下法,优劣难说。好处是对黑一子压力增大,坏处是被黑2点到一下,对中腹有些影响。
图十二:(续图十)黑1跳起是必需的一手。如稍一疏忽,被自在A位打入掘地,则右下的成果减半。局面至此,可说都是按黑的预想进行,也有不少高手判断黑优势,但从笔者的实践来看,其后黑意外地不是很好把握。黑下方虽然不小,但已大体定型,虽然还能扩张,但已不成为焦点。而棋盘的其他地方白占据主动。尤其是白在B位一带投入后黑一子更是“跑出无味,弃之可惜”。所以对图十的下法,虽说众多高手都表示赞赏,笔者还是心存疑虑。
图十三:黑1白2交换后,黑3回补,是笔者实践中效果较好的下法。或者说比之图十更适应笔者的风格。以下白4大致要在上面拆,黑5挂角,先抢大棋。右下白棋并没有太理想的定型方式,而A位的弱点,总是白棋的负担。
图十四:黑1点时,白2粘,是另外一种应手,也经常见到。如此黑3大致要补。其后白4跳起,扎扎实实。首先让黑1一子变成损招;其次防止了黑在A位飞搜根或B位靠压缩等手段,并且瞄着C位的挂角,是厚实的、“后中先”的一手。
图十五:由于白补得很厚,黑如A位守角照应一子,稍有“重”的感觉,一般都是在1位抢先挂角多见。以下白有B、C两种应法。
图十六:黑1挂角后白在2位一间低夹,是现在最流行的也是演绎得最多的一种下法。黑3抓紧时间在此处刺一手,是已经成为定式化的下法。白4只能粘住。黑5进角,彻底地捞取实地。
图十七:(续前图)获得先手后白棋如在1位挂角,是现代围棋认为不怎么好的一手。黑在2位(或A位应),求之不得。白如普通3以下构阵,则以后黑在B位打入,由于有C的弱点,白无法对黑展开有效的攻击。严格说来,白1之后,白没有和左上角筑成理想结构的手段。
图十八:黑1跳出后,白一定要在2位挂入。如在其他地方行棋,被黑走到这里,将不能满意。黑3压,紧凑,也是和黑相关联的一手。
图十九:黑1压后白在2位点角,转换,是曾经见过的下法。此局面下黑3挡比较好。以下至13是正常的定型,白(垒)一子活力已失。更重要的是,全局形成小块割据之势,黑实空领先且更厚实,也更有发展性。白无法满意。
图二十:白2扳起正面作战,黑3虎下,忍受被白4先手打成愚形。白如6位粘,黑7断后,白8只能俗打。黑11、13都是很舒服的下法,其后15立下,要紧!自如16挡,黑17、19一路扳粘是双先官子。黑子的作用被发挥得淋漓尽致。黑21抢到绝好的拆兼逼,可期待对白左上的收刮。本图黑顺风满帆。
图二十一:黑1、3扳粘后,白4大致要在上面拆,这样白的活力也体现出来。A位虽然有20目以上的价值,目前还不急。白4也有更深入一些的,不过本图的位置是一般分寸吧!此形在实战中也见过多次,其后的进行没有一定之规。黑也有1、3不走而直接在4位左一路逼的,那样白势必会设法在右上角做点文章。变化复杂,限于篇幅,只能割爱了。
图二十二:黑1、3压虎后,白6接在外面,也是曾在实战中出现过的下法。以下黑7渡,白8飞下。看似不错,但黑A投入后,白似无有效的攻击手段,给人一种“花架子”之感。
图二十三:也见过白6、8、12的下法,但白上方的模样总给人一种薄弱的感觉。由于全局黑已占三角,一旦侵入后白没有有效的攻击手段会立刻面临实空不足的危险。
图二十四:白4打到一下后看轻右面,先占6位大场是李世石下出来的。黑7渡(由于本图白A、B等处有先手,黑7也有低一路C位飞的下法)本图局面悠长,胜负要由后半盘决定。
图二十五:黑1挂角时,自在2位一带应是看重左面的下法。黑3也可以往A刺和白B交换后再在上面拆回,以后白4挂人后按图二f进行。但如本图亦可。以下至29是定式一型。29补后黑上方模样颇具规模,并有C点的后续手段。白D挡,黑E托。由于有B的弱点,白吃不住黑棋。
图二十六:前图黑23断时,白如24吃住,则黑有25以下的手段。以下变化复杂,但至31大致如此。其后白34动出后,将形成黑白各吃3子的转换。这儿个图黑都不坏,所以白2应黑1挂角的下法近年来已经少见了。
攻防平台 篇3
为应对网络安全以及信息化战争的攻击, 许多国家都开始建立网络武器训练场——“靶场”。2008年美国防高级研究计划局发布关于展开“国家网络靶场” (National Cyber Range Program) 项目研发工作的公告[2];2010年诺·格公司在英国的首个商用联合赛博试验靶场法汉姆 (Fareham) 工厂正式成立[3]。“靶场”被用来模拟大型的复杂网络, 并在安全可控的试验环境下进行基础设施生存能力和可靠性方面的试验评估。我国开展网络战研究已有20年的历程, 但由于经费投入和技术水平有限, 网络战研究需要的条件还不完善。
当前国内用来模拟网络对战的方法主要有两种类型:一是通过OPNET、NS2等网络仿真软件来实现, 另一种则是通过真实的物理主机来搭建实验网络环境[4]。网络仿真软件存在仿真对象单一、平台制约多以及采集数据少等问题, 而使用真实的物理平台则存在价格昂贵、管理困难和模拟规模有限的问题。该文使用虚拟化技术来设计网络攻防平台, 将两者的优点进行结合, 不仅可以在较少主机规模的情况下模拟较大的网络环境, 还可以采集大量真实的数据信息用于后续分析, 实现硬件资源部署自动化、虚拟资源管理自动化、实验网络构建自动化, 并为结果评估自动化的部署基础模块, 具有一定实用价值。
1 需求分析
基于虚拟化技术的网络攻防平台需求体现在四个方面:功能需求、主机需求、网络需求和软件需求。
首先, 在功能方面, 平台需具备:1硬件管理功能, 即通过平台可灵活增加、删除主机和交换机等硬件资源, 对硬件资源进行统一管理, 并在数据库中进行相应的更新;2虚拟机管理功能, 即在指定物理主机上增加、删除虚拟机, 对虚拟机的启动、关机与使用等状态管理;3操作系统管理功能, 指对虚拟机的系统镜像进行管理;4攻防实验管理功能, 一个攻防平台绝不是用来完成一次实验就不再使用, 极有可能要在调整攻击或防御手段后重复历史实验, 因此系统需要对已经进行过的实验配置进行记录和管理, 便于后续使用;5监控管理功能, 监管并采集平台中运行实验的主机性能指标, 用于分析攻防代价;6自动部署功能, 自动部署功能是平台最复杂的功能, 它包括自动部署主机和自动部署网络两部分, 平台需提供简便的网络设计界面, 在用户设计完网络拓扑后自动选择合适主机进行实验并配置网络。
其次, 在主机选择方面, 由于攻防平台中的虚拟机都是运行在真实的物理主机上, 因此物理主机的性能直接决定了其上运行虚拟主机的数量, 继而决定攻防实验的网络规模。在物理主机选型时, 该物理主机上运行的虚拟机CPU总和, 不超过物理主机的CPU核心数为宜。此外, 物理主机的网卡数目不能少于两个, 充当路由器的物理主机网卡数目不能少于三个。
再次, 在网络需求方面, 需配置管理网络和实验网络两部分, 管理网络用于完成各主机的配置、增删等管理功能, 实验网络则为用户根据实验需要定义的网络, 需要配备两台或以上交换机来组建平台。
最后, 软件需求包含操作系统和应用软件两部分。Linux操作系统集成了FTP、TFTP、DHCP等平台搭建所需要的服务, 且配置简单快捷, 因此Linux系统为首选;应用软件部分主要有虚拟机软件VMware、性能监控软件Ganglia、低交互蜜罐软件Honeyd、网络拓扑绘制软件Netlab Client等。
2 攻防实验流程
攻防实验过程包括系统初始化、准备实验、检查实验资源、配置实验资源、开始实验五部分组成, 如图1所示。
1) 系统初始化。确认各类资源是否正常启用, 并以列表显示可用的物理主机、系统镜像, 保证这些资源可远程登录与管理。
2) 准备实验。使用Netlab Client软件绘制实验网络拓扑 (如图2) , 并给拓扑中的节点指定系统镜像、IP地址等信息, 结果导出为.ns文件, 用于解析网络结构及节点配置信息, 如图3所示。
3) 调整实验拓扑。实验拓扑是由实验操作人员任意绘制生成, 因此无法保证当前的有效实验资源能满足其需求, 在首次提交实验拓扑时, 并不会进行步骤, 只有当步骤 (4) 报错时才需要进行实验拓扑的调整。
4) 检查实验资源。从步骤 (2) 和 (3) 得到的.ns文件中, 解析实验需要用到的虚拟主机以及路由器数量, 将其与数据库中可用的资源进行对比, 当请求数目小于可用数目时, 则进入步骤 (5) , 否则报错, 提示用户修改实验拓扑。
5) 配置虚拟资源。在平台初次进行实验时, 物理主机上并没有虚拟机, 此时首台物理主机将从管理控制主机的FTP目录下载需要的虚拟机镜像, 当首台物理主机上的虚拟机达到可容纳的最大量时, 下载工作转到第二台物理机上, 直到下载的镜像数目和类型完全满足实验所需。接下来管理服务器上发送指令启动这些虚拟机, 并通过轮询的方式判断虚拟机的启动状态。完全启动所有虚拟机后, 系统通过管理网登录到各虚拟主机上, 给其实验网卡配置与第 (2) 步生成的.ns文件对应的IP地址, 然后与实验交换机进行交互, 划分出对应的VLAN。当虚拟主机和网络全部顺利配置完成后, 提示用户开始攻防实验, 否则报告错误, 关闭所有虚拟主机, 并退出配置过程。
6) 开始实验。用户在第 (5) 步完成后, 就可以在已构建的实验网络中开始攻防演练。通常攻击方会通过远程连接登录若干主机, 在其上面进行一些攻击武器的部署, 然后通过监控工具收集实验中各主机产生的数据。
3 平台设计与实现
基于虚拟化的网络攻防平台从硬件结构上来看由四部分组成:管理控制服务器、管理交换机、实验交换机和物理主机, 如图4所示。
1) 管理控制服务器。管理控制服务器是整个平台的核心服务提供者, 是一个安装了Linux操作系统的服务器, 它提供的主要服务有:
n Kick Start服务:用于物理主机操作系统的自动安装;
n TFTP服务:用于存放使用Kickstart自动安装物理主机操作系统时的系统安装软件及引导文件;
n DHCP服务:用于物理主机和虚拟主机的控制网IP自动获取;
n My SQL数据库:用于存放系统所需要的数据表;
n HTTP服务:构建Web基本环境, 为安装Ganglia做准备;
n FTP服务:用于存放物理主机和虚拟主机所需要的软件以便下载;
2) 管理交换机。管理交换机的主要功能是实现所有物理主机的管理网连接, 并使之与实验网完全隔离。在实验进行时, 虚拟主机的实验通信部分都由实验网卡互联, 管理网卡则全部绑定到所在的物理主机管理网卡上实现互联。
3) 实验交换机。实验交换机的作用是在实验配置阶段, 根据实验网络拓扑结构形成的对应网络, 这一过程通过管理控制服务器上自动解析实验拓扑并划分VLAN的程序来实现。
4) 物理主机。物理主机是平台中可伸缩的部件, 可以随时增加和删除一台物理主机。其作用是运行一台或多台虚拟机实例, 让所有的虚拟机组建成一个群组供实验调用。
平台实现共分六个步骤完成:
步骤 (1) :规划管理网络和数据库。设定管理网络为192.168.20.0/24, 按图4的平台结构连接各设备, 设定物理主机的第一块网卡为管理网卡, 将其与管理交换机进行连接, 第二块网卡为实验网卡, 将其与实验交换机进行连接。
步骤 (2) :配置管理控制服务器。在管理控制服务器上安装好Cent OS 6.0操作系统及DHCP、FTP、TFTP、My SQL等服务, 其中管理网IP地址为192.168.20.101/24。
步骤 (3) :配置实验交换机和管理交换机。本设计使用Linux系统的expect命令可以用来执行用户预定义交互, 基于Tcl语言编写执行, 如图5代码展示了如何自动登录远程思科交换机并获取VLAN信息。系统开发时, 还需要准备若干类似脚本用于查看VLAN、配置VLAN、配置IP地址等操作。
步骤 (4) :建立并配置虚拟机镜像。配置虚拟机镜像的过程, 实际上就是在管理控制服务器上使用虚拟机安装若干种操作系统的过程。可以设定几种不同的虚拟硬件配置或部署的软件进行组合, 如虚拟硬件内存为512兆的镜像、安装了Honeyd的镜像、启用了防火墙的镜像等。最重要的是, 所有的镜像在安装完成后, 需要安装性能监控软件并编号录入数据库。
步骤 (5) :增加物理主机并连接网络。这一步主要在已有的平台上新增物理主机时使用。需要做的操作非常简单, 连接好新增主机的管理网卡与管理交换机, 并打开机器电源选择从网卡启动即可。
步骤 (6) :自动安装和配置物理主机。当新增加的物理主机从网卡启动后, 将自动从管理控制服务器获取IP地址并自动安装操作系统。Linux系统比较常用的自动安装方法为使用Kickstart和PXE来完成[5,6], 图6展示了一台物理主机自动安装的流程。
实验中可能要构建较为复杂的网络拓扑, 因此需要路由器来建立不同网络之间的联系。使用硬件路由器需要编写更多的硬件管理程序, 本设计另辟蹊径, 通过安装Linux操作系统的双网卡计算机来虚拟路由器, 不仅节约了设备成本, 还可以便捷地获取虚拟路由的负载信息用于后续分析。假设要连接网络1:192.168.2.0/24和网络2:192.168.1.0/24, 网络1的网关为192.168.2.1, 对应的物理网卡为eth0, 网络2对应的网卡为eth1, 只需要在命令行使用管理员 (root) 用户执行如图7命令即可实现该主机的路由功能。
4 实验测试
为验证平台设计的合理性, 该文使用5台服务器实现流程搭建平台, 并进行简单的网络攻防实验。
1) 实验配置
平台使用的软硬件配置如下所示:CPU:至强E5-2600系列的8核心, 主频2.2GHz;内存:32GB;硬盘大小:1TB;互联网络:双网卡, 千兆, 千兆/百兆自适用H3C交换机2台;操作系统:Cent OS 6.0;虚拟机版本:VMware Workstation 7.0 for Linux;其它软件使用操作系统自带版本。
2) 实验过程
按照上节步骤先安装好管理控制服务器的操作系统及软件, 并将其它4台主机的物理网络连通, 运行物理主机监控程序。如图8所示, 由于管理控制服务器之外的主机尚未安装系统, 所以其系统的状态无法获取, 此时的IP地址则是通过Master上的DHCP服务器获取到的。由于此时TFTP服务中用于引导的内核没有放置, 所以机器不会自动安装。
接下来可以对这些物理主机安装操作系统, 如图9所示。
从图9可以看出, 当系统安装完成后, 再次运行phy_stat则可以获取编号为002的主机状态。使用同样的方法安装其它三台主机, 如果较长时间系统仍未安装成功, 则需要查看日志文件来诊断问题, 或将显示器连接到正在安装的主机上查看进度。
设计一个简单的攻防实验:3台攻击主机, 2台被攻主机, 这5台实验主机位于同一个局域网中, 被攻主机上提供FTP文件下载服务, 攻击主机则采用频繁请求服务的方式造成被攻方网络延迟, 甚至无法响应更多的合法请求。所有虚拟机的配置均为1个CPU, 主频2.0GHz, 内存2GB。根据设计的实验, 使用Netbuild软件绘制拓扑图并生成NS文件simpletest.ns。将此文件做为虚拟机控制命令的输入用于生成实验环境, 如图10所示。
完成以上步骤后, 就可以使用远程桌面的方式登录到攻防节点上部署对应的武器。在防守方的两台Windows节点上安装Serv-U软件用于提供FTP文件下载服务, 并放置两个3GB的文件用于下载测试, 在攻击方则同时开启多个下载任务。图11和图12展示了攻防开始前后的各虚拟节点基本状态信息, 其中v001、v002和v003为攻击主机, 状态为alive, IP地址分别为192.168.10.1、192.168.10.2、192.168.10.3, 分别位于物理机002、005和004上, 在实验开始前, 其实CPU和内存利用率都比较低。v005和v006为被攻击的主机, 在实验启动后, 无论是攻击方还是被攻击方, 其CPU和内存的利用率都明显增长。
3) 结果分析
从实验过程的图8至图12可以看出, 在没有开始攻防实验之前, 各主机的CPU和内存利用率都处于比较低的状态, 当攻防实验开始后, 防守主机在攻击主机的攻击下, CPU使用率和内存使用率都变得非常高, 而攻击主机使用率则相对较低, 通过这些数据可以方便的得出攻防的代价信息。此次实验的重点并不在攻防, 而是用于验证论文所做设计的可行性以及合理性, 因此攻防两方的设计都较简单, 通过此次实验测试, 可以证明平台的设计是可行且合理的, 平台的设计目标得以检验。
5 总结与展望
本文设计利用虚拟化技术来实现网络攻防平台的搭建, 其中使用到的技术可适用其它许多的类似的场景, 如计算中心的上千台物理主机自动部署、数据中心的计算机性能监控、云计算中心的虚拟主机管理等, 平台各部分的实现流程中许多技术的结合方法以及实现技巧都可以被相似的应用场景借鉴, 在实际的攻防演练中可以发挥一定的作用。但其存在一些需要改进的地方, 如将单纯的命令行操作转为WEB操作;在权限管理上引入用户角色, 实行用户等级制度, 控制使用资源的优先级;当部署的主机数量庞大时, 如何调度资源使整个系统的利用率达到较高的水平也是非常值得研究的问题。
摘要:随着因特网的飞速发展, 网络安全问题已成为关乎国家安全与稳定的重大问题。为了研究网络攻防武器, 需要一个既能代表真实网络主机对战的环境又能快速完成网络部署的攻防平台。使用仿真软件将使实验脱离真实网络环境, 直接使用物理设备搭建平台则面临着开销大、管理难等问题。该文使用虚拟化技术设计网络攻防平台, 将有限的物理资源进行整合, 模拟出一个易于扩展和可自动化配置的实验环境, 实现硬件资源部署自动化、虚拟资源管理自动化、实验网络构建自动化, 具有较大的实用价值。
关键词:虚拟化,网络安全,网络攻防
参考文献
[1]2011-2012中国互联网安全报告[EB/OL].http://wenku.it168.com/012.shtml.
[2]The National Cyber Range:A National Testbed for Critical Security Research[EB/OL].http://www.whitehouse.gov/files/cyber/DARPA CyberRange_FactSheet.pdf.
[3]诺格英国赛博安全试验靶场[EB/OL].www.cannews.com/2010/1028/80856.html.
[4]Singh, Sankalp.Automatic verification of security policy implementations[D].University of Illinois at Urbana-Champaign, 2012.
[5]YAO Luo-ye.Implementation of Large-scale Rapid Deployment Linux[J].Computer and Modernization, 2011 (05) .
牵手攻防战 篇4
慕皓天在看报纸,报纸上说:恋爱三步骤——牵手、接吻、滚床单。
慕皓天眸色一变,用笔在报纸上使劲戳了戳,他还不信了,连牵手这个第一步都迈不出去。
“阿响,给我找个摄影师。”慕皓天吩咐道。
殊晚是个模特,常接一些平面拍摄的活,这回有人找她拍户外运动用品的小广告,殊晚便跟着摄影师上了山,穿着冲锋衣,展现户外生活情景。
慕皓天也在山上,殊晚见到他有些意外。
“我来看看风景。”他解释说。
“荒山野岭,有什么好看的?”殊晚不懂。
“这叫原生态自然美。”慕皓天不着痕迹地笑,“你们把广告地点选在这里,不就是力求自然吗?”
因为要拍露营灯、睡袋等物品,拍摄一直持续到晚上,慕皓天饶有兴味地站在一旁当观众。
他已经安排好了,待会儿,摄影师等闲杂人员找个理由先离开,再给殊晚打个电话,说出了事不能来接她,让她自己下山。荒山野岭,黑漆漆的,剩下她和慕皓天两个人,干柴烈火,你侬我侬……就算后面两个词实现不了,夜间走山路,牵牵手总没有问题。
慕皓天忍不住勾了勾嘴角。
一切进行得很顺利,摄影师说要回去拿个东西,助理也跟着走了,半个小时后,殊晚接到了电话,紧皱眉头:“摄影师说助理下山时摔伤了,他得送助理去医院,今天不拍了,我想办法自己下山。”
“那我们回去吧。”慕皓天道。
照明设备只剩下一盏露营灯,慕皓天提起来,山间乱石多,杂草丛生,道路极其难走,慕皓天向殊晚伸出手:“小心点儿,我拉着你。”
“不用。”殊晚拒绝,“我看得清。”
慕皓天不急不躁,小样儿,看你能坚持多久。
没走几步,露营灯灭了,四周黑漆漆一片,伸手不见五指。
“灯怎么灭了?”殊晚茫然。
“坏了。”慕皓天道,他准备得很充分。
殊晚借着手机的光捣鼓了一阵,最后叹息着扔掉露营灯,果然坏了。手机的光亮不够,而且刚才玩得太久,手机已经发出电量不足的提示音。
今夜初一,夜黑无月,四周陷入墨一样的黑暗中。
“这下怎么办?”殊晚有点儿慌了。
“幸好我带了这个。”慕皓天从背包中摸出一副红外线夜视镜,阿响问他为什么不准备手电筒,蠢吗?夜视镜只能一个人用,她不牵着他的手,看她怎么下山?
兵将不打无准备之仗,慕皓天连天气都看过,夜间有雷阵雨。他准备了一把伞,待会儿就把殊晚搂进怀中。
“戴上这个眼镜真的能看见吗?” 殊晚问。
“当然。”
“你只带了一副吗?”
不然,奸计如何得逞?慕皓天做懊悔状:“早知道就多带一副,这副是为我特别定制的,你戴着不合适。不要紧,我拉着你走,我们走慢一点儿,一会儿就能下山。”
天上有闷雷响起,山雨欲来风满楼。
“不用担心,我还带了伞。”慕皓天安慰她,“你看,我身体结实,腿脚有劲,只要你拉稳我,绝对不会摔着你。”
“听你这么说,我就放心了。”殊晚松了一口气。
慕皓天微笑着把手伸向殊晚。
“我好像没告诉你,我有夜视能力。”殊晚刚才还苦恼怎么把慕皓天带下山,难道两人得手拉手一起走吗?问题似乎解决了,“既然你装备如此齐全,我就先走一步,不拖你后腿了。”
一秒都不耽误,殊晚撒丫子就跑,快下雨了,她得跑快点儿。
慕皓天反应过来时,她的身影已经消失在夜色中,只有声音在林子里回荡:“山下见……”
攻防平台 篇5
1 系统功能设计概述
1.1 主动防御技术的概念
主动防御技术是一种新的对抗网络攻击的技术,也是当今网络安全领域新兴的一个热点技术。它源于英文“Pro-active Defense”,其确切的含义为“前摄性防御”,是指由于某些机制的存在,使攻击者无法完成对攻击目标的攻击。由于这些前摄性措施能够在无人干预的情况下预防安全事件,因此有了通常所说的“主动防御”[1]。网络安全主动防御技术能够弥补传统被动防御技术的不足,采用主机防御的思想和技术,增强和保证本地网络安全,及时发现正在进行的网络攻击,并以响应的应急机制预测和识别来自外部的未知攻击,采取各种应对防护策略阻止攻击者的各种攻击行为。
1.2 系统设计目标
目前关于主动防御的网络安全防御策略理论研究的较多,但是对于很多实际应用方面还缺乏实战的指导和经验。网络安全攻防实验平台主要依据主动防御技术体系为策略手段,针对现有网管软件存在的问题,进行主动防御技术体系优化,其核心在于在实验中实现系统的漏洞机理分析、安全性检测、攻击试验、安全应急响应和提供防御应对策略建议等功能,能够启发实验者认识和理解安全机理,发现安全隐患,并进行系统安全防护。
1.3 实验平台功能
基于主动防御的网络安全攻防实验平台是一个网络攻击与防御的模拟演示平台,在单机上模拟出基本的网络节点(设备),然后在这个模拟的网络环境中演示出网络攻击与防御的基本原理和过程,并以可视化的结果呈现出来。该实验平台所仿真的机理和结果能够依据网络安全的需求,最终用于网络攻防测评和实战的双重目的。并可以为网络攻击和防护技能人才更好的学习提供一定的参考。为完整地体现网络战攻防的全过程,该平台分为攻击模块与防御模块两部分。
攻击模块部分包括主机端口的扫描、检测、Web/SMB攻击模块和IDS等。其主要功能是实现对于目标系统的检测、漏洞扫描、攻击和与防护端的通讯等[2]。
防御模块部分主要是基于主动防御技术的功能要求,实现检测、防护和响应三种功能机制。即能够检测到有无攻击行为并予以显示、给出陷阱欺骗可以利用的漏洞和提供防护应对策略等,如:网络取证、网络对抗、补丁安装、系统备份、防护工具的选购和安装、响应等。
2 攻防实验平台模型设计
2.1 设计方案
要实现网络攻防的实验,就必须在局域网环境构建仿真的Internet环境,作为攻防实验的基础和实验环境。仿真的Internet环境能实现www服务、FTP、E-mail服务、在线交互通信和数据库引擎服务等基本功能。依据系统的功能需求分析,该平台要实现一个集检测、攻击、防护、提供防护应对策略方案等功能于一体的软件系统。主要是除了要实现基本的检测、攻击功能外,还必须通过向导程序引导用户认识网络攻防的机理流程,即:漏洞存在—漏洞检测(攻击模块)—攻击进行(攻击模块)—系统被破坏—补救措施(防御模块)—解决的策略方案(防御模块)[3],以更好的达到实验效果。
平台整体采用C/S模式,攻击模块为客户端,防御模块为服务器端。攻击模块进行真实的扫描、入侵和渗透攻击,防御模块从一定程度上模拟并显示受到的扫描、攻击行为,其模拟的过程是动态的,让实验者看到系统攻击和被攻击的全部入侵过程,然后提供响应的防护应对策略。攻防实验平台模型如图1所示。
2.2 基于主动防御的网络安全体系
根据本实验平台设计的思想和策略原理,为实现主动防御的检测、防护和响应功能机制,构建基于主动防御技术的网络安全策略体系(如图2所示)。安全策略是网络安全体系的核心,防护是整个网络安全体系的前沿,防火墙被安置在局域网和Internet网络之间,可以监视并限制进出网络的数据包,并防范网络内外的非法访问[4,5]。主动防御技术和防火墙技术相结合,构建了一道网络安全的立体防线,在很大程度上确保了网络系统的安全,对于未来的网络安全防护具有深远的意义。检测和响应是网络安全体系主动防御的核心,主要由网络主机漏洞扫描(包括对密码破解)、Web/SMB攻击、IDS、网络取证、蜜罐技术等应急响应系统共同实现,包括异常检测、模式发现和漏洞发现。
2.3 攻防模块设计
该实验平台的攻击模块和防御模块利用C/S模式采用特定端口进行通讯。攻击端以动作消息的形式,把进行的每一个动作发往防御端,防御模块从数据库中调用相关数据进行模拟、仿真,让实验者看到和体会到自身系统受到的各种攻击。攻防模块经过TCP/IP建立连接后,开始进行扫描、检测、Web/SMB攻击和IDS等入侵行为,攻击端每一个消息的启动都会发给防御端一个标志位,防御模块经判断后,调用相关的显示和检测模块进行处理,并提供相应的防护应对策略。
3 平台的实现
3.1 主动防御思想的实现
在一个程序中,必须要通过接口调用操作系统所提供的功能函数来实现自己的功能。同样,在平台系统中,挂接程序的API函数,就可以知道程序的进程将有什么动作,对待那些对系统有威胁的动作该怎么处理等等。实验中,采取挂接系统程序进程的API函数,对主机进程的代码进行真实的扫描,如果发现有诸如SIDT、SGDT、自定位指令等,就让进程继续运行;接下来就对系统进程调用API的情况进行监视,如果发现系统在数据的传输时违反规则,则会提示用户进行有针对性的操作;如果发现一个诸如EXE的程序文件被进程以读写的方式打开,说明进程的线程可能想要感染PE文件,系统就会发出警告;如果进程调用了CreateRemoteThread(),则说明它可能是比较威胁的API木马进程,也会发出警告。
3.2 攻击程序模块实现
网络安全攻防实验平台的设计是基于面向对象的思想,采用动态连接库开发扫描、检测、攻击等功能模块。利用套接字变量进行TCP/IP通信,调用DLL隐式连接和显示连接,采用在DLL中封装对话框的形式,也就是把扫描、检测、攻击等功能和所需要的对话框同时封装到DLL中,然后主程序直接调用DLL[6]。实验中,可以在攻击程序模块中指定IP范围,并输入需要攻击的主机IP地址和相应的其他参数,对活动主机漏洞进行扫描和密码攻击(如图3所示);并指定IP,对其进行Web/SMB攻击,然后输出攻击的结果和在攻击过程中产生的错误信息等。
3.3 防御程序模块实现
在程序的运行中,采取利用网络侦听机制监听攻击模块的每一次动作消息的形式,自动显示给用户所侦听到外部攻击行为(如图4所示:Web/SMB攻击)。该模块同样使用了WinSock类套接字进行通讯,在创建了套接字后,赋予套接字一个地址。攻击模块套接字和防御模块套接字通过建立TCP/IP连接进行数据的传输。然后防御模块根据接收到的标志信息,在数据库中检索对应的记录,进行结果显示、网络取证、向用户提供攻击的类型及防护方法等多种应对策略。其中的蜜罐响应模块能够及时获取攻击信息,对攻击行为进行深入的分析,对未知攻击进行动态识别,捕获未知攻击信息并反馈给防护系统,实现系统防护能力的动态提升。
4 结束语
基于主动防御的网络安全攻防实验平台主要是针对传统的被动式防御手段的不完善而提出的思想模型。从模型的构建、平台的模拟和实验的效果来看,其系统从一定程度上真实的模拟了网络设备的攻防功能,可以为网络管理者和学习者提供一定的参考和指导。
摘要:目前,传统的被动防御技术将无法应对不断增加的大规模网络攻击行为。文章根据新兴主动防御技术的特点和优势,介绍了一种基于主动防御技术的网络系统安全综合试验平台设计方案,并分别从攻击和防御两个实验模块进行系统的设计和实现。
关键词:主动防御,网络安全,攻击,防御
参考文献
[1]杨锐,羊兴.建立基于主动防御技术的网络安全体系[J].电脑科技,2008(5).
[2]裴斐,郑秋生,等.网络攻防训练平台设计[J].中原工学院学报,2004(2).
[3]Stuart McClure,Joel Scambray,George Kurtz.黑客大曝光—网络安全的机密与解决方案[M].北京:清华大学出版社,2002
[4]张常有.网络安全体系结构[M].成都:电子科技大学出版社,2006(15).
[5]黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007(3).
[6]雷磊.基于主动防御策略的DDoS攻击防御机制研究[J].电脑知识与技术,2009(8).
攻防平台 篇6
关键词:云平台,网络攻防,实验室搭建
云计算的概念一经提出,就受到人们的广泛关注。由于云计算是多种技术混合演进的结果,近几年在世界各大公司推动下,发展极为迅速。2005年,Amazon宣布Amazon Web Services云计算平台。2007年11月,IBM推出了“改变游戏规则”的“蓝云”计算平台,为客户带来即买即用的云计算平台。Microsoft紧跟云计算步伐,于2008年10月推出了Windows Azure操作系统。Google是最大的云计算技术的使用者。Google搜索引擎就建立在分布在30多个站点、超过200万台的服务器的支撑之上。
1 云计算的概念
云计算是一种商业计算模型。它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。简而言之,云计算是通过网络按需提供可动态伸缩的廉价计算服务。[1,2,3,4]云计算(Cloud Computing)是分布式计算(Distributed Computing)、并行计算(Parallel Computing)、效用计算(Utility C o m p u t i n g)、网络存储(N e t w o r k S t o r a g e Technologies)、虚拟化(V i r t u a l i z a t i o n)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。云计算包括以下3个层次的服务。
(1)IaaS(Infrastructure-as-a-Service):基础设施即服务。消费者通过Internet可以从完善的计算机基础设施获得服务。
(2)PaaS(Platform-as-a-Service):平台即服务。PaaS实际上是指将软件研发的平台作为一种服务,以SaaS的模式提交给用户。因此,PaaS也是SaaS模式的一种应用。但是,PaaS的出现可以加快SaaS的发展,尤其是加快SaaS应用的开发速度。
(3)SaaS(Software-as-a-Service):软件即服务。它是一种通过Internet提供软件的模式,用户无须购买软件,而是向提供商租用基于Web的软件,来管理企业经营活动。
服务商提供给用户一个账号密码,用户登进去以后就进入了服务商的云平台,只需要使用平台上提供的软件,不用关心后台的硬件,网络架构,也不用关心用户数据存放的具体位置,这就是云计算提供的服务。[5,6,7,8]例如google邮箱,用户通过登录使用邮件服务,用户的邮件具体保存在哪台服务器上呢?实际上google后台有几百万台服务器在同时运行,但是用户并不用关心。
2 基于云平台的网络攻防实验室的搭建
网络攻防实验室的搭建主要使用了两套基于云平台的实验教学系统,两套系统分工不同,便于实验教师的管理和学生使用。基于云平台的信息安全实验系统HonyaCloud-SecLab主要应用于实验课时相对较短,实验内容与课堂知识点一一对应的专业课程实验;基于云平台的网络攻防竞技与对抗平台Honya-NATC主要用于实验课时相对较长,实验内容偏向于综合类、设计类的课程设计、生产实践等课程实验。
2.1 基于云平台的信息安全实验系统
实验系统逻辑上划分为云计算虚拟化平台和教育培训管理平台两部分。云计算虚拟化平台通过云计算虚拟化调度和管理为计算机教学虚拟各种实验操作环境,学生可用其进行各种计算机、网络设备和安全设备等操作,真实体验计算机系统、网络和安全信息知识和实际操作演练过程。
实验平台的硬件是由1台管理控制设备,1台云调度设备和多台云资源设备组成(如图1所示),管理控制设备统一总管整套系统的其他设备,云调度设备可根据需求调用云资源中的虚拟环境,同时达到负载均衡,多台云资源设备则可出不同的网络设备和操作系统服务器。
2.2 基于云平台的网络攻防竞技与对抗平台
基于云平台的网络攻防竞技与对抗平台更适用于学生进行课程实践、认识实习、暑期小学期、兴趣小组活动以及学生竞赛等。通过竞技与对抗更大程度地发挥高校学生的积极性和创造力,学生知识更新也能够紧跟信息安全前沿技术和动态,达到学以致用、学有所用的目的;通过网络攻防竞技与对抗还可以实践信息安全技术,及时发现和培养信息安全领域突出人才。这也是对于信息安全专业学生在课堂随堂知识和随堂实验的一个延伸和巩固,是教学改革中从理论到实践、从实践到实战的阶梯化发展的体现。
系统为学生提供线上个人挑战赛和线下分组对抗赛两个环节。
2.2.1 个人挑战赛
个人挑战赛以计算机信息网络为竞赛内容和考察重点,分为基础、脚本、破解、溢出、内核、综合6种题型,关卡考察内容涉及WEB知识、ASP/PHP脚本、缓冲区溢出、软件脱壳破解、系统漏洞利用、社会工程学等信息安全知识。
2.2.2 分组对抗赛
线下比赛分为多个小组进行对抗,在封闭的真实对抗环境(包括DMZ区、数据区、开发测试区、内网服务区、终端区)中展开攻防角逐(如图2所示),能够展示各位选手的个人水平和小组的协同合作能力。
3 网络攻防实验室的教学整体优化
拥有一个体系完整的网络攻防实验室,不仅具有系统的实践教学理念、丰富的实践教学内容,更要有创新的实践教学方法与严格的管理制度,以及充足的师资力量,才能够满足目前我院信息安全本科在校生200多人的实验教学,培养出具有较高综合素质和创新能力的专业学生。[9,10,11,12]
3.1 实验多元化教学成效显著
实验室的学生机采用双网卡模式,其中连接实验教学平台的网卡直接连入校园网,这样学生无论使用实验室计算机或自己在学校内的任何位置,通过浏览器可直接访问实验教学平台,输入用户名密码,进入系统开始实验操作。系统的云端进行计算资源,实验资源的合理分配调度,学生使用时无须再安装客户端,方便实验,对于时间、空间的要求更加灵活。
实验教学系统提供了实验原理、实验目的、拓扑分配和实验报告等资源,学生在上课之前可以通过登录系统预习实验,也可以根据兴趣或教师布置任务自行进行实验操作。
网络攻防实验室的教学系统中共包括了信息安全、网络安全、网络攻防、安全评估等300多个实验项目,满足我校信息安全专业的本科生进行网络安全与管理、数字签名与身份认证、信息内容隐藏、电子商务安全等多门专业课程以及密码学应用与实践、数字签名课程设计等实践类课程的实验需求。部分实验项目内容见表1。
3.2 管理一体化教师省时易行
基于云平台的实验教学系统为实验教师提供了多种管理功能,方便整个实验室的管理和维护。教师进行不同门类课程之间的准备工作较之前更加简捷。
管理员可以对系统进行实验初始化,学生管理、实验课程管理、云管理、远程桌面、远程协助、考核等管理工作。管理员可根据课程和自身的需求进行实验云平台调度,并支持虚拟化管理、拓扑设计、虚拟模板管理等功能,另外,还可以扩展设计新的实验项目。
实验教学系统中的云主机支持实验录像、实验截图、实验暂停等功能,实验教师可在备课过程中进行相关操作编写课件,也可在实验课程进行中对学生机的实验进展进行观摩指导。
3.3 评估层次化学生获益匪浅
(1)课后作业:教师在课后布置相关作业,当学生可以通过系统提交,教师既能查看选修此门课程中每位同学的作业提交情况,包括学生提交的次数、份数,以及时间和附件大小。
(2)题库练习:题库信息可在教学系统中进行添加、删除,和设置题库相关内容,学生通过课堂动手练习以后,在学习过程中跟进题目的练习,有助于知识的吸收和巩固。
(3)课程考试:考试可以从题库中抽取考题来进行组卷,也可以自行编辑考试题,并能进行考试成绩的查询(如图3所示)。
4 结束语
武器传说:攻防战 篇7
但考古学家就是一群不见实物不罢休的死心眼儿,他们在世界各地的历史遗迹中敲敲打打,终于有了不少出人意料的发现。他们说。现在发现的最早的武器是一根一端削尖、用火烤硬的木棍,它有50000年的“高龄”。
20000年前,人类发明了一种高科技的武器——回力棒。不要小看这根模样简单的木条,它的双翼就像飞机的翅膀,能借助空气向上的托力飞行。熟练使用回力棒的人甚至能让它在空中画出一道完美的弧线,再回到使用者的手里。武侠小说中的“御剑术”恐怕就是回力棒的升级版。
无疑问这种“粪便弹”使清洁工们很头痛,更可怕的是它会传播各种致使的瘟疫。
200年后,火药传入欧洲,欧洲人发明了大炮来配合它。不过,一开始这可是个害人害己的发明,因为火药爆炸时的威力巨大,很多大炮壳完全承受不了这种力量而裂开,反而令炮手一命呜呼。
但“城墙终结者”最后还是出现了。1452年,波斯人进攻君士坦丁堡,为了攻破君士坦丁堡的城墙,波斯人铸造了超级大炮,据说一尊这样的大炮要1000人加上60头牛才拉得动。超级大炮用直径接近1米的圆石头做炮弹,一个炮弹能把一艘船炸成两半。即使是号称“永不攻破”的君士坦丁堡的城墙也禁不起这样的进攻,这座城市很快就被敌人占领了。