系統建置

四 四 、 、 、 、 系統建 置 系 統 建 置 系 統 建 置 系 統 建 置

本計畫所提出的各項技術為具體可行，且本計畫團隊亦按照計畫書之規畫實做出 四套具高度實用性之系統，以下將分別就異質無線網路模擬平台、行動平台的安全機 制、惡意檔案文件分析系統、與程式漏洞檢測等系統敘述其設計理念、實作方法、以 及其實際執行畫面：

無線異質網路測試平台無線異質網路測試平台無線異質網路測試平台 無線異質網路測試平台

本計畫之異質無線網路模擬平台由四大元件組成：(1) 控制客戶端 (control client)、(2) 伺服器 (servers)、(3) 實驗節點 (experimental node) 以及(4) 虛擬鏈結 (virtual link)。使用者可藉由控制客戶端設計所需之無線網路實驗拓樸並指定實驗參 數，控制客戶端將實驗網路之拓樸轉為 NS (Network Simulator，簡稱 NS) 設定檔 後，傳送給伺服器。伺服器則依該 NS 設定檔之內容配置實驗節點並建立對應的網 路拓樸。控制客戶端可以透過伺服器傳送實驗參數、指令至實驗節點，實驗節點會依 使用者設定的指令進行實驗。詳細的系統架構如圖六所示：

圖六：異質無線網路模擬平台架構

控制客戶端 控制客戶端控制客戶端 控制客戶端：：： ：

控制客戶端提供使用者一套圖形化的設定工具，用以設置實驗環境、開啟攻防程 式以及觀測實驗結果，其畫面如下圖七所示。使用者可藉由控制客戶端的圖形化 介面規劃所需之無線網路實驗拓樸和指定實驗參數；控制客戶端的分析器 (parser) 負責解析無線拓樸圖形產生網路參數設定；網路設定程式 (network configurator) 處理網路參數設定，並產出 NS 設定檔。即時顯示畫布 (real-time display) 則負責 接收及動態呈現實驗結果。其中，NS 設定檔為 EmuLab 用來配置實驗機器的設 定檔；伺服器接收到 NS 設定檔後，會依 NS 設定檔所提供之資訊，將有線網路 節點配置為所要求的無線網路架構。NS 設定檔內存放之無線網路設定包含了： (1) 實驗節點在無線環境中的空間配置、(2) 支援之無線網路介面及其網路卡實體層位 址 (MAC address)、(3) 無線裝置之訊號覆蓋範圍等等。待伺服器將實驗網路建置

36

完成後，控制客戶端會將每台實驗節點的設定資訊轉換成訊號覆蓋表 (coverage table)，並將其傳送至各個實驗節點。訊號覆蓋表紀錄了節點於虛擬空間中之距離，

可以用來模擬傳輸距離與電磁訊號的衰退關係。

圖七、控制客戶端的圖形化設定工具可用於設定無線網路拓樸與實驗參數

伺服器伺服器伺服器 伺服器：：： ：

在此異質無線網路模擬平台上，控制實驗用的伺服器主要可分為指揮伺服器 (Boss server) 和使用者伺服器 (User server)。

指揮伺服器負責解析使用者上傳的 NS 設定檔，建立新的網路實驗。指揮伺服器 藉由控制網路交換器和電源控制器進行實驗節點之配置、創建實驗者設計的網路 拓樸，並載入指定的可執行映像檔至選定的實驗節點。為了使同時進行中的網路 實驗不會互相影響，指揮伺服器利用虛擬區網 (Virtual Local Area Network，VLAN) 技術控制網路交換器來區隔不同之網路實驗。透過將同一實驗之節點配置在相同 虛擬區網的方式，同一虛擬區網內的實驗節點可以彼此溝通，如同這些節點都連 接至同一實體線路；節點之間是否能夠溝通取決於虛擬區網的規劃，與節點的實 際位置無關。

使用者伺服器的主要工作為管理使用者帳號以及使用者所建立的實驗，並作為使 用者連線至其所建立之網路實驗節點之跳板：使用者必須透過 SSH 協定連至使 用者伺服器，再由使用者伺服器登入實驗節點存取資料以及控制實驗。為了確保 實驗之隔離性和安全性，本計畫以防火牆隔離外部和內部實驗網路，避免實驗中 的惡意程式失控時，危害到外部公有網路。

實驗節點實驗節點實驗節點 實驗節點：：： ：

實驗節點包含三個主要元件：應用程式 (application)、設定客戶端 (config client) 和虛擬無線界面 (virturl wireless interface)。

37

應用程式包含了本計畫研究人員開發之網路攻擊、防禦程式，如 Wireshark 等網 路封包分析工具、洪水攻擊 (Authentication Flood Attack) 等模組。使用者可於使 用者伺服器上取得所有攻防模組進行無線網路實驗。 (Media Access Control Layer，簡稱 MAC Layer) 的所有控制以及封包的處 理工作。虛擬驅動程式接收到來自系統核心的資料後，會將資料以無線協 硬體抽象層 (Hardware Abstraction Layer，簡稱為 HAL)以提供上層統一的 界面。WiMAX 虛擬驅動程式則為本計畫之研究人員遵循 IEEE 802.16 之

38

廣播封包來模擬無線網路封包於空氣介質中傳遞時的廣播特性。虛擬天線 之主要功能為模擬無線網路底層之介質傳送和資訊交換等工作，將來自上 層虛擬驅動程式的 802.11 或 802.16 封包封裝為符合 UDP 的廣播封包，

再將 UDP 廣播封包交由實體乙太 (ethernet) 網路卡傳送至其他實驗節 點。同理，當虛擬天線接收來自其他節點的 UDP 廣播封包後，會先解開 UDP 表頭，依據訊號覆蓋表過濾不在節點訊號傳輸範圍內之封包，再將剩 餘之封包傳送至上層虛擬驅動程式。

虛擬鏈結虛擬鏈結 虛擬鏈結虛擬鏈結

虛擬鏈結旨在建立控制客戶端和使用者伺服器之間的連線，這是由於在原本 EmuLab 的設計架構中，使用者只能經由指揮伺服器或使用者伺服器存取內部 的實驗節點。因此，為了使位於實驗網路之外的控制客戶端能與內部之實驗結 點進行溝通，本平台提出藉由在使用者伺服器上建立虛擬鏈結之方式，提供轉 傳客戶端封包至實驗節點之代理服務。

圖九：虛擬鏈結的訊息流程。

圖九說明了建立虛擬鏈結的訊息流程。使用者先於使用者伺服器上建立可觀測 實驗結果和節點狀態的 SSH 通道 (tunnel)。SSH 通道使實驗節點可通過防火 牆，透過代理伺服器 (proxy server) 與客戶控制端進行資料交換。控制客戶端透 過代理伺服器將控制訊號傳送給實驗節點的設定客戶端，設定客戶端則負責將 實驗結果透過代理伺服器回傳到控制客戶端的即時顯示畫布呈現。由於控制客 戶端送出的指令嵌有節點名稱，指揮伺服器的網域名稱系統 (domain name system, 簡稱 DNS) 服務也會被要求協助轉送各種服務所需的指令。同理，

DNS 服務的回應也將經由代理伺服器回傳至控制客戶端。

為協助使用者快速學習如何在本平台上進行無線網路模擬實驗，本計畫之研究 人員開發了許多基本的網路攻防模組；使用者可在其進行之無線網路模擬實驗中直接 套用這些工具觀察實驗結果或是驗證所提出之網路協定或安全機制。以下舉出兩個本 計畫研究人員開發之攻防模組作為說明：

39

1. 無線網路封包分析工具

本計畫之研究人員移植知名的網路封包分析工具 Wireshark [6]至本計畫發展之 無線模擬平台上，讓使用者能夠藉由 SSH X forwarding 的方式將 Wireshark 的 畫面回傳至使用者的電腦端顯示。 Wireshark 能夠擷取無線網路裝置在空氣介 質中傳輸的封包，並協助使用者了解網路之行為或是驗證新的通訊協定。此 外，本計畫之開發人員亦修改了 Wireshark 的程式碼，使其能夠支援本計畫所 模擬之 802.16d 無線網路協定之判別，協助使用者發展 WiMAX 之通訊協定，

其畫面如圖十所示。

圖十：Wireshark 協助使用者分析 WiMAX 網路封包

2. 分散式阻斷服務攻擊模組

本計畫之研究人員為了驗證 802.11 的無線存取點 (AP) 是否能夠抵擋分散式阻 斷服務攻擊，開發了洪水攻擊 (Authentication Flood Attack) 模組，企圖使 AP 拒絕正常使用者的連線請求。圖十一-(a) 顯示在洪水攻擊開始前與 AP 連線的 節點數量 (也就是圖中的 Alice 和 Bob 兩個節點)，當 Eve 節點開始對 AP 發 動洪水攻擊後，Eve 會不斷的更換網路卡實體層位址，並偽裝成新的節點和 AP 進行連線，企圖填滿 AP 的連線紀錄表，如圖十一-(b) 所示。當連線數量超過 AP 所能容許的上限後，正常的使用者及無法和 AP 進行連線，形成分散式阻斷 服務攻擊。

40

(a)

(b)

圖十一：使用洪水攻擊模組驗證 AP 是否能抵擋分散式阻斷服務攻擊

最後，本計畫為將加強推廣本異質無線網路模擬平台予國內產學各單位，本計畫 之研究人員亦著手撰寫本異質無線網路模擬平台之軟硬體設計文件與使用說明，其內容 可分為開發者手冊與使用者手冊兩部分：

1. 開發者手冊

開發者手冊分為硬體架構及軟體設計兩部份。硬體架構包含異質無線網路平台 所使用的設備規格、伺服器/防火牆/網路控制器/實驗機器之間的網路拓樸、網路 控制器的設定和伺服器的安裝說明文件等等。軟體設計部分則包含了控制客戶 端等程式之設計文件與原始碼，以及虛擬驅動程式/虛擬天線/攻防模組等軟體之 架構設計、原始碼與安裝說明。

SWOON 的 source tree 包含以下幾個部份：

41 Project，並成為該 Project 之主持人 (Project Leader)；一般使用者只能選擇加入 現有之 Project，且須經由該 Project 的 Leader 之認證才能於該 Project 下開始建

42

圖十二：異質無線網路模擬平台的維基百科

圖十三：異質無線網路模擬平台的維基百科

43

行動平台的安全管理機制行動平台的安全管理機制行動平台的安全管理機制 行動平台的安全管理機制

為兼顧行動平台的網路安全防護與資料安全儲存，本計畫針對本研究子項共研發 出兩套系統，分別為「安全雲端儲存系統」與「行動平台的入侵偵測系統」，以下將 分別針對此兩套系統提出說明：

為兼顧行動平台的網路安全防護與資料安全儲存，本計畫針對本研究子項共研發 出兩套系統，分別為「安全雲端儲存系統」與「行動平台的入侵偵測系統」，以下將 分別針對此兩套系統提出說明：