DDos攻擊實驗平臺的設計與實現

DDos　是一種非常常見的網絡攻擊手段，為了能夠更好地研究和分析DDos　攻擊的過程，動態地掌握DDos　攻擊過程不同階段對網絡數據帶寬、網絡性能的影響，往往需要建立DDos　攻擊實驗平臺。

然而DDos　攻擊實驗對網路帶寬和網絡性能都有極大的危害。在普通的網絡環境中開展DDos　攻擊實驗會對正常的網絡通信造成極大的危害。而且在現實的互聯網環境中，各種路由器、防火墻等設備都對DDos　攻擊進行了相應的防范，因此在互聯網環境中如果缺乏足夠的前期準備工作，也很難開展真正有效的DDos　攻擊。而且由于互聯網的開放性，使得在互聯網上開展DDos　攻擊實驗過程具有攻擊范圍和攻擊過程以及攻擊后果難以有效控制等問題，因此亟需開發和設計一種針對DDos　攻擊的實驗平臺。

由于DDos　攻擊過程是一種非常常見的攻擊過程，因此針對DDos　攻擊的相關研究也比較多。通過對現有DDos攻擊實驗平臺的研究成果分析表明，當前對DDos　攻擊實驗平臺的研究主要朝兩個方向發展，一種是基于本地網絡的DDos　攻擊實驗環境，另一種是基于虛擬機的DDos　攻擊實驗環境?；诒镜鼐W絡的DDos　攻擊實驗環境，是模擬互聯網的各種網絡設備，包括路由器、服務器、PC　終端等設備，采用實際的網絡硬件設備搭建一個與互聯網功能類似的小型網絡，在該網絡上開展DDos　攻擊實驗。這種實驗環境以真是的計算機和網絡設備來模擬互聯網通信過程具有很強的真實性。然而由于互聯網規模非常的龐大，因此在本地建立的模擬實驗網絡很難真正模擬出互聯網大數量、大規模的特性，同時這種模擬的方式也需要耗費大量的硬件基礎設施，實現代價較高。另一種是基于虛擬環境的攻擊實驗平臺實現方法。這種實現方法通過在高性能的計算機或服務器上虛擬出互聯網中的路由器、PC終端以及互連設備等等。這種采用虛擬方式建立的攻擊實驗網絡實現成本低，能夠在短時間內構造一個規模相對較大的互聯網絡，然而完全基于虛擬環境的實驗網絡對實際的網絡帶寬、網絡通信性能等模擬不夠完善，因此在這種純虛擬環境下開展的攻擊實驗平臺得到的攻擊效果和攻擊過程與真實的環境仍然有較大的差異。文中針對當前DDos　攻擊實驗平臺的研究發展現狀和趨勢，提出了基于虛擬環境和實際網絡硬件設備相結合的DDos　攻擊實驗平臺，該實驗平臺采用實際的網絡互連設備建立一個真實的網絡環境，同時在網絡環境中的各個終端上采用虛擬化技術構建多個網絡終端，擴大網絡互連的規模，以此解決目前DDos　攻擊實驗平臺中網絡環境真實性與網絡環境搭建代價之間的矛盾。

1　實驗平臺的組成結構

文中設計的DDos　攻擊實驗平臺在物理結構上仍然保持傳統的互聯網結構。如圖1　所示，給出了DDos　攻擊實驗平臺的組成結構。在該拓撲結構中，處于中心位置的是DDos　攻擊實驗平臺的服務器，該服務器負責模擬互聯網上常見的網絡應用服務。

服務器通過路由器、交換機等網絡互連設備與各個實驗終端相連。所有實驗終端和服務器組成一個本地網絡，可以完成正常的網絡數據通信功能。在文中設計的DDos　攻擊實驗平臺硬件結構的基礎上，對所有的網絡實驗終端進行了虛擬化的設計，即在一個客戶機的終端上可以虛擬出多個網絡終端以及虛擬的網絡互連設備。所有的網絡互連終端既可以通過虛擬的網絡互連設備形成一個本地的局域網，也可以通過客戶機的硬件網絡接口與遠程的網絡建立連接。因此在圖1　所示的DDos　攻擊實驗平臺拓撲結構中，有路由器、服務器以及其他網絡通信設備所組成的互聯網絡，相當于互聯網中的骨干網絡，承擔著整個虛擬環境中各個本地網絡的數據互聯互通。在攻擊實驗平臺中的客戶機上面虛擬出來的所有虛擬終端以及由這些虛擬終端所連接的網絡，形成一個個相對獨立的本地網絡，所有本地網絡可以通過攻擊實驗平臺中的骨干網絡進行相互連接，實現數據通信。因此，文中設計的DDos　攻擊實驗平臺在拓撲結構上相當于是一個分層次的網絡拓撲結構，既有屬于上層的骨干網絡，也有屬于本地的局域網絡。

用戶利用文中設計的DDos　攻擊實驗平臺開展DDos　攻擊實驗的時候，既可以以單個客戶機為實驗環境進行本地小型化的DDos　攻擊實驗，同時也可以選取若干個客戶機，利用客戶之間的互聯網絡形成一個小規模的網絡，在該環境中進行DDos　攻擊實驗，也可以以整個DDos　攻擊實驗平臺作為實驗環境，以上層的骨干網絡作為數據通信的承載網，以各個客戶機所組成的本地網絡作為DDos　攻擊的本地區域，利用整個DDos　攻擊實驗平臺開展DDos攻擊實驗將具有很強的真實網絡模擬特性，能夠模擬出互聯網中骨干網和本地網不同流量、不同帶寬等服務性能。

由于文中設計的實驗平臺主要應用于DDos　攻擊實驗，而根據DDos　的攻擊實驗實現的方式和常見的攻擊過程，當用戶在網絡中針對某一目標發起DDos　攻擊的時候，很有可能會造成從發起源到攻擊目標之間通信鏈路的擁塞，甚至有可能對整個模擬網絡中的數據通信造成擁塞。因此文中的DDos　攻擊實驗平臺在開展實驗過程中同樣會出現不同程度的數據擁塞，而作為一個攻擊實驗平臺，除了需要能夠模擬和產生攻擊過程中所需要的所有數據，更重要的還需要能夠為用戶提供DDos　攻擊的全過程分析環境和觀測環境，一旦DDos　攻擊實驗平臺發生嚴重的數據擁塞，有可能使得用戶無法對實驗網絡中的遠程數據線路傳輸性能進行檢測。因為當網絡上出現嚴重擁塞的時候，所有控制數據也無法通過網絡環境傳輸到監視終端上來。為此文中在設計的DDos　攻擊實驗平臺中專門設計了另外一組通信鏈路，用于網絡性能的檢測，該通信鏈路不參與正常的網絡數據通信，而僅僅負責各個節點的處理性能、網絡擁塞程度等指標進行檢測，并及時將采集的數據通過專用的線路反饋給數據監控終端，實現對DDos　攻擊的全過程監控和分析。整個攻擊實驗平臺中的監控通信網絡在圖1　中用虛線表現出來，是DDos　攻擊實驗平臺中的一個重要組成部分。

2　DDos　攻擊數據的產生

利用文中設計的DDos　攻擊實驗平臺，各個客戶機上的虛擬終端都可以向實驗平臺中心的服務器發起DDos　攻擊。然而在攻擊過程中，如何快速有效地產生DDos　攻擊數據，是本實驗平臺在設計過程需要解決的一個關鍵性技術實驗難題。在傳統的互聯網環境下，用戶發起DDos　攻擊一般是在各個攻擊終端上部署攻擊程序，由攻擊程序實現DDos攻擊數據的產生。而且在真實的網絡互連環境中，為了提高DDos　攻擊數據的迷惑性，從各個攻擊終端產生的DDos攻擊數據往往不是簡單的隨機數據，甚至可以通過模擬一些真實環境下的網絡數據，以避免DDos　攻擊數據被目標端的防護軟件所攔截[7]。

結合實際的互聯網中的DDos　攻擊過程，文中設計的DDos　攻擊實驗平臺在各個虛擬終端上也提供了形式多樣的DDos　攻擊數據產生方式，如圖2所示。根據用戶需要的DDos　攻擊數據不一樣，文中在虛擬網路終端上運行了虛擬操作系統，在虛擬操作系統上層提供了VC　編譯環境、WinPcap　開發驅動、WinSocket　庫函數以及用戶自定義庫函數等功能模塊，通過這些功能模塊可以為客戶開發和產生靈活多樣的DDos　攻擊數據提供支持。如果客戶需要的DDos　攻擊數據，當用戶需要的DDos　攻擊數據比較規整時，符合特定的網絡協議規范，此時可以采用WinPcap開發驅動快速地產生DDos攻擊數據。