DDos攻擊實(shí)驗(yàn)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)

DDos　是一種非常常見(jiàn)的網(wǎng)絡(luò)攻擊手段，為了能夠更好地研究和分析DDos　攻擊的過(guò)程，動(dòng)態(tài)地掌握DDos　攻擊過(guò)程不同階段對(duì)網(wǎng)絡(luò)數(shù)據(jù)帶寬、網(wǎng)絡(luò)性能的影響，往往需要建立DDos　攻擊實(shí)驗(yàn)平臺(tái)。

然而DDos　攻擊實(shí)驗(yàn)對(duì)網(wǎng)路帶寬和網(wǎng)絡(luò)性能都有極大的危害。在普通的網(wǎng)絡(luò)環(huán)境中開(kāi)展DDos　攻擊實(shí)驗(yàn)會(huì)對(duì)正常的網(wǎng)絡(luò)通信造成極大的危害。而且在現(xiàn)實(shí)的互聯(lián)網(wǎng)環(huán)境中，各種路由器、防火墻等設(shè)備都對(duì)DDos　攻擊進(jìn)行了相應(yīng)的防范，因此在互聯(lián)網(wǎng)環(huán)境中如果缺乏足夠的前期準(zhǔn)備工作，也很難開(kāi)展真正有效的DDos　攻擊。而且由于互聯(lián)網(wǎng)的開(kāi)放性，使得在互聯(lián)網(wǎng)上開(kāi)展DDos　攻擊實(shí)驗(yàn)過(guò)程具有攻擊范圍和攻擊過(guò)程以及攻擊后果難以有效控制等問(wèn)題，因此亟需開(kāi)發(fā)和設(shè)計(jì)一種針對(duì)DDos　攻擊的實(shí)驗(yàn)平臺(tái)。

由于DDos　攻擊過(guò)程是一種非常常見(jiàn)的攻擊過(guò)程，因此針對(duì)DDos　攻擊的相關(guān)研究也比較多。通過(guò)對(duì)現(xiàn)有DDos攻擊實(shí)驗(yàn)平臺(tái)的研究成果分析表明，當(dāng)前對(duì)DDos　攻擊實(shí)驗(yàn)平臺(tái)的研究主要朝兩個(gè)方向發(fā)展，一種是基于本地網(wǎng)絡(luò)的DDos　攻擊實(shí)驗(yàn)環(huán)境，另一種是基于虛擬機(jī)的DDos　攻擊實(shí)驗(yàn)環(huán)境?；诒镜鼐W(wǎng)絡(luò)的DDos　攻擊實(shí)驗(yàn)環(huán)境，是模擬互聯(lián)網(wǎng)的各種網(wǎng)絡(luò)設(shè)備，包括路由器、服務(wù)器、PC　終端等設(shè)備，采用實(shí)際的網(wǎng)絡(luò)硬件設(shè)備搭建一個(gè)與互聯(lián)網(wǎng)功能類(lèi)似的小型網(wǎng)絡(luò)，在該網(wǎng)絡(luò)上開(kāi)展DDos　攻擊實(shí)驗(yàn)。這種實(shí)驗(yàn)環(huán)境以真是的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備來(lái)模擬互聯(lián)網(wǎng)通信過(guò)程具有很強(qiáng)的真實(shí)性。然而由于互聯(lián)網(wǎng)規(guī)模非常的龐大，因此在本地建立的模擬實(shí)驗(yàn)網(wǎng)絡(luò)很難真正模擬出互聯(lián)網(wǎng)大數(shù)量、大規(guī)模的特性，同時(shí)這種模擬的方式也需要耗費(fèi)大量的硬件基礎(chǔ)設(shè)施，實(shí)現(xiàn)代價(jià)較高。另一種是基于虛擬環(huán)境的攻擊實(shí)驗(yàn)平臺(tái)實(shí)現(xiàn)方法。這種實(shí)現(xiàn)方法通過(guò)在高性能的計(jì)算機(jī)或服務(wù)器上虛擬出互聯(lián)網(wǎng)中的路由器、PC終端以及互連設(shè)備等等。這種采用虛擬方式建立的攻擊實(shí)驗(yàn)網(wǎng)絡(luò)實(shí)現(xiàn)成本低，能夠在短時(shí)間內(nèi)構(gòu)造一個(gè)規(guī)模相對(duì)較大的互聯(lián)網(wǎng)絡(luò)，然而完全基于虛擬環(huán)境的實(shí)驗(yàn)網(wǎng)絡(luò)對(duì)實(shí)際的網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)通信性能等模擬不夠完善，因此在這種純虛擬環(huán)境下開(kāi)展的攻擊實(shí)驗(yàn)平臺(tái)得到的攻擊效果和攻擊過(guò)程與真實(shí)的環(huán)境仍然有較大的差異。文中針對(duì)當(dāng)前DDos　攻擊實(shí)驗(yàn)平臺(tái)的研究發(fā)展現(xiàn)狀和趨勢(shì)，提出了基于虛擬環(huán)境和實(shí)際網(wǎng)絡(luò)硬件設(shè)備相結(jié)合的DDos　攻擊實(shí)驗(yàn)平臺(tái)，該實(shí)驗(yàn)平臺(tái)采用實(shí)際的網(wǎng)絡(luò)互連設(shè)備建立一個(gè)真實(shí)的網(wǎng)絡(luò)環(huán)境，同時(shí)在網(wǎng)絡(luò)環(huán)境中的各個(gè)終端上采用虛擬化技術(shù)構(gòu)建多個(gè)網(wǎng)絡(luò)終端，擴(kuò)大網(wǎng)絡(luò)互連的規(guī)模，以此解決目前DDos　攻擊實(shí)驗(yàn)平臺(tái)中網(wǎng)絡(luò)環(huán)境真實(shí)性與網(wǎng)絡(luò)環(huán)境搭建代價(jià)之間的矛盾。

1　實(shí)驗(yàn)平臺(tái)的組成結(jié)構(gòu)

文中設(shè)計(jì)的DDos　攻擊實(shí)驗(yàn)平臺(tái)在物理結(jié)構(gòu)上仍然保持傳統(tǒng)的互聯(lián)網(wǎng)結(jié)構(gòu)。如圖1　所示，給出了DDos　攻擊實(shí)驗(yàn)平臺(tái)的組成結(jié)構(gòu)。在該拓?fù)浣Y(jié)構(gòu)中，處于中心位置的是DDos　攻擊實(shí)驗(yàn)平臺(tái)的服務(wù)器，該服務(wù)器負(fù)責(zé)模擬互聯(lián)網(wǎng)上常見(jiàn)的網(wǎng)絡(luò)應(yīng)用服務(wù)。

服務(wù)器通過(guò)路由器、交換機(jī)等網(wǎng)絡(luò)互連設(shè)備與各個(gè)實(shí)驗(yàn)終端相連。所有實(shí)驗(yàn)終端和服務(wù)器組成一個(gè)本地網(wǎng)絡(luò)，可以完成正常的網(wǎng)絡(luò)數(shù)據(jù)通信功能。在文中設(shè)計(jì)的DDos　攻擊實(shí)驗(yàn)平臺(tái)硬件結(jié)構(gòu)的基礎(chǔ)上，對(duì)所有的網(wǎng)絡(luò)實(shí)驗(yàn)終端進(jìn)行了虛擬化的設(shè)計(jì)，即在一個(gè)客戶機(jī)的終端上可以虛擬出多個(gè)網(wǎng)絡(luò)終端以及虛擬的網(wǎng)絡(luò)互連設(shè)備。所有的網(wǎng)絡(luò)互連終端既可以通過(guò)虛擬的網(wǎng)絡(luò)互連設(shè)備形成一個(gè)本地的局域網(wǎng)，也可以通過(guò)客戶機(jī)的硬件網(wǎng)絡(luò)接口與遠(yuǎn)程的網(wǎng)絡(luò)建立連接。因此在圖1　所示的DDos　攻擊實(shí)驗(yàn)平臺(tái)拓?fù)浣Y(jié)構(gòu)中，有路由器、服務(wù)器以及其他網(wǎng)絡(luò)通信設(shè)備所組成的互聯(lián)網(wǎng)絡(luò)，相當(dāng)于互聯(lián)網(wǎng)中的骨干網(wǎng)絡(luò)，承擔(dān)著整個(gè)虛擬環(huán)境中各個(gè)本地網(wǎng)絡(luò)的數(shù)據(jù)互聯(lián)互通。在攻擊實(shí)驗(yàn)平臺(tái)中的客戶機(jī)上面虛擬出來(lái)的所有虛擬終端以及由這些虛擬終端所連接的網(wǎng)絡(luò)，形成一個(gè)個(gè)相對(duì)獨(dú)立的本地網(wǎng)絡(luò)，所有本地網(wǎng)絡(luò)可以通過(guò)攻擊實(shí)驗(yàn)平臺(tái)中的骨干網(wǎng)絡(luò)進(jìn)行相互連接，實(shí)現(xiàn)數(shù)據(jù)通信。因此，文中設(shè)計(jì)的DDos　攻擊實(shí)驗(yàn)平臺(tái)在拓?fù)浣Y(jié)構(gòu)上相當(dāng)于是一個(gè)分層次的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，既有屬于上層的骨干網(wǎng)絡(luò)，也有屬于本地的局域網(wǎng)絡(luò)。

用戶利用文中設(shè)計(jì)的DDos　攻擊實(shí)驗(yàn)平臺(tái)開(kāi)展DDos　攻擊實(shí)驗(yàn)的時(shí)候，既可以以單個(gè)客戶機(jī)為實(shí)驗(yàn)環(huán)境進(jìn)行本地小型化的DDos　攻擊實(shí)驗(yàn)，同時(shí)也可以選取若干個(gè)客戶機(jī)，利用客戶之間的互聯(lián)網(wǎng)絡(luò)形成一個(gè)小規(guī)模的網(wǎng)絡(luò)，在該環(huán)境中進(jìn)行DDos　攻擊實(shí)驗(yàn)，也可以以整個(gè)DDos　攻擊實(shí)驗(yàn)平臺(tái)作為實(shí)驗(yàn)環(huán)境，以上層的骨干網(wǎng)絡(luò)作為數(shù)據(jù)通信的承載網(wǎng)，以各個(gè)客戶機(jī)所組成的本地網(wǎng)絡(luò)作為DDos　攻擊的本地區(qū)域，利用整個(gè)DDos　攻擊實(shí)驗(yàn)平臺(tái)開(kāi)展DDos攻擊實(shí)驗(yàn)將具有很強(qiáng)的真實(shí)網(wǎng)絡(luò)模擬特性，能夠模擬出互聯(lián)網(wǎng)中骨干網(wǎng)和本地網(wǎng)不同流量、不同帶寬等服務(wù)性能。

由于文中設(shè)計(jì)的實(shí)驗(yàn)平臺(tái)主要應(yīng)用于DDos　攻擊實(shí)驗(yàn)，而根據(jù)DDos　的攻擊實(shí)驗(yàn)實(shí)現(xiàn)的方式和常見(jiàn)的攻擊過(guò)程，當(dāng)用戶在網(wǎng)絡(luò)中針對(duì)某一目標(biāo)發(fā)起DDos　攻擊的時(shí)候，很有可能會(huì)造成從發(fā)起源到攻擊目標(biāo)之間通信鏈路的擁塞，甚至有可能對(duì)整個(gè)模擬網(wǎng)絡(luò)中的數(shù)據(jù)通信造成擁塞。因此文中的DDos　攻擊實(shí)驗(yàn)平臺(tái)在開(kāi)展實(shí)驗(yàn)過(guò)程中同樣會(huì)出現(xiàn)不同程度的數(shù)據(jù)擁塞，而作為一個(gè)攻擊實(shí)驗(yàn)平臺(tái)，除了需要能夠模擬和產(chǎn)生攻擊過(guò)程中所需要的所有數(shù)據(jù)，更重要的還需要能夠?yàn)橛脩籼峁〥Dos　攻擊的全過(guò)程分析環(huán)境和觀測(cè)環(huán)境，一旦DDos　攻擊實(shí)驗(yàn)平臺(tái)發(fā)生嚴(yán)重的數(shù)據(jù)擁塞，有可能使得用戶無(wú)法對(duì)實(shí)驗(yàn)網(wǎng)絡(luò)中的遠(yuǎn)程數(shù)據(jù)線路傳輸性能進(jìn)行檢測(cè)。因?yàn)楫?dāng)網(wǎng)絡(luò)上出現(xiàn)嚴(yán)重?fù)砣臅r(shí)候，所有控制數(shù)據(jù)也無(wú)法通過(guò)網(wǎng)絡(luò)環(huán)境傳輸?shù)奖O(jiān)視終端上來(lái)。為此文中在設(shè)計(jì)的DDos　攻擊實(shí)驗(yàn)平臺(tái)中專(zhuān)門(mén)設(shè)計(jì)了另外一組通信鏈路，用于網(wǎng)絡(luò)性能的檢測(cè)，該通信鏈路不參與正常的網(wǎng)絡(luò)數(shù)據(jù)通信，而僅僅負(fù)責(zé)各個(gè)節(jié)點(diǎn)的處理性能、網(wǎng)絡(luò)擁塞程度等指標(biāo)進(jìn)行檢測(cè)，并及時(shí)將采集的數(shù)據(jù)通過(guò)專(zhuān)用的線路反饋給數(shù)據(jù)監(jiān)控終端，實(shí)現(xiàn)對(duì)DDos　攻擊的全過(guò)程監(jiān)控和分析。整個(gè)攻擊實(shí)驗(yàn)平臺(tái)中的監(jiān)控通信網(wǎng)絡(luò)在圖1　中用虛線表現(xiàn)出來(lái)，是DDos　攻擊實(shí)驗(yàn)平臺(tái)中的一個(gè)重要組成部分。

2　DDos　攻擊數(shù)據(jù)的產(chǎn)生

利用文中設(shè)計(jì)的DDos　攻擊實(shí)驗(yàn)平臺(tái)，各個(gè)客戶機(jī)上的虛擬終端都可以向?qū)嶒?yàn)平臺(tái)中心的服務(wù)器發(fā)起DDos　攻擊。然而在攻擊過(guò)程中，如何快速有效地產(chǎn)生DDos　攻擊數(shù)據(jù)，是本實(shí)驗(yàn)平臺(tái)在設(shè)計(jì)過(guò)程需要解決的一個(gè)關(guān)鍵性技術(shù)實(shí)驗(yàn)難題。在傳統(tǒng)的互聯(lián)網(wǎng)環(huán)境下，用戶發(fā)起DDos　攻擊一般是在各個(gè)攻擊終端上部署攻擊程序，由攻擊程序?qū)崿F(xiàn)DDos攻擊數(shù)據(jù)的產(chǎn)生。而且在真實(shí)的網(wǎng)絡(luò)互連環(huán)境中，為了提高DDos　攻擊數(shù)據(jù)的迷惑性，從各個(gè)攻擊終端產(chǎn)生的DDos攻擊數(shù)據(jù)往往不是簡(jiǎn)單的隨機(jī)數(shù)據(jù)，甚至可以通過(guò)模擬一些真實(shí)環(huán)境下的網(wǎng)絡(luò)數(shù)據(jù)，以避免DDos　攻擊數(shù)據(jù)被目標(biāo)端的防護(hù)軟件所攔截[7]。

結(jié)合實(shí)際的互聯(lián)網(wǎng)中的DDos　攻擊過(guò)程，文中設(shè)計(jì)的DDos　攻擊實(shí)驗(yàn)平臺(tái)在各個(gè)虛擬終端上也提供了形式多樣的DDos　攻擊數(shù)據(jù)產(chǎn)生方式，如圖2所示。根據(jù)用戶需要的DDos　攻擊數(shù)據(jù)不一樣，文中在虛擬網(wǎng)路終端上運(yùn)行了虛擬操作系統(tǒng)，在虛擬操作系統(tǒng)上層提供了VC　編譯環(huán)境、WinPcap　開(kāi)發(fā)驅(qū)動(dòng)、WinSocket　庫(kù)函數(shù)以及用戶自定義庫(kù)函數(shù)等功能模塊，通過(guò)這些功能模塊可以為客戶開(kāi)發(fā)和產(chǎn)生靈活多樣的DDos　攻擊數(shù)據(jù)提供支持。如果客戶需要的DDos　攻擊數(shù)據(jù)，當(dāng)用戶需要的DDos　攻擊數(shù)據(jù)比較規(guī)整時(shí)，符合特定的網(wǎng)絡(luò)協(xié)議規(guī)范，此時(shí)可以采用WinPcap開(kāi)發(fā)驅(qū)動(dòng)快速地產(chǎn)生DDos攻擊數(shù)據(jù)。