利用OPENT實現ICMP攻擊仿真

蔡紅柳，胡 楊，田 磊

裝甲兵工程學院信息工程系，北京 100072

利用OPENT實現ICMP攻擊仿真

蔡紅柳，胡 楊，田 磊

裝甲兵工程學院信息工程系，北京 100072

本文主要介紹OPNET的層次建模方法和步驟，利用OPNET對DDoS攻擊中ICMP Flood攻擊進行仿真。同時對攻擊前后被攻擊服務器的相關工作曲線的數據進行了測量,為大規模的網絡攻防場景進行實驗研究時提供方法，為現實中防范網絡DDOS 攻擊提供一定的依據。

網絡對抗 ；OPNET；建模

1 ICMP攻擊概述

ICMP Flood攻擊是指攻擊者利用 ICMP ping 產生的大量回應請求超出了系統的最大限度，以至于系統耗費所有資源來進行響應直至再也無法處理有效的網絡信息流，是一種拒絕服務攻擊（Denial of Service，DoS）。有時攻擊者會直接或間接控制大量主機，從多個攻擊源同時對目標主機發動ICMP ping攻擊，組成的一個分布式的拒絕服務攻擊（Distributed Denial of Service，DDoS），最終使網絡中充斥著大量的無用的數據包，消耗網絡帶寬、使得被攻擊主機性能下降甚至癱瘓，從而造成其他合法用戶無法正常使用服務。

對一般的點對點網絡攻擊仿真時，實物仿真是一種簡便易行的方式，但在研究DDoS這類多對一攻擊時，面對成百甚至上千臺攻擊節點，實物仿真就受到了局限。而采用OPNET進行軟件仿真可以完全避開實物仿真遇到的困難，最大限度地重現現實網絡的各種情況[1]。

2 OPNET 建模的方法

OPNET是目前最常用的網絡仿真軟件之一。它采用面向對象的建模方法來反映實際的網絡和網絡組件結構，實際的系統可以直觀地映射到模型中。

2.1 OPNET 建模機制

利用OPNET進行網絡建模機制可以分為以下3個層次。

1）進程層次

在進程層次中模擬單個對象的行為，刻畫節點模型里的處理器以及隊列模型的行為，主要是各種狀態之間的轉換過程。

2）節點層次

節點層次是實施各種算法的載體，也是產生事件和處理事件的主體，它可以模擬通信協議、算法、排隊策略、共享資源、操作系統、特殊的業務源等大多數軟件或者硬件系統。建立由相應協議模型構成的節點模型，將進程層次中的各個進程互連成設備，并反映設備的特性。

3）網絡層次

網絡層次負責將節點層次中建立起來的設備互連成網絡，確定網絡的拓撲結構、協議、應用、流量以及其他一些系統設置，位于3個層次的最上層。

通過OPNET的3層建模機制建立起來的3層模型和實際的網絡、設備、協議層次完全對應，全面反映了網絡的相關特性。

2.2 OPNET 仿真的步驟

OPNET 仿真可以分為以下4步[3]，圖1所示。

1）配制網絡拓撲

通過OPNET提供的相關工具，建立場景，選擇所需要的設備和連接方式，建立網絡拓撲，并檢查整個網絡是否連通。

2）配制運行參數

選擇在該網絡上運行的服務，并配制這些服務的運行參數。這樣就完成了系統流量的建模。

3）選擇要查看的結果

選擇所需要的結果報告，可以是某個設備上運行的某一服務的參數之一，也可以是某些全局性的參數。

4）運行仿真

通過前3步已初步搭建出仿真環境。通過第4步運行仿真可以得到仿真數據。運行以后得到的數據很可能因為參數配置等因素，仿真效果不滿意，可以調整拓撲或者修改參數，再次運行仿真，直到得到滿意的結果。

3 仿真模型的建立與分析

本文利用OPNET對DDoS攻擊中的ICMP Flood攻擊進行仿真。

圖1 仿真步驟

3.1 創建網絡仿真模型

按照OPNET三層建模機制建立網絡仿真模型。建立中心節點（hub），一個具有四對收發信機的hub節點模型，建立周邊節點，包括發起攻擊的主機（node）和受到攻擊的服務器（node），仿真選擇有四臺主機通過一個hub向一臺服務器連續發送ICMP包，如圖2所示。檢查連通情況，確認都連通之后，準備配置仿真參數。

圖2 ICMP攻擊網絡模型

為了對仿真結果的統計量進行收集和分析，并對不同網絡環境中的仿真結果進行比較，將仿真ICMP Flood攻擊的網絡填環境配置成兩個仿真場景。

在第一個仿真場景屬性配置中，將參數Duration改為1 000s，seed改為21，value值改為4。

在第二個仿真場景屬性配置中，復制一個場景，將第二場景的value值改為40。ICMP攻擊當中，發信機發送包的速度足夠大，一些數據包將阻塞在發信機隊列當中，而使得端到端延時受到影響，而我們修改value的值就是為了模擬這種情況。

3.2 仿真結果分析

在node0和hub之間發包進行分布式ICMP攻擊的時候。從仿真結果中可以看出，如圖3所示，遭攻擊前網絡利用率變化不明顯，而遭受攻擊后網絡效率下降明顯。

圖3 遭受攻擊前、后網絡利用率

圖4 ETE Delay線性圖

圖4為 ETE Delay線性圖，說明遭受攻擊后包到達處理器時間增大，性能下降。場景1收集數據要大于場景2，ETE delay代表端到端的時延，反映的是包從創建到到達相應處理器模塊的延時。

圖5 ETE Delay離散圖

圖5為ETE Delay離散圖，說明遭受攻擊前、后包到處理器的時延，可以更清楚的展示單獨數據包所經歷的延時。

圖6 遭受攻擊前后上下行吞吐量對比

在圖6中，前兩條曲線反映場景1和2遭受攻擊時上行數據變化。后兩條曲線反映場景1和2遭受攻擊時下行數據變化。不難看到，在不足五分鐘的時間里，遭到攻擊的部分系統性能直線下降。在五分鐘以后達到穩定，這是由于攻擊沒有持續增強。

分布式拒絕攻擊一般而言對兩個指標造成影響即為攻擊奏效，第一是服務器性能下降、二是網絡性能下降。由于現在的寬帶技術日益普及，網絡設備冗余做的也比較好，往往遭到攻擊的時候網絡性能下降要晚于服務器性能下降，

ICMP攻擊是一種最原始最簡單的拒絕服務攻擊，從現在的硬件水平看，這種攻擊需要達到相當的規模才能對服務器造成影響。在本次仿真的過程中沒有使用過大規模的網絡模型，但通過使用模擬大規模攻擊時，網絡中的數據包狀態能夠達到預期的仿真效果。

4 結論

對網絡攻擊的仿真，尤其是對大規模的網絡攻防場景進行實驗研究時，可以降低實驗設備的成本；另一方面可以加快實驗進程，提高效率，有利于對一些耗時的網絡攻防場景進行反復研究。可以為網絡作戰樣式和網絡戰戰法的運用提供對抗模擬、效果演示和攻防訓練環境，是培養掌握網絡攻擊和防護技能人才的訓練手段。

[1]金偉新，肖田元.基于復雜系統理論的信息化戰爭體系對抗建模與仿真.大會報告.國防大學信息作戰與指揮訓練教研部.

[2]盧昱，等.協同式網絡對抗[M].北京：國防工業出版社，2003.

[3]傅鸝，李舸，艾鵬.基于OPNET 的局域網DDOS攻擊仿真.重慶工學院學報：自然科學版，2007，21(10).

[4]郭雷，許曉鳴.復雜網絡[M].上海科技教育出版社，2006，11.

Simulation of ICMP Attacks Based on OPNET

Department of Information Engineering of the Academy of Armored Force Engineering，Beijing 100072

This paper describes the OPNET modeling methods and procedures, ICMP Flood simulation using OPNET. Measured before and after the change in attack,and then working curve represented all of them.Offensive and defensive scenarios for large-scale experimental study of the network to provide,Method for real DDOS attacks against the network to provide some basis.

network confrontation；OPENT ；modeling

TP391.9

A

1674-6708（2011）53-0186-02