利用OPENT實(shí)現(xiàn)ICMP攻擊仿真

蔡紅柳，胡 楊，田 磊

裝甲兵工程學(xué)院信息工程系，北京 100072

利用OPENT實(shí)現(xiàn)ICMP攻擊仿真

蔡紅柳，胡 楊，田 磊

裝甲兵工程學(xué)院信息工程系，北京 100072

本文主要介紹OPNET的層次建模方法和步驟，利用OPNET對(duì)DDoS攻擊中ICMP Flood攻擊進(jìn)行仿真。同時(shí)對(duì)攻擊前后被攻擊服務(wù)器的相關(guān)工作曲線的數(shù)據(jù)進(jìn)行了測(cè)量,為大規(guī)模的網(wǎng)絡(luò)攻防場(chǎng)景進(jìn)行實(shí)驗(yàn)研究時(shí)提供方法，為現(xiàn)實(shí)中防范網(wǎng)絡(luò)DDOS 攻擊提供一定的依據(jù)。

網(wǎng)絡(luò)對(duì)抗 ；OPNET；建模

1 ICMP攻擊概述

ICMP Flood攻擊是指攻擊者利用 ICMP ping 產(chǎn)生的大量回應(yīng)請(qǐng)求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流，是一種拒絕服務(wù)攻擊（Denial of Service，DoS）。有時(shí)攻擊者會(huì)直接或間接控制大量主機(jī)，從多個(gè)攻擊源同時(shí)對(duì)目標(biāo)主機(jī)發(fā)動(dòng)ICMP ping攻擊，組成的一個(gè)分布式的拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS），最終使網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，消耗網(wǎng)絡(luò)帶寬、使得被攻擊主機(jī)性能下降甚至癱瘓，從而造成其他合法用戶無(wú)法正常使用服務(wù)。

對(duì)一般的點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)攻擊仿真時(shí)，實(shí)物仿真是一種簡(jiǎn)便易行的方式，但在研究DDoS這類多對(duì)一攻擊時(shí)，面對(duì)成百甚至上千臺(tái)攻擊節(jié)點(diǎn)，實(shí)物仿真就受到了局限。而采用OPNET進(jìn)行軟件仿真可以完全避開實(shí)物仿真遇到的困難，最大限度地重現(xiàn)現(xiàn)實(shí)網(wǎng)絡(luò)的各種情況[1]。

2 OPNET 建模的方法

OPNET是目前最常用的網(wǎng)絡(luò)仿真軟件之一。它采用面向?qū)ο蟮慕７椒▉?lái)反映實(shí)際的網(wǎng)絡(luò)和網(wǎng)絡(luò)組件結(jié)構(gòu)，實(shí)際的系統(tǒng)可以直觀地映射到模型中。

2.1 OPNET 建模機(jī)制

利用OPNET進(jìn)行網(wǎng)絡(luò)建模機(jī)制可以分為以下3個(gè)層次。

1）進(jìn)程層次

在進(jìn)程層次中模擬單個(gè)對(duì)象的行為，刻畫節(jié)點(diǎn)模型里的處理器以及隊(duì)列模型的行為，主要是各種狀態(tài)之間的轉(zhuǎn)換過(guò)程。

2）節(jié)點(diǎn)層次

節(jié)點(diǎn)層次是實(shí)施各種算法的載體，也是產(chǎn)生事件和處理事件的主體，它可以模擬通信協(xié)議、算法、排隊(duì)策略、共享資源、操作系統(tǒng)、特殊的業(yè)務(wù)源等大多數(shù)軟件或者硬件系統(tǒng)。建立由相應(yīng)協(xié)議模型構(gòu)成的節(jié)點(diǎn)模型，將進(jìn)程層次中的各個(gè)進(jìn)程互連成設(shè)備，并反映設(shè)備的特性。

3）網(wǎng)絡(luò)層次

網(wǎng)絡(luò)層次負(fù)責(zé)將節(jié)點(diǎn)層次中建立起來(lái)的設(shè)備互連成網(wǎng)絡(luò)，確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、協(xié)議、應(yīng)用、流量以及其他一些系統(tǒng)設(shè)置，位于3個(gè)層次的最上層。

通過(guò)OPNET的3層建模機(jī)制建立起來(lái)的3層模型和實(shí)際的網(wǎng)絡(luò)、設(shè)備、協(xié)議層次完全對(duì)應(yīng)，全面反映了網(wǎng)絡(luò)的相關(guān)特性。

2.2 OPNET 仿真的步驟

OPNET 仿真可以分為以下4步[3]，圖1所示。

1）配制網(wǎng)絡(luò)拓?fù)?/p>

通過(guò)OPNET提供的相關(guān)工具，建立場(chǎng)景，選擇所需要的設(shè)備和連接方式，建立網(wǎng)絡(luò)拓?fù)洌z查整個(gè)網(wǎng)絡(luò)是否連通。

2）配制運(yùn)行參數(shù)

選擇在該網(wǎng)絡(luò)上運(yùn)行的服務(wù)，并配制這些服務(wù)的運(yùn)行參數(shù)。這樣就完成了系統(tǒng)流量的建模。

3）選擇要查看的結(jié)果

選擇所需要的結(jié)果報(bào)告，可以是某個(gè)設(shè)備上運(yùn)行的某一服務(wù)的參數(shù)之一，也可以是某些全局性的參數(shù)。

4）運(yùn)行仿真

通過(guò)前3步已初步搭建出仿真環(huán)境。通過(guò)第4步運(yùn)行仿真可以得到仿真數(shù)據(jù)。運(yùn)行以后得到的數(shù)據(jù)很可能因?yàn)閰?shù)配置等因素，仿真效果不滿意，可以調(diào)整拓?fù)浠蛘咝薷膮?shù)，再次運(yùn)行仿真，直到得到滿意的結(jié)果。

3 仿真模型的建立與分析

本文利用OPNET對(duì)DDoS攻擊中的ICMP Flood攻擊進(jìn)行仿真。

圖1 仿真步驟

3.1 創(chuàng)建網(wǎng)絡(luò)仿真模型

按照OPNET三層建模機(jī)制建立網(wǎng)絡(luò)仿真模型。建立中心節(jié)點(diǎn)（hub），一個(gè)具有四對(duì)收發(fā)信機(jī)的hub節(jié)點(diǎn)模型，建立周邊節(jié)點(diǎn)，包括發(fā)起攻擊的主機(jī)（node）和受到攻擊的服務(wù)器（node），仿真選擇有四臺(tái)主機(jī)通過(guò)一個(gè)hub向一臺(tái)服務(wù)器連續(xù)發(fā)送ICMP包，如圖2所示。檢查連通情況，確認(rèn)都連通之后，準(zhǔn)備配置仿真參數(shù)。

圖2 ICMP攻擊網(wǎng)絡(luò)模型

為了對(duì)仿真結(jié)果的統(tǒng)計(jì)量進(jìn)行收集和分析，并對(duì)不同網(wǎng)絡(luò)環(huán)境中的仿真結(jié)果進(jìn)行比較，將仿真ICMP Flood攻擊的網(wǎng)絡(luò)填環(huán)境配置成兩個(gè)仿真場(chǎng)景。

在第一個(gè)仿真場(chǎng)景屬性配置中，將參數(shù)Duration改為1 000s，seed改為21，value值改為4。

在第二個(gè)仿真場(chǎng)景屬性配置中，復(fù)制一個(gè)場(chǎng)景，將第二場(chǎng)景的value值改為40。ICMP攻擊當(dāng)中，發(fā)信機(jī)發(fā)送包的速度足夠大，一些數(shù)據(jù)包將阻塞在發(fā)信機(jī)隊(duì)列當(dāng)中，而使得端到端延時(shí)受到影響，而我們修改value的值就是為了模擬這種情況。

3.2 仿真結(jié)果分析

在node0和hub之間發(fā)包進(jìn)行分布式ICMP攻擊的時(shí)候。從仿真結(jié)果中可以看出，如圖3所示，遭攻擊前網(wǎng)絡(luò)利用率變化不明顯，而遭受攻擊后網(wǎng)絡(luò)效率下降明顯。

圖3 遭受攻擊前、后網(wǎng)絡(luò)利用率

圖4 ETE Delay線性圖

圖4為 ETE Delay線性圖，說(shuō)明遭受攻擊后包到達(dá)處理器時(shí)間增大，性能下降。場(chǎng)景1收集數(shù)據(jù)要大于場(chǎng)景2，ETE delay代表端到端的時(shí)延，反映的是包從創(chuàng)建到到達(dá)相應(yīng)處理器模塊的延時(shí)。

圖5 ETE Delay離散圖

圖5為ETE Delay離散圖，說(shuō)明遭受攻擊前、后包到處理器的時(shí)延，可以更清楚的展示單獨(dú)數(shù)據(jù)包所經(jīng)歷的延時(shí)。

圖6 遭受攻擊前后上下行吞吐量對(duì)比

在圖6中，前兩條曲線反映場(chǎng)景1和2遭受攻擊時(shí)上行數(shù)據(jù)變化。后兩條曲線反映場(chǎng)景1和2遭受攻擊時(shí)下行數(shù)據(jù)變化。不難看到，在不足五分鐘的時(shí)間里，遭到攻擊的部分系統(tǒng)性能直線下降。在五分鐘以后達(dá)到穩(wěn)定，這是由于攻擊沒(méi)有持續(xù)增強(qiáng)。

分布式拒絕攻擊一般而言對(duì)兩個(gè)指標(biāo)造成影響即為攻擊奏效，第一是服務(wù)器性能下降、二是網(wǎng)絡(luò)性能下降。由于現(xiàn)在的寬帶技術(shù)日益普及，網(wǎng)絡(luò)設(shè)備冗余做的也比較好，往往遭到攻擊的時(shí)候網(wǎng)絡(luò)性能下降要晚于服務(wù)器性能下降，

ICMP攻擊是一種最原始最簡(jiǎn)單的拒絕服務(wù)攻擊，從現(xiàn)在的硬件水平看，這種攻擊需要達(dá)到相當(dāng)?shù)囊?guī)模才能對(duì)服務(wù)器造成影響。在本次仿真的過(guò)程中沒(méi)有使用過(guò)大規(guī)模的網(wǎng)絡(luò)模型，但通過(guò)使用模擬大規(guī)模攻擊時(shí)，網(wǎng)絡(luò)中的數(shù)據(jù)包狀態(tài)能夠達(dá)到預(yù)期的仿真效果。

4 結(jié)論

對(duì)網(wǎng)絡(luò)攻擊的仿真，尤其是對(duì)大規(guī)模的網(wǎng)絡(luò)攻防場(chǎng)景進(jìn)行實(shí)驗(yàn)研究時(shí)，可以降低實(shí)驗(yàn)設(shè)備的成本；另一方面可以加快實(shí)驗(yàn)進(jìn)程，提高效率，有利于對(duì)一些耗時(shí)的網(wǎng)絡(luò)攻防場(chǎng)景進(jìn)行反復(fù)研究。可以為網(wǎng)絡(luò)作戰(zhàn)樣式和網(wǎng)絡(luò)戰(zhàn)戰(zhàn)法的運(yùn)用提供對(duì)抗模擬、效果演示和攻防訓(xùn)練環(huán)境，是培養(yǎng)掌握網(wǎng)絡(luò)攻擊和防護(hù)技能人才的訓(xùn)練手段。

[1]金偉新，肖田元.基于復(fù)雜系統(tǒng)理論的信息化戰(zhàn)爭(zhēng)體系對(duì)抗建模與仿真.大會(huì)報(bào)告.國(guó)防大學(xué)信息作戰(zhàn)與指揮訓(xùn)練教研部.

[2]盧昱，等.協(xié)同式網(wǎng)絡(luò)對(duì)抗[M].北京：國(guó)防工業(yè)出版社，2003.

[3]傅鸝，李舸，艾鵬.基于OPNET 的局域網(wǎng)DDOS攻擊仿真.重慶工學(xué)院學(xué)報(bào)：自然科學(xué)版，2007，21(10).

[4]郭雷，許曉鳴.復(fù)雜網(wǎng)絡(luò)[M].上海科技教育出版社，2006，11.

Simulation of ICMP Attacks Based on OPNET

Department of Information Engineering of the Academy of Armored Force Engineering，Beijing 100072

This paper describes the OPNET modeling methods and procedures, ICMP Flood simulation using OPNET. Measured before and after the change in attack,and then working curve represented all of them.Offensive and defensive scenarios for large-scale experimental study of the network to provide,Method for real DDOS attacks against the network to provide some basis.

network confrontation；OPENT ；modeling

TP391.9

A

1674-6708（2011）53-0186-02