DDos　是一種非常常見的網(wǎng)絡攻擊手段，為了能夠更好地研究和分析DDos　攻擊的過程，動態(tài)地掌握DDos　攻擊過程不同階段對網(wǎng)絡數(shù)據(jù)帶寬、網(wǎng)絡性能的影響，往往需要建立DDos　攻擊實驗平臺。

然而DDos　攻擊實驗對網(wǎng)路帶寬和網(wǎng)絡性能都有極大的危害。在普通的網(wǎng)絡環(huán)境中開展DDos　攻擊實驗會對正常的網(wǎng)絡通信造成極大的危害。而且在現(xiàn)實的互聯(lián)網(wǎng)環(huán)境中，各種路由器、防火墻等設備都對DDos　攻擊進行了相應的防范，因此在互聯(lián)網(wǎng)環(huán)境中如果缺乏足夠的前期準備工作，也很難開展真正有效的DDos　攻擊。而且由于互聯(lián)網(wǎng)的開放性，使得在互聯(lián)網(wǎng)上開展DDos　攻擊實驗過程具有攻擊范圍和攻擊過程以及攻擊后果難以有效控制等問題，因此亟需開發(fā)和設計一種針對DDos　攻擊的實驗平臺。

由于DDos　攻擊過程是一種非常常見的攻擊過程，因此針對DDos　攻擊的相關研究也比較多。通過對現(xiàn)有DDos攻擊實驗平臺的研究成果分析表明，當前對DDos　攻擊實驗平臺的研究主要朝兩個方向發(fā)展，一種是基于本地網(wǎng)絡的DDos　攻擊實驗環(huán)境，另一種是基于虛擬機的DDos　攻擊實驗環(huán)境。基于本地網(wǎng)絡的DDos　攻擊實驗環(huán)境，是模擬互聯(lián)網(wǎng)的各種網(wǎng)絡設備，包括路由器、服務器、PC　終端等設備，采用實際的網(wǎng)絡硬件設備搭建一個與互聯(lián)網(wǎng)功能類似的小型網(wǎng)絡，在該網(wǎng)絡上開展DDos　攻擊實驗。這種實驗環(huán)境以真是的計算機和網(wǎng)絡設備來模擬互聯(lián)網(wǎng)通信過程具有很強的真實性。然而由于互聯(lián)網(wǎng)規(guī)模非常的龐大，因此在本地建立的模擬實驗網(wǎng)絡很難真正模擬出互聯(lián)網(wǎng)大數(shù)量、大規(guī)模的特性，同時這種模擬的方式也需要耗費大量的硬件基礎設施，實現(xiàn)代價較高。另一種是基于虛擬環(huán)境的攻擊實驗平臺實現(xiàn)方法。這種實現(xiàn)方法通過在高性能的計算機或服務器上虛擬出互聯(lián)網(wǎng)中的路由器、PC終端以及互連設備等等。這種采用虛擬方式建立的攻擊實驗網(wǎng)絡實現(xiàn)成本低，能夠在短時間內(nèi)構造一個規(guī)模相對較大的互聯(lián)網(wǎng)絡，然而完全基于虛擬環(huán)境的實驗網(wǎng)絡對實際的網(wǎng)絡帶寬、網(wǎng)絡通信性能等模擬不夠完善，因此在這種純虛擬環(huán)境下開展的攻擊實驗平臺得到的攻擊效果和攻擊過程與真實的環(huán)境仍然有較大的差異。文中針對當前DDos　攻擊實驗平臺的研究發(fā)展現(xiàn)狀和趨勢，提出了基于虛擬環(huán)境和實際網(wǎng)絡硬件設備相結合的DDos　攻擊實驗平臺，該實驗平臺采用實際的網(wǎng)絡互連設備建立一個真實的網(wǎng)絡環(huán)境，同時在網(wǎng)絡環(huán)境中的各個終端上采用虛擬化技術構建多個網(wǎng)絡終端，擴大網(wǎng)絡互連的規(guī)模，以此解決目前DDos　攻擊實驗平臺中網(wǎng)絡環(huán)境真實性與網(wǎng)絡環(huán)境搭建代價之間的矛盾。

1　實驗平臺的組成結構

文中設計的DDos　攻擊實驗平臺在物理結構上仍然保持傳統(tǒng)的互聯(lián)網(wǎng)結構。如圖1　所示，給出了DDos　攻擊實驗平臺的組成結構。在該拓撲結構中，處于中心位置的是DDos　攻擊實驗平臺的服務器，該服務器負責模擬互聯(lián)網(wǎng)上常見的網(wǎng)絡應用服務。

服務器通過路由器、交換機等網(wǎng)絡互連設備與各個實驗終端相連。所有實驗終端和服務器組成一個本地網(wǎng)絡，可以完成正常的網(wǎng)絡數(shù)據(jù)通信功能。在文中設計的DDos　攻擊實驗平臺硬件結構的基礎上，對所有的網(wǎng)絡實驗終端進行了虛擬化的設計，即在一個客戶機的終端上可以虛擬出多個網(wǎng)絡終端以及虛擬的網(wǎng)絡互連設備。所有的網(wǎng)絡互連終端既可以通過虛擬的網(wǎng)絡互連設備形成一個本地的局域網(wǎng)，也可以通過客戶機的硬件網(wǎng)絡接口與遠程的網(wǎng)絡建立連接。因此在圖1　所示的DDos　攻擊實驗平臺拓撲結構中，有路由器、服務器以及其他網(wǎng)絡通信設備所組成的互聯(lián)網(wǎng)絡，相當于互聯(lián)網(wǎng)中的骨干網(wǎng)絡，承擔著整個虛擬環(huán)境中各個本地網(wǎng)絡的數(shù)據(jù)互聯(lián)互通。在攻擊實驗平臺中的客戶機上面虛擬出來的所有虛擬終端以及由這些虛擬終端所連接的網(wǎng)絡，形成一個個相對獨立的本地網(wǎng)絡，所有本地網(wǎng)絡可以通過攻擊實驗平臺中的骨干網(wǎng)絡進行相互連接，實現(xiàn)數(shù)據(jù)通信。因此，文中設計的DDos　攻擊實驗平臺在拓撲結構上相當于是一個分層次的網(wǎng)絡拓撲結構，既有屬于上層的骨干網(wǎng)絡，也有屬于本地的局域網(wǎng)絡。

用戶利用文中設計的DDos　攻擊實驗平臺開展DDos　攻擊實驗的時候，既可以以單個客戶機為實驗環(huán)境進行本地小型化的DDos　攻擊實驗，同時也可以選取若干個客戶機，利用客戶之間的互聯(lián)網(wǎng)絡形成一個小規(guī)模的網(wǎng)絡，在該環(huán)境中進行DDos　攻擊實驗，也可以以整個DDos　攻擊實驗平臺作為實驗環(huán)境，以上層的骨干網(wǎng)絡作為數(shù)據(jù)通信的承載網(wǎng)，以各個客戶機所組成的本地網(wǎng)絡作為DDos　攻擊的本地區(qū)域，利用整個DDos　攻擊實驗平臺開展DDos攻擊實驗將具有很強的真實網(wǎng)絡模擬特性，能夠模擬出互聯(lián)網(wǎng)中骨干網(wǎng)和本地網(wǎng)不同流量、不同帶寬等服務性能。

由于文中設計的實驗平臺主要應用于DDos　攻擊實驗，而根據(jù)DDos　的攻擊實驗實現(xiàn)的方式和常見的攻擊過程，當用戶在網(wǎng)絡中針對某一目標發(fā)起DDos　攻擊的時候，很有可能會造成從發(fā)起源到攻擊目標之間通信鏈路的擁塞，甚至有可能對整個模擬網(wǎng)絡中的數(shù)據(jù)通信造成擁塞。因此文中的DDos　攻擊實驗平臺在開展實驗過程中同樣會出現(xiàn)不同程度的數(shù)據(jù)擁塞，而作為一個攻擊實驗平臺，除了需要能夠模擬和產(chǎn)生攻擊過程中所需要的所有數(shù)據(jù)，更重要的還需要能夠為用戶提供DDos　攻擊的全過程分析環(huán)境和觀測環(huán)境，一旦DDos　攻擊實驗平臺發(fā)生嚴重的數(shù)據(jù)擁塞，有可能使得用戶無法對實驗網(wǎng)絡中的遠程數(shù)據(jù)線路傳輸性能進行檢測。因為當網(wǎng)絡上出現(xiàn)嚴重擁塞的時候，所有控制數(shù)據(jù)也無法通過網(wǎng)絡環(huán)境傳輸?shù)奖O(jiān)視終端上來。為此文中在設計的DDos　攻擊實驗平臺中專門設計了另外一組通信鏈路，用于網(wǎng)絡性能的檢測，該通信鏈路不參與正常的網(wǎng)絡數(shù)據(jù)通信，而僅僅負責各個節(jié)點的處理性能、網(wǎng)絡擁塞程度等指標進行檢測，并及時將采集的數(shù)據(jù)通過專用的線路反饋給數(shù)據(jù)監(jiān)控終端，實現(xiàn)對DDos　攻擊的全過程監(jiān)控和分析。整個攻擊實驗平臺中的監(jiān)控通信網(wǎng)絡在圖1　中用虛線表現(xiàn)出來，是DDos　攻擊實驗平臺中的一個重要組成部分。

2　DDos　攻擊數(shù)據(jù)的產(chǎn)生

利用文中設計的DDos　攻擊實驗平臺，各個客戶機上的虛擬終端都可以向實驗平臺中心的服務器發(fā)起DDos　攻擊。然而在攻擊過程中，如何快速有效地產(chǎn)生DDos　攻擊數(shù)據(jù)，是本實驗平臺在設計過程需要解決的一個關鍵性技術實驗難題。在傳統(tǒng)的互聯(lián)網(wǎng)環(huán)境下，用戶發(fā)起DDos　攻擊一般是在各個攻擊終端上部署攻擊程序，由攻擊程序實現(xiàn)DDos攻擊數(shù)據(jù)的產(chǎn)生。而且在真實的網(wǎng)絡互連環(huán)境中，為了提高DDos　攻擊數(shù)據(jù)的迷惑性，從各個攻擊終端產(chǎn)生的DDos攻擊數(shù)據(jù)往往不是簡單的隨機數(shù)據(jù)，甚至可以通過模擬一些真實環(huán)境下的網(wǎng)絡數(shù)據(jù)，以避免DDos　攻擊數(shù)據(jù)被目標端的防護軟件所攔截[7]。

結合實際的互聯(lián)網(wǎng)中的DDos　攻擊過程，文中設計的DDos　攻擊實驗平臺在各個虛擬終端上也提供了形式多樣的DDos　攻擊數(shù)據(jù)產(chǎn)生方式，如圖2所示。根據(jù)用戶需要的DDos　攻擊數(shù)據(jù)不一樣，文中在虛擬網(wǎng)路終端上運行了虛擬操作系統(tǒng)，在虛擬操作系統(tǒng)上層提供了VC　編譯環(huán)境、WinPcap　開發(fā)驅動、WinSocket　庫函數(shù)以及用戶自定義庫函數(shù)等功能模塊，通過這些功能模塊可以為客戶開發(fā)和產(chǎn)生靈活多樣的DDos　攻擊數(shù)據(jù)提供支持。如果客戶需要的DDos　攻擊數(shù)據(jù)，當用戶需要的DDos　攻擊數(shù)據(jù)比較規(guī)整時，符合特定的網(wǎng)絡協(xié)議規(guī)范，此時可以采用WinPcap開發(fā)驅動快速地產(chǎn)生DDos攻擊數(shù)據(jù)。