王希斌，廉龍穎，高　輝，郎春玲

(黑龍江科技大學(xué)　計算機(jī)與信息工程學(xué)院，哈爾濱　150022)

?

網(wǎng)絡(luò)安全實驗中DDoS攻擊實驗的實現(xiàn)

王希斌，廉龍穎，高輝，郎春玲

(黑龍江科技大學(xué)計算機(jī)與信息工程學(xué)院，哈爾濱150022)

研究DDoS攻擊技術(shù)，找出網(wǎng)絡(luò)運(yùn)行中隱藏的風(fēng)險，是增強(qiáng)網(wǎng)絡(luò)安全的一種重要手段。為了充分了解DDoS攻擊原理和技術(shù)，提高學(xué)生的網(wǎng)絡(luò)攻防實踐能力，在基于OpenStack的網(wǎng)絡(luò)安全實驗平臺中使用攻擊軟件Trinoo和TFN2K，設(shè)計并實現(xiàn)了基于UDP方式的DDoS攻擊模擬實驗。

網(wǎng)絡(luò)安全實驗；DDos攻擊；實驗平臺

網(wǎng)絡(luò)安全的威脅主要來自計算機(jī)病毒、黑客入侵和拒絕服務(wù)攻擊三個方面[1]，尤其是在拒絕服務(wù)攻擊基礎(chǔ)上發(fā)展起來的分布式拒絕服務(wù)(distributed denial of service，DDoS)攻擊已成為網(wǎng)絡(luò)安全的第一大威脅。DDoS攻擊不僅是一種攻擊手段，也是網(wǎng)絡(luò)安全公司用來模擬用戶訪問，測試網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)最大帶寬和服務(wù)器最大負(fù)載能力的方法[2]。因此，有必要在高校的網(wǎng)絡(luò)安全課程教學(xué)中建立一套完整的攻防實驗環(huán)境，研究DDoS攻擊原理和手段，為檢測和防御DDoS攻擊奠定基礎(chǔ)。

黑龍江科技大學(xué)計算機(jī)學(xué)院的網(wǎng)絡(luò)安全技術(shù)實驗課程中開設(shè)了DDoS攻擊實驗，目的是讓學(xué)生了解DDoS 攻擊的原理和技術(shù)。本文主要闡述了基于OpenStack的網(wǎng)絡(luò)安全實驗平臺的DDoS攻擊實驗的實現(xiàn)。

1　實驗?zāi)康暮蛯嶒瀮?nèi)容

DDoS攻擊實驗?zāi)康?1)了解DDoS攻擊過程；2)掌握DDoS攻擊工具使用方法，實現(xiàn)DDoS攻擊；3)通過分析實驗數(shù)據(jù)，理解DDoS攻擊原理。

DDoS攻擊實驗內(nèi)容：1)在實驗平臺中搭建DDoS攻擊實驗虛擬網(wǎng)絡(luò)；2)使用Trinoo和TFN2K軟件對攻擊目標(biāo)發(fā)動UDP Flood方式的DDoS攻擊；3)使用網(wǎng)絡(luò)數(shù)據(jù)分析軟件NetworkActive PIAFCTM 捕捉數(shù)據(jù)包，分析實驗數(shù)據(jù)。

2　實驗原理

2.1DDoS攻擊概念

DDoS攻擊是指采用分布式的大規(guī)模的拒絕服務(wù)攻擊。攻擊者通過組建DDoS攻擊網(wǎng)絡(luò)，并向攻擊網(wǎng)絡(luò)中的攻擊服務(wù)器和攻擊器發(fā)出攻擊指令，用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包來消耗目標(biāo)系統(tǒng)的資源，最終導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓[3-5]。

2.2DDoS攻擊體系

一個比較完善的DDoS攻擊體系包括攻擊者、攻擊服務(wù)器、攻擊器和攻擊目標(biāo)4個部分，如圖1所示，是一種n∶m的映射關(guān)系。攻擊者指黑客所使用的主機(jī)，它操縱整個攻擊過程，向攻擊服務(wù)器發(fā)送攻擊命令；攻擊服務(wù)器和攻擊器都是攻擊者侵入并控制的主機(jī)，其中安裝特定的DDoS攻擊程序[6]，攻擊服務(wù)器發(fā)送攻擊指令到攻擊器上，而攻擊器則接收和運(yùn)行攻擊服務(wù)器發(fā)來的命令[7]，攻擊目標(biāo)指被攻擊的服務(wù)器或主機(jī)。

圖1　DDoS攻擊體系

2.3基于UDP 的DDoS攻擊方式

按照TCP/IP協(xié)議的層次可將DDoS攻擊分為基于ARP的攻擊、基于ICMP的攻擊、基于IP的攻擊、基于UDP的攻擊、基于TCP的攻擊和基于應(yīng)用層的攻擊[8]。本實驗選擇基于UDP的DDoS方式進(jìn)行攻擊實驗。

基于UDP的DDoS攻擊中，攻擊者通過發(fā)送大量偽造源IP地址的UDP數(shù)據(jù)包進(jìn)行拒絕服務(wù)攻擊。目前，互聯(lián)網(wǎng)上提供www和mail等服務(wù)的設(shè)備一般默認(rèn)開放一些UDP服務(wù)。由于UDP協(xié)議是一種面向無連接的服務(wù)，因此針對每一個開放的UDP服務(wù)端口，都可以進(jìn)行相關(guān)的攻擊，最終使網(wǎng)絡(luò)可用帶寬被耗盡，無法向用戶提供正常的網(wǎng)絡(luò)服務(wù)[9]。

3　實驗環(huán)境

3.1基于OpenStack的網(wǎng)絡(luò)安全實驗平臺

黑龍江科技大學(xué)搭建了基于OpenStack的網(wǎng)絡(luò)安全實驗平臺，如圖2所示。該平臺采用抽象分層模式，實驗平臺抽象為3層結(jié)構(gòu)，分別是面向底層虛擬化的硬件資源管理層、面向OpenStack的網(wǎng)絡(luò)虛擬化層以及面向用戶的實驗應(yīng)用層。在OpenStack中使用SDN網(wǎng)絡(luò)虛擬化技術(shù)，通過Neutron組件創(chuàng)建虛擬網(wǎng)絡(luò)和路由器、負(fù)載均衡等各種網(wǎng)絡(luò)節(jié)點，最終搭建出滿足網(wǎng)絡(luò)安全實驗需求、真實、隔離、可擴(kuò)展、可編程的實驗環(huán)境。

圖2　實驗平臺3層結(jié)構(gòu)

3.2實驗拓?fù)?/p>

在基于OpenStack的網(wǎng)絡(luò)安全實驗平臺中，根據(jù)DDoS攻擊體系設(shè)計和創(chuàng)建虛擬網(wǎng)絡(luò)，拓?fù)浣Y(jié)構(gòu)如圖3所示，其中PC0作為攻擊者，PC1作為攻擊服務(wù)器，PC2、PC3、PC4和server1作為攻擊器，server4(Web Server)作為攻擊目標(biāo)。

圖3　實驗環(huán)境拓?fù)浣Y(jié)構(gòu)圖

3.3實驗設(shè)備及工具

根據(jù)圖3的實驗環(huán)境拓?fù)鋱D，在OpenStack平臺中進(jìn)行網(wǎng)絡(luò)配置，主機(jī)和服務(wù)器的系統(tǒng)及服務(wù)軟件安裝配置，具體配置信息見表1。

表1　主機(jī)與服務(wù)器配置信息

4　DDoS攻擊實現(xiàn)

在實驗虛擬網(wǎng)絡(luò)中，攻擊者PC0通過Telnet控制攻擊服務(wù)器PC1，PC1中運(yùn)行Trinoo和TFN2K攻擊工具，控制攻擊器PC2、PC3、PC4和server1，對攻擊目標(biāo)server4發(fā)起UDP Flood攻擊，同時使用網(wǎng)絡(luò)數(shù)據(jù)分析軟件NetworkActive PIAFCTM 捕捉數(shù)據(jù)包，分析DDoS攻擊實驗數(shù)據(jù)。

4.1DDoS工具分析

現(xiàn)在常用的DDoS攻擊工具有Trinoo、TFN、TFN2K、Mstream和Stacheldraht等[10-13]，本文分別采用Trinoo和TFN2K作為攻擊工具實現(xiàn)DDoS攻擊。Trinoo和TFN2K都由攻擊服務(wù)器程序和攻擊器程序兩部分組成。在實驗網(wǎng)絡(luò)中，PC1作為攻擊服務(wù)器，PC2、PC3、PC4和server1作為攻擊器。

Trinoo是最早發(fā)布的DDoS工具，由攻擊服務(wù)器程序master和攻擊器程序ns組成。它的工作方式是攻擊者通過27665/TCP端口建立TCP連接來實現(xiàn)遠(yuǎn)程控制程序與攻擊服務(wù)器通信，攻擊服務(wù)器向攻擊器的27444/UDP端口傳遞攻擊指令[14]。

TFN2K是TFN的2000版本，由攻擊服務(wù)器程序tfn和攻擊器程序td組成。TFN2K的攻擊服務(wù)器程序向攻擊器程序發(fā)送攻擊目標(biāo)的列表，攻擊器程序根據(jù)攻擊列表對攻擊目標(biāo)進(jìn)行拒絕服務(wù)攻擊[15]。一個攻擊服務(wù)器上的客戶進(jìn)程可以控制多個攻擊器，這些攻擊器在攻擊過程中相互協(xié)同，從而保證攻擊的連續(xù)性。

4.2實現(xiàn)

1)使用Trinoo工具實現(xiàn)DDoS攻擊。

Trinoo中的master程序植入攻擊服務(wù)器PC1中，ns程序分別植入攻擊器PC2、PC3、PC4和server1中。

在ns.c中寫入攻擊服務(wù)器PC1的IP，并進(jìn)行編譯和安裝:

char*master[] = {“192.168.2.1”，NULL};

在PC1中啟動master，默認(rèn)密碼為gOrave:

masterhost# ./master

成功啟動后將顯示連接成功提示:

trinoo v1.07d2+f4+c [Mar 202014:14:19:42]

在PC2、PC3、PC4和server1中分別執(zhí)行ns，啟動攻擊器程序。

檢測各攻擊器程序是否成功啟動:

trinoo> mping

mping:Sending a PING to every Bcasts

trinoo>PONG 1 Received from 192.168.2.2

PONG 1 Received from 192.168.2.3

PONG 1 Received from 192.168.2.4

PONG 1 Received from 192.168.2.5

收到成功響應(yīng)提示后，設(shè)定攻擊時間為60 s:

trinoo>mtimer 60

mtimer:Setting timer on bcast to 60

發(fā)起DDoS攻擊，攻擊目標(biāo)server4(IP:192.168.3.1):

trinoo>dos 192.168.3.1

Dos:Packeting 192.168.3.1…

2)使用TFN2K工具實現(xiàn)DDoS攻擊。

將TFN2K工具包拷貝到PC1中，輸入make命令進(jìn)行編譯安裝，編譯時輸入自定義的密碼ddos。編譯安裝后，產(chǎn)生兩個可執(zhí)行文件:tfn和td。

在PC2、PC3、PC4和server1中分別運(yùn)行td命令來啟動TFN2K攻擊器程序。

在PC1的hosts.txt文件中添加PC2、PC3、PC4和server1的IP并保存，IP地址分別為192.168.2.2、192.168.2.3、192.168.2.4和192. 168.2.5。

在PC1中執(zhí)行如下命令，控制hosts文件中的多臺攻擊器向攻擊目標(biāo)server4(IP:192.168.3.1)發(fā)起UDP Flood攻擊:

tfn-f hosts.txt -c4 -i 192.168.3.1

protocol:random

sourceIP:random

clientinput:singlehost

command:commenceudpflood

passwordverification:ddos

4.3實驗數(shù)據(jù)分析

1)數(shù)據(jù)流量分析。

經(jīng)過測試，使用Trinoo工具進(jìn)行DDoS攻擊時，1臺攻擊器發(fā)送數(shù)據(jù)包個數(shù)為13 000 packets/s左右；而使用TFN2K工具時，1臺攻擊器發(fā)送數(shù)據(jù)包為2 800 packets/s左右。由此可見，在實驗中，1臺Trinoo攻擊器產(chǎn)生的UDP包占有的帶寬大約是1臺TFN2K攻擊器產(chǎn)生的UDP包占有帶寬的5倍。

2)DDoS工具特性分析。

使用Trinoo工具產(chǎn)生的攻擊數(shù)據(jù)包:

UDP47192.168.2.2192.168.3.17691 404

使用TFN2K工具產(chǎn)生的攻擊數(shù)據(jù)包:

UDP 2129.108.94.10 192.168.3.165 534 48

查看兩個工具產(chǎn)生的數(shù)據(jù)包，Trinoo的UDP包的源地址192.168.2.2是攻擊器PC2的IP地址，而TFN2K的源地址是偽造的。通過分析可知，使用TFN2K作為DDoS攻擊工具隱蔽性更好，更不易被檢測到。

根據(jù)DDoS攻擊實驗的結(jié)果，可在后期實驗中提出實際網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的改進(jìn)方案，并在實驗平臺中驗證其可行性和性能。

5　結(jié)束語

為解決網(wǎng)絡(luò)安全實驗受到實驗條件限制的問題，黑龍江科技大學(xué)開發(fā)了基于OpenStack的網(wǎng)絡(luò)安全實驗平臺。在實驗平臺中創(chuàng)建滿足實驗需求的虛擬網(wǎng)絡(luò)，并分別采用Trinoo和TFN2K工具實現(xiàn)了DDoS攻擊實驗。通過真實的攻擊實踐操作，使學(xué)生掌握了DDoS攻擊原理，提高了攻防實踐能力，教學(xué)效果良好。在此實驗的基礎(chǔ)上，可以進(jìn)一步研究DDoS攻擊檢測方法，培養(yǎng)學(xué)生分析、解決網(wǎng)絡(luò)安全問題的能力。

[1]李長隆.DDoS攻擊的原理及防范DDoS攻擊的策略[J].電腦與電信，2007(8):39-40.

[2]陳波.分布式拒絕服務(wù)攻擊研究[J].計算機(jī)工程，2002，28(6):63-65，113.

[3]王穎熙.基于UDP的DDoS攻擊實驗[J].中山大學(xué)研究生學(xué)刊(自然科學(xué)、醫(yī)學(xué)版)，2004，25(4):100-112.

[4] GASTI P，TSUDIK G，UZUN E，et al.DoS and DDoS in named data networking[J].International Conference on Computer Communications and Networks，2013，44(3)：1-7.

[5]張衛(wèi)東，李暉，尹鈺.網(wǎng)絡(luò)安全實驗教學(xué)方法的研究[J].實驗室研究與探索，2007，26(12):298-301.

[6]黃妍妍.網(wǎng)絡(luò)服務(wù)管理中的DDoS攻擊預(yù)防策略[J].河北科技圖苑，2003，16(5):31-33.

[7]ZARGAR S T，JOSHI J，TIPPER D.A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks[J].Communications Surveys & Tutorials，2013，15(4)：2046-2069.

[8] PENG T，LECKIE C，Ramamohanarao K.Survey of network-based defense mechanisms countering the DoS and DDoS problems[J].ACM Computing Surveys，2007，39(1)：3.

[9] 顧群業(yè)，李廣福.拒絕服務(wù)攻擊方式分析及防御策略部署[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005(7):43-45.

[10]林梅琴，李志蜀，袁小鈴，等.分布式拒絕服務(wù)攻擊及防范研究[J].計算機(jī)應(yīng)用研究，2006，23(8):136-138，151.

[11]JEON D.Understanding DDoS attack，tools and free anti-tools with recommendation[EB/OL].[2014-08-25].http://www.sans.org/infoseFAQ/threats/Understamding ddos.htm.

[12] ISOZAKI H，ATA S，OKA I，et al.Performance improvement on probabilistic packet marking by using history caching[C]//APSITT′OS Information and Telecommunication Technologies，2005.6th Asia-Pacific Symposium,Piscafauany,N.J:IEEE Press，2005：381-386.

[13] DOULIGERIS C，MITROKOTSA A.DDoS attacks and defense mechanisms：classification and state of the art[J].Computer Networks，2004，44(5)：643-666.

[14] XIANG Y，ZHOU W L.Mark-aided distributed filtering by using neural network for ddos defense[C]//GLOBECOM'05：Global Telecommunications Conference.[S.l.]IEEE Press,2005(3)：1701-1705.

[15] STORM P.Tribe flood network (TFN2K) DDoS tool(2000)[EB/OL].[2014-09-10].http://packetstormsecurity.org/distributed/TFN2k_Analysis-1.3.txt.

Implementation of DDoS Attack in Network Security Experiment

WANG Xibin，LIAN Longying，Gao Hui，Lang Chunling

(School of Computer and Information Engineering，Heilongjiang University of Science and Technology，Harbin 150022，China)

It is an important method to enhance network security through researching DDoS attack techniques to identify hidden risks in network service.In order to understand the principles and techniques of DDoS attack，and improve their practical ability of offense and defense，.DDoS attack simulation experiment based on UDP is designed and implemented using the famous attack software Trinoo and TFN2K based on the OpenStack network security experimental platform.

network security experiment; DDos attack; experimental platform

2014-10-30

黑龍江省教育科學(xué)“十二五”規(guī)劃2013年度青年基金專項課題(GBD1213039)。

王希斌(1981-)，男，碩士，講師，主要從事程序設(shè)計、網(wǎng)絡(luò)安全方面的研究。

TP393

A

10.3969/j.issn.1672-4550.2016.01.020