蔡紅柳，胡 楊，田 磊

裝甲兵工程學院信息工程系，北京 100072

利用OPENT實現(xiàn)ICMP攻擊仿真

蔡紅柳，胡 楊，田 磊

裝甲兵工程學院信息工程系，北京 100072

本文主要介紹OPNET的層次建模方法和步驟，利用OPNET對DDoS攻擊中ICMP Flood攻擊進行仿真。同時對攻擊前后被攻擊服務(wù)器的相關(guān)工作曲線的數(shù)據(jù)進行了測量,為大規(guī)模的網(wǎng)絡(luò)攻防場景進行實驗研究時提供方法，為現(xiàn)實中防范網(wǎng)絡(luò)DDOS 攻擊提供一定的依據(jù)。

網(wǎng)絡(luò)對抗 ；OPNET；建模

1 ICMP攻擊概述

ICMP Flood攻擊是指攻擊者利用 ICMP ping 產(chǎn)生的大量回應(yīng)請求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費所有資源來進行響應(yīng)直至再也無法處理有效的網(wǎng)絡(luò)信息流，是一種拒絕服務(wù)攻擊（Denial of Service，DoS）。有時攻擊者會直接或間接控制大量主機，從多個攻擊源同時對目標主機發(fā)動ICMP ping攻擊，組成的一個分布式的拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS），最終使網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包，消耗網(wǎng)絡(luò)帶寬、使得被攻擊主機性能下降甚至癱瘓，從而造成其他合法用戶無法正常使用服務(wù)。

對一般的點對點網(wǎng)絡(luò)攻擊仿真時，實物仿真是一種簡便易行的方式，但在研究DDoS這類多對一攻擊時，面對成百甚至上千臺攻擊節(jié)點，實物仿真就受到了局限。而采用OPNET進行軟件仿真可以完全避開實物仿真遇到的困難，最大限度地重現(xiàn)現(xiàn)實網(wǎng)絡(luò)的各種情況[1]。

2 OPNET 建模的方法

OPNET是目前最常用的網(wǎng)絡(luò)仿真軟件之一。它采用面向?qū)ο蟮慕７椒▉矸从硨嶋H的網(wǎng)絡(luò)和網(wǎng)絡(luò)組件結(jié)構(gòu)，實際的系統(tǒng)可以直觀地映射到模型中。

2.1 OPNET 建模機制

利用OPNET進行網(wǎng)絡(luò)建模機制可以分為以下3個層次。

1）進程層次

在進程層次中模擬單個對象的行為，刻畫節(jié)點模型里的處理器以及隊列模型的行為，主要是各種狀態(tài)之間的轉(zhuǎn)換過程。

2）節(jié)點層次

節(jié)點層次是實施各種算法的載體，也是產(chǎn)生事件和處理事件的主體，它可以模擬通信協(xié)議、算法、排隊策略、共享資源、操作系統(tǒng)、特殊的業(yè)務(wù)源等大多數(shù)軟件或者硬件系統(tǒng)。建立由相應(yīng)協(xié)議模型構(gòu)成的節(jié)點模型，將進程層次中的各個進程互連成設(shè)備，并反映設(shè)備的特性。

3）網(wǎng)絡(luò)層次

網(wǎng)絡(luò)層次負責將節(jié)點層次中建立起來的設(shè)備互連成網(wǎng)絡(luò)，確定網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、協(xié)議、應(yīng)用、流量以及其他一些系統(tǒng)設(shè)置，位于3個層次的最上層。

通過OPNET的3層建模機制建立起來的3層模型和實際的網(wǎng)絡(luò)、設(shè)備、協(xié)議層次完全對應(yīng)，全面反映了網(wǎng)絡(luò)的相關(guān)特性。

2.2 OPNET 仿真的步驟

OPNET 仿真可以分為以下4步[3]，圖1所示。

1）配制網(wǎng)絡(luò)拓撲

通過OPNET提供的相關(guān)工具，建立場景，選擇所需要的設(shè)備和連接方式，建立網(wǎng)絡(luò)拓撲，并檢查整個網(wǎng)絡(luò)是否連通。

2）配制運行參數(shù)

選擇在該網(wǎng)絡(luò)上運行的服務(wù)，并配制這些服務(wù)的運行參數(shù)。這樣就完成了系統(tǒng)流量的建模。

3）選擇要查看的結(jié)果

選擇所需要的結(jié)果報告，可以是某個設(shè)備上運行的某一服務(wù)的參數(shù)之一，也可以是某些全局性的參數(shù)。

4）運行仿真

通過前3步已初步搭建出仿真環(huán)境。通過第4步運行仿真可以得到仿真數(shù)據(jù)。運行以后得到的數(shù)據(jù)很可能因為參數(shù)配置等因素，仿真效果不滿意，可以調(diào)整拓撲或者修改參數(shù)，再次運行仿真，直到得到滿意的結(jié)果。

3 仿真模型的建立與分析

本文利用OPNET對DDoS攻擊中的ICMP Flood攻擊進行仿真。

圖1 仿真步驟

3.1 創(chuàng)建網(wǎng)絡(luò)仿真模型

按照OPNET三層建模機制建立網(wǎng)絡(luò)仿真模型。建立中心節(jié)點（hub），一個具有四對收發(fā)信機的hub節(jié)點模型，建立周邊節(jié)點，包括發(fā)起攻擊的主機（node）和受到攻擊的服務(wù)器（node），仿真選擇有四臺主機通過一個hub向一臺服務(wù)器連續(xù)發(fā)送ICMP包，如圖2所示。檢查連通情況，確認都連通之后，準備配置仿真參數(shù)。

圖2 ICMP攻擊網(wǎng)絡(luò)模型

為了對仿真結(jié)果的統(tǒng)計量進行收集和分析，并對不同網(wǎng)絡(luò)環(huán)境中的仿真結(jié)果進行比較，將仿真ICMP Flood攻擊的網(wǎng)絡(luò)填環(huán)境配置成兩個仿真場景。

在第一個仿真場景屬性配置中，將參數(shù)Duration改為1 000s，seed改為21，value值改為4。

在第二個仿真場景屬性配置中，復制一個場景，將第二場景的value值改為40。ICMP攻擊當中，發(fā)信機發(fā)送包的速度足夠大，一些數(shù)據(jù)包將阻塞在發(fā)信機隊列當中，而使得端到端延時受到影響，而我們修改value的值就是為了模擬這種情況。

3.2 仿真結(jié)果分析

在node0和hub之間發(fā)包進行分布式ICMP攻擊的時候。從仿真結(jié)果中可以看出，如圖3所示，遭攻擊前網(wǎng)絡(luò)利用率變化不明顯，而遭受攻擊后網(wǎng)絡(luò)效率下降明顯。

圖3 遭受攻擊前、后網(wǎng)絡(luò)利用率

圖4 ETE Delay線性圖

圖4為 ETE Delay線性圖，說明遭受攻擊后包到達處理器時間增大，性能下降。場景1收集數(shù)據(jù)要大于場景2，ETE delay代表端到端的時延，反映的是包從創(chuàng)建到到達相應(yīng)處理器模塊的延時。

圖5 ETE Delay離散圖

圖5為ETE Delay離散圖，說明遭受攻擊前、后包到處理器的時延，可以更清楚的展示單獨數(shù)據(jù)包所經(jīng)歷的延時。

圖6 遭受攻擊前后上下行吞吐量對比

在圖6中，前兩條曲線反映場景1和2遭受攻擊時上行數(shù)據(jù)變化。后兩條曲線反映場景1和2遭受攻擊時下行數(shù)據(jù)變化。不難看到，在不足五分鐘的時間里，遭到攻擊的部分系統(tǒng)性能直線下降。在五分鐘以后達到穩(wěn)定，這是由于攻擊沒有持續(xù)增強。

分布式拒絕攻擊一般而言對兩個指標造成影響即為攻擊奏效，第一是服務(wù)器性能下降、二是網(wǎng)絡(luò)性能下降。由于現(xiàn)在的寬帶技術(shù)日益普及，網(wǎng)絡(luò)設(shè)備冗余做的也比較好，往往遭到攻擊的時候網(wǎng)絡(luò)性能下降要晚于服務(wù)器性能下降，

ICMP攻擊是一種最原始最簡單的拒絕服務(wù)攻擊，從現(xiàn)在的硬件水平看，這種攻擊需要達到相當?shù)囊?guī)模才能對服務(wù)器造成影響。在本次仿真的過程中沒有使用過大規(guī)模的網(wǎng)絡(luò)模型，但通過使用模擬大規(guī)模攻擊時，網(wǎng)絡(luò)中的數(shù)據(jù)包狀態(tài)能夠達到預期的仿真效果。

4 結(jié)論

對網(wǎng)絡(luò)攻擊的仿真，尤其是對大規(guī)模的網(wǎng)絡(luò)攻防場景進行實驗研究時，可以降低實驗設(shè)備的成本；另一方面可以加快實驗進程，提高效率，有利于對一些耗時的網(wǎng)絡(luò)攻防場景進行反復研究?？梢詾榫W(wǎng)絡(luò)作戰(zhàn)樣式和網(wǎng)絡(luò)戰(zhàn)戰(zhàn)法的運用提供對抗模擬、效果演示和攻防訓練環(huán)境，是培養(yǎng)掌握網(wǎng)絡(luò)攻擊和防護技能人才的訓練手段。

[1]金偉新，肖田元.基于復雜系統(tǒng)理論的信息化戰(zhàn)爭體系對抗建模與仿真.大會報告.國防大學信息作戰(zhàn)與指揮訓練教研部.

[2]盧昱，等.協(xié)同式網(wǎng)絡(luò)對抗[M].北京：國防工業(yè)出版社，2003.

[3]傅鸝，李舸，艾鵬.基于OPNET 的局域網(wǎng)DDOS攻擊仿真.重慶工學院學報：自然科學版，2007，21(10).

[4]郭雷，許曉鳴.復雜網(wǎng)絡(luò)[M].上?？萍冀逃霭嫔纾?006，11.

Simulation of ICMP Attacks Based on OPNET

Department of Information Engineering of the Academy of Armored Force Engineering，Beijing 100072

This paper describes the OPNET modeling methods and procedures, ICMP Flood simulation using OPNET. Measured before and after the change in attack,and then working curve represented all of them.Offensive and defensive scenarios for large-scale experimental study of the network to provide,Method for real DDOS attacks against the network to provide some basis.

network confrontation；OPENT ；modeling

TP391.9

A

1674-6708（2011）53-0186-02