王希斌，廉龍穎，高　輝，郎春玲

(黑龍江科技大學(xué)　計(jì)算機(jī)與信息工程學(xué)院，哈爾濱　150022)

?

網(wǎng)絡(luò)安全實(shí)驗(yàn)中DDoS攻擊實(shí)驗(yàn)的實(shí)現(xiàn)

王希斌，廉龍穎，高輝，郎春玲

(黑龍江科技大學(xué)計(jì)算機(jī)與信息工程學(xué)院，哈爾濱150022)

研究DDoS攻擊技術(shù)，找出網(wǎng)絡(luò)運(yùn)行中隱藏的風(fēng)險(xiǎn)，是增強(qiáng)網(wǎng)絡(luò)安全的一種重要手段。為了充分了解DDoS攻擊原理和技術(shù)，提高學(xué)生的網(wǎng)絡(luò)攻防實(shí)踐能力，在基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)中使用攻擊軟件Trinoo和TFN2K，設(shè)計(jì)并實(shí)現(xiàn)了基于UDP方式的DDoS攻擊模擬實(shí)驗(yàn)。

網(wǎng)絡(luò)安全實(shí)驗(yàn)；DDos攻擊；實(shí)驗(yàn)平臺(tái)

網(wǎng)絡(luò)安全的威脅主要來(lái)自計(jì)算機(jī)病毒、黑客入侵和拒絕服務(wù)攻擊三個(gè)方面[1]，尤其是在拒絕服務(wù)攻擊基礎(chǔ)上發(fā)展起來(lái)的分布式拒絕服務(wù)(distributed denial of service，DDoS)攻擊已成為網(wǎng)絡(luò)安全的第一大威脅。DDoS攻擊不僅是一種攻擊手段，也是網(wǎng)絡(luò)安全公司用來(lái)模擬用戶訪問(wèn)，測(cè)試網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)最大帶寬和服務(wù)器最大負(fù)載能力的方法[2]。因此，有必要在高校的網(wǎng)絡(luò)安全課程教學(xué)中建立一套完整的攻防實(shí)驗(yàn)環(huán)境，研究DDoS攻擊原理和手段，為檢測(cè)和防御DDoS攻擊奠定基礎(chǔ)。

黑龍江科技大學(xué)計(jì)算機(jī)學(xué)院的網(wǎng)絡(luò)安全技術(shù)實(shí)驗(yàn)課程中開(kāi)設(shè)了DDoS攻擊實(shí)驗(yàn)，目的是讓學(xué)生了解DDoS 攻擊的原理和技術(shù)。本文主要闡述了基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)的DDoS攻擊實(shí)驗(yàn)的實(shí)現(xiàn)。

1　實(shí)驗(yàn)?zāi)康暮蛯?shí)驗(yàn)內(nèi)容

DDoS攻擊實(shí)驗(yàn)?zāi)康?1)了解DDoS攻擊過(guò)程；2)掌握DDoS攻擊工具使用方法，實(shí)現(xiàn)DDoS攻擊；3)通過(guò)分析實(shí)驗(yàn)數(shù)據(jù)，理解DDoS攻擊原理。

DDoS攻擊實(shí)驗(yàn)內(nèi)容：1)在實(shí)驗(yàn)平臺(tái)中搭建DDoS攻擊實(shí)驗(yàn)虛擬網(wǎng)絡(luò)；2)使用Trinoo和TFN2K軟件對(duì)攻擊目標(biāo)發(fā)動(dòng)UDP Flood方式的DDoS攻擊；3)使用網(wǎng)絡(luò)數(shù)據(jù)分析軟件NetworkActive PIAFCTM 捕捉數(shù)據(jù)包，分析實(shí)驗(yàn)數(shù)據(jù)。

2　實(shí)驗(yàn)原理

2.1DDoS攻擊概念

DDoS攻擊是指采用分布式的大規(guī)模的拒絕服務(wù)攻擊。攻擊者通過(guò)組建DDoS攻擊網(wǎng)絡(luò)，并向攻擊網(wǎng)絡(luò)中的攻擊服務(wù)器和攻擊器發(fā)出攻擊指令，用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包來(lái)消耗目標(biāo)系統(tǒng)的資源，最終導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓[3-5]。

2.2DDoS攻擊體系

一個(gè)比較完善的DDoS攻擊體系包括攻擊者、攻擊服務(wù)器、攻擊器和攻擊目標(biāo)4個(gè)部分，如圖1所示，是一種n∶m的映射關(guān)系。攻擊者指黑客所使用的主機(jī)，它操縱整個(gè)攻擊過(guò)程，向攻擊服務(wù)器發(fā)送攻擊命令；攻擊服務(wù)器和攻擊器都是攻擊者侵入并控制的主機(jī)，其中安裝特定的DDoS攻擊程序[6]，攻擊服務(wù)器發(fā)送攻擊指令到攻擊器上，而攻擊器則接收和運(yùn)行攻擊服務(wù)器發(fā)來(lái)的命令[7]，攻擊目標(biāo)指被攻擊的服務(wù)器或主機(jī)。

圖1　DDoS攻擊體系

2.3基于UDP 的DDoS攻擊方式

按照TCP/IP協(xié)議的層次可將DDoS攻擊分為基于ARP的攻擊、基于ICMP的攻擊、基于IP的攻擊、基于UDP的攻擊、基于TCP的攻擊和基于應(yīng)用層的攻擊[8]。本實(shí)驗(yàn)選擇基于UDP的DDoS方式進(jìn)行攻擊實(shí)驗(yàn)。

基于UDP的DDoS攻擊中，攻擊者通過(guò)發(fā)送大量偽造源IP地址的UDP數(shù)據(jù)包進(jìn)行拒絕服務(wù)攻擊。目前，互聯(lián)網(wǎng)上提供www和mail等服務(wù)的設(shè)備一般默認(rèn)開(kāi)放一些UDP服務(wù)。由于UDP協(xié)議是一種面向無(wú)連接的服務(wù)，因此針對(duì)每一個(gè)開(kāi)放的UDP服務(wù)端口，都可以進(jìn)行相關(guān)的攻擊，最終使網(wǎng)絡(luò)可用帶寬被耗盡，無(wú)法向用戶提供正常的網(wǎng)絡(luò)服務(wù)[9]。

3　實(shí)驗(yàn)環(huán)境

3.1基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)

黑龍江科技大學(xué)搭建了基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，如圖2所示。該平臺(tái)采用抽象分層模式，實(shí)驗(yàn)平臺(tái)抽象為3層結(jié)構(gòu)，分別是面向底層虛擬化的硬件資源管理層、面向OpenStack的網(wǎng)絡(luò)虛擬化層以及面向用戶的實(shí)驗(yàn)應(yīng)用層。在OpenStack中使用SDN網(wǎng)絡(luò)虛擬化技術(shù)，通過(guò)Neutron組件創(chuàng)建虛擬網(wǎng)絡(luò)和路由器、負(fù)載均衡等各種網(wǎng)絡(luò)節(jié)點(diǎn)，最終搭建出滿足網(wǎng)絡(luò)安全實(shí)驗(yàn)需求、真實(shí)、隔離、可擴(kuò)展、可編程的實(shí)驗(yàn)環(huán)境。

圖2　實(shí)驗(yàn)平臺(tái)3層結(jié)構(gòu)

3.2實(shí)驗(yàn)拓?fù)?/p>

在基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)中，根據(jù)DDoS攻擊體系設(shè)計(jì)和創(chuàng)建虛擬網(wǎng)絡(luò)，拓?fù)浣Y(jié)構(gòu)如圖3所示，其中PC0作為攻擊者，PC1作為攻擊服務(wù)器，PC2、PC3、PC4和server1作為攻擊器，server4(Web Server)作為攻擊目標(biāo)。

圖3　實(shí)驗(yàn)環(huán)境拓?fù)浣Y(jié)構(gòu)圖

3.3實(shí)驗(yàn)設(shè)備及工具

根據(jù)圖3的實(shí)驗(yàn)環(huán)境拓?fù)鋱D，在OpenStack平臺(tái)中進(jìn)行網(wǎng)絡(luò)配置，主機(jī)和服務(wù)器的系統(tǒng)及服務(wù)軟件安裝配置，具體配置信息見(jiàn)表1。

表1　主機(jī)與服務(wù)器配置信息

4　DDoS攻擊實(shí)現(xiàn)

在實(shí)驗(yàn)虛擬網(wǎng)絡(luò)中，攻擊者PC0通過(guò)Telnet控制攻擊服務(wù)器PC1，PC1中運(yùn)行Trinoo和TFN2K攻擊工具，控制攻擊器PC2、PC3、PC4和server1，對(duì)攻擊目標(biāo)server4發(fā)起UDP Flood攻擊，同時(shí)使用網(wǎng)絡(luò)數(shù)據(jù)分析軟件NetworkActive PIAFCTM 捕捉數(shù)據(jù)包，分析DDoS攻擊實(shí)驗(yàn)數(shù)據(jù)。

4.1DDoS工具分析

現(xiàn)在常用的DDoS攻擊工具有Trinoo、TFN、TFN2K、Mstream和Stacheldraht等[10-13]，本文分別采用Trinoo和TFN2K作為攻擊工具實(shí)現(xiàn)DDoS攻擊。Trinoo和TFN2K都由攻擊服務(wù)器程序和攻擊器程序兩部分組成。在實(shí)驗(yàn)網(wǎng)絡(luò)中，PC1作為攻擊服務(wù)器，PC2、PC3、PC4和server1作為攻擊器。

Trinoo是最早發(fā)布的DDoS工具，由攻擊服務(wù)器程序master和攻擊器程序ns組成。它的工作方式是攻擊者通過(guò)27665/TCP端口建立TCP連接來(lái)實(shí)現(xiàn)遠(yuǎn)程控制程序與攻擊服務(wù)器通信，攻擊服務(wù)器向攻擊器的27444/UDP端口傳遞攻擊指令[14]。

TFN2K是TFN的2000版本，由攻擊服務(wù)器程序tfn和攻擊器程序td組成。TFN2K的攻擊服務(wù)器程序向攻擊器程序發(fā)送攻擊目標(biāo)的列表，攻擊器程序根據(jù)攻擊列表對(duì)攻擊目標(biāo)進(jìn)行拒絕服務(wù)攻擊[15]。一個(gè)攻擊服務(wù)器上的客戶進(jìn)程可以控制多個(gè)攻擊器，這些攻擊器在攻擊過(guò)程中相互協(xié)同，從而保證攻擊的連續(xù)性。

4.2實(shí)現(xiàn)

1)使用Trinoo工具實(shí)現(xiàn)DDoS攻擊。

Trinoo中的master程序植入攻擊服務(wù)器PC1中，ns程序分別植入攻擊器PC2、PC3、PC4和server1中。

在ns.c中寫(xiě)入攻擊服務(wù)器PC1的IP，并進(jìn)行編譯和安裝:

char*master[] = {“192.168.2.1”，NULL};

在PC1中啟動(dòng)master，默認(rèn)密碼為gOrave:

masterhost# ./master

成功啟動(dòng)后將顯示連接成功提示:

trinoo v1.07d2+f4+c [Mar 202014:14:19:42]

在PC2、PC3、PC4和server1中分別執(zhí)行ns，啟動(dòng)攻擊器程序。

檢測(cè)各攻擊器程序是否成功啟動(dòng):

trinoo> mping

mping:Sending a PING to every Bcasts

trinoo>PONG 1 Received from 192.168.2.2

PONG 1 Received from 192.168.2.3

PONG 1 Received from 192.168.2.4

PONG 1 Received from 192.168.2.5

收到成功響應(yīng)提示后，設(shè)定攻擊時(shí)間為60 s:

trinoo>mtimer 60

mtimer:Setting timer on bcast to 60

發(fā)起DDoS攻擊，攻擊目標(biāo)server4(IP:192.168.3.1):

trinoo>dos 192.168.3.1

Dos:Packeting 192.168.3.1…

2)使用TFN2K工具實(shí)現(xiàn)DDoS攻擊。

將TFN2K工具包拷貝到PC1中，輸入make命令進(jìn)行編譯安裝，編譯時(shí)輸入自定義的密碼ddos。編譯安裝后，產(chǎn)生兩個(gè)可執(zhí)行文件:tfn和td。

在PC2、PC3、PC4和server1中分別運(yùn)行td命令來(lái)啟動(dòng)TFN2K攻擊器程序。

在PC1的hosts.txt文件中添加PC2、PC3、PC4和server1的IP并保存，IP地址分別為192.168.2.2、192.168.2.3、192.168.2.4和192. 168.2.5。

在PC1中執(zhí)行如下命令，控制hosts文件中的多臺(tái)攻擊器向攻擊目標(biāo)server4(IP:192.168.3.1)發(fā)起UDP Flood攻擊:

tfn-f hosts.txt -c4 -i 192.168.3.1

protocol:random

sourceIP:random

clientinput:singlehost

command:commenceudpflood

passwordverification:ddos

4.3實(shí)驗(yàn)數(shù)據(jù)分析

1)數(shù)據(jù)流量分析。

經(jīng)過(guò)測(cè)試，使用Trinoo工具進(jìn)行DDoS攻擊時(shí)，1臺(tái)攻擊器發(fā)送數(shù)據(jù)包個(gè)數(shù)為13 000 packets/s左右；而使用TFN2K工具時(shí)，1臺(tái)攻擊器發(fā)送數(shù)據(jù)包為2 800 packets/s左右。由此可見(jiàn)，在實(shí)驗(yàn)中，1臺(tái)Trinoo攻擊器產(chǎn)生的UDP包占有的帶寬大約是1臺(tái)TFN2K攻擊器產(chǎn)生的UDP包占有帶寬的5倍。

2)DDoS工具特性分析。

使用Trinoo工具產(chǎn)生的攻擊數(shù)據(jù)包:

UDP47192.168.2.2192.168.3.17691 404

使用TFN2K工具產(chǎn)生的攻擊數(shù)據(jù)包:

UDP 2129.108.94.10 192.168.3.165 534 48

查看兩個(gè)工具產(chǎn)生的數(shù)據(jù)包，Trinoo的UDP包的源地址192.168.2.2是攻擊器PC2的IP地址，而TFN2K的源地址是偽造的。通過(guò)分析可知，使用TFN2K作為DDoS攻擊工具隱蔽性更好，更不易被檢測(cè)到。

根據(jù)DDoS攻擊實(shí)驗(yàn)的結(jié)果，可在后期實(shí)驗(yàn)中提出實(shí)際網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的改進(jìn)方案，并在實(shí)驗(yàn)平臺(tái)中驗(yàn)證其可行性和性能。

5　結(jié)束語(yǔ)

為解決網(wǎng)絡(luò)安全實(shí)驗(yàn)受到實(shí)驗(yàn)條件限制的問(wèn)題，黑龍江科技大學(xué)開(kāi)發(fā)了基于OpenStack的網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)。在實(shí)驗(yàn)平臺(tái)中創(chuàng)建滿足實(shí)驗(yàn)需求的虛擬網(wǎng)絡(luò)，并分別采用Trinoo和TFN2K工具實(shí)現(xiàn)了DDoS攻擊實(shí)驗(yàn)。通過(guò)真實(shí)的攻擊實(shí)踐操作，使學(xué)生掌握了DDoS攻擊原理，提高了攻防實(shí)踐能力，教學(xué)效果良好。在此實(shí)驗(yàn)的基礎(chǔ)上，可以進(jìn)一步研究DDoS攻擊檢測(cè)方法，培養(yǎng)學(xué)生分析、解決網(wǎng)絡(luò)安全問(wèn)題的能力。

[1]李長(zhǎng)隆.DDoS攻擊的原理及防范DDoS攻擊的策略[J].電腦與電信，2007(8):39-40.

[2]陳波.分布式拒絕服務(wù)攻擊研究[J].計(jì)算機(jī)工程，2002，28(6):63-65，113.

[3]王穎熙.基于UDP的DDoS攻擊實(shí)驗(yàn)[J].中山大學(xué)研究生學(xué)刊(自然科學(xué)、醫(yī)學(xué)版)，2004，25(4):100-112.

[4] GASTI P，TSUDIK G，UZUN E，et al.DoS and DDoS in named data networking[J].International Conference on Computer Communications and Networks，2013，44(3)：1-7.

[5]張衛(wèi)東，李暉，尹鈺.網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)方法的研究[J].實(shí)驗(yàn)室研究與探索，2007，26(12):298-301.

[6]黃妍妍.網(wǎng)絡(luò)服務(wù)管理中的DDoS攻擊預(yù)防策略[J].河北科技圖苑，2003，16(5):31-33.

[7]ZARGAR S T，JOSHI J，TIPPER D.A survey of defense mechanisms against distributed denial of service (DDoS) flooding attacks[J].Communications Surveys & Tutorials，2013，15(4)：2046-2069.

[8] PENG T，LECKIE C，Ramamohanarao K.Survey of network-based defense mechanisms countering the DoS and DDoS problems[J].ACM Computing Surveys，2007，39(1)：3.

[9] 顧群業(yè)，李廣福.拒絕服務(wù)攻擊方式分析及防御策略部署[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005(7):43-45.

[10]林梅琴，李志蜀，袁小鈴，等.分布式拒絕服務(wù)攻擊及防范研究[J].計(jì)算機(jī)應(yīng)用研究，2006，23(8):136-138，151.

[11]JEON D.Understanding DDoS attack，tools and free anti-tools with recommendation[EB/OL].[2014-08-25].http://www.sans.org/infoseFAQ/threats/Understamding ddos.htm.

[12] ISOZAKI H，ATA S，OKA I，et al.Performance improvement on probabilistic packet marking by using history caching[C]//APSITT′OS Information and Telecommunication Technologies，2005.6th Asia-Pacific Symposium,Piscafauany,N.J:IEEE Press，2005：381-386.

[13] DOULIGERIS C，MITROKOTSA A.DDoS attacks and defense mechanisms：classification and state of the art[J].Computer Networks，2004，44(5)：643-666.

[14] XIANG Y，ZHOU W L.Mark-aided distributed filtering by using neural network for ddos defense[C]//GLOBECOM'05：Global Telecommunications Conference.[S.l.]IEEE Press,2005(3)：1701-1705.

[15] STORM P.Tribe flood network (TFN2K) DDoS tool(2000)[EB/OL].[2014-09-10].http://packetstormsecurity.org/distributed/TFN2k_Analysis-1.3.txt.

Implementation of DDoS Attack in Network Security Experiment

WANG Xibin，LIAN Longying，Gao Hui，Lang Chunling

(School of Computer and Information Engineering，Heilongjiang University of Science and Technology，Harbin 150022，China)

It is an important method to enhance network security through researching DDoS attack techniques to identify hidden risks in network service.In order to understand the principles and techniques of DDoS attack，and improve their practical ability of offense and defense，.DDoS attack simulation experiment based on UDP is designed and implemented using the famous attack software Trinoo and TFN2K based on the OpenStack network security experimental platform.

network security experiment; DDos attack; experimental platform

2014-10-30

黑龍江省教育科學(xué)“十二五”規(guī)劃2013年度青年基金專項(xiàng)課題(GBD1213039)。

王希斌(1981-)，男，碩士，講師，主要從事程序設(shè)計(jì)、網(wǎng)絡(luò)安全方面的研究。

TP393

A

10.3969/j.issn.1672-4550.2016.01.020