DDos　是一種非常常見的網(wǎng)絡(luò)攻擊手段，為了能夠更好地研究和分析DDos　攻擊的過程，動態(tài)地掌握DDos　攻擊過程不同階段對網(wǎng)絡(luò)數(shù)據(jù)帶寬、網(wǎng)絡(luò)性能的影響，往往需要建立DDos　攻擊實驗平臺。

然而DDos　攻擊實驗對網(wǎng)路帶寬和網(wǎng)絡(luò)性能都有極大的危害。在普通的網(wǎng)絡(luò)環(huán)境中開展DDos　攻擊實驗會對正常的網(wǎng)絡(luò)通信造成極大的危害。而且在現(xiàn)實的互聯(lián)網(wǎng)環(huán)境中，各種路由器、防火墻等設(shè)備都對DDos　攻擊進(jìn)行了相應(yīng)的防范，因此在互聯(lián)網(wǎng)環(huán)境中如果缺乏足夠的前期準(zhǔn)備工作，也很難開展真正有效的DDos　攻擊。而且由于互聯(lián)網(wǎng)的開放性，使得在互聯(lián)網(wǎng)上開展DDos　攻擊實驗過程具有攻擊范圍和攻擊過程以及攻擊后果難以有效控制等問題，因此亟需開發(fā)和設(shè)計一種針對DDos　攻擊的實驗平臺。

由于DDos　攻擊過程是一種非常常見的攻擊過程，因此針對DDos　攻擊的相關(guān)研究也比較多。通過對現(xiàn)有DDos攻擊實驗平臺的研究成果分析表明，當(dāng)前對DDos　攻擊實驗平臺的研究主要朝兩個方向發(fā)展，一種是基于本地網(wǎng)絡(luò)的DDos　攻擊實驗環(huán)境，另一種是基于虛擬機的DDos　攻擊實驗環(huán)境?；诒镜鼐W(wǎng)絡(luò)的DDos　攻擊實驗環(huán)境，是模擬互聯(lián)網(wǎng)的各種網(wǎng)絡(luò)設(shè)備，包括路由器、服務(wù)器、PC　終端等設(shè)備，采用實際的網(wǎng)絡(luò)硬件設(shè)備搭建一個與互聯(lián)網(wǎng)功能類似的小型網(wǎng)絡(luò)，在該網(wǎng)絡(luò)上開展DDos　攻擊實驗。這種實驗環(huán)境以真是的計算機和網(wǎng)絡(luò)設(shè)備來模擬互聯(lián)網(wǎng)通信過程具有很強的真實性。然而由于互聯(lián)網(wǎng)規(guī)模非常的龐大，因此在本地建立的模擬實驗網(wǎng)絡(luò)很難真正模擬出互聯(lián)網(wǎng)大數(shù)量、大規(guī)模的特性，同時這種模擬的方式也需要耗費大量的硬件基礎(chǔ)設(shè)施，實現(xiàn)代價較高。另一種是基于虛擬環(huán)境的攻擊實驗平臺實現(xiàn)方法。這種實現(xiàn)方法通過在高性能的計算機或服務(wù)器上虛擬出互聯(lián)網(wǎng)中的路由器、PC終端以及互連設(shè)備等等。這種采用虛擬方式建立的攻擊實驗網(wǎng)絡(luò)實現(xiàn)成本低，能夠在短時間內(nèi)構(gòu)造一個規(guī)模相對較大的互聯(lián)網(wǎng)絡(luò)，然而完全基于虛擬環(huán)境的實驗網(wǎng)絡(luò)對實際的網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)通信性能等模擬不夠完善，因此在這種純虛擬環(huán)境下開展的攻擊實驗平臺得到的攻擊效果和攻擊過程與真實的環(huán)境仍然有較大的差異。文中針對當(dāng)前DDos　攻擊實驗平臺的研究發(fā)展現(xiàn)狀和趨勢，提出了基于虛擬環(huán)境和實際網(wǎng)絡(luò)硬件設(shè)備相結(jié)合的DDos　攻擊實驗平臺，該實驗平臺采用實際的網(wǎng)絡(luò)互連設(shè)備建立一個真實的網(wǎng)絡(luò)環(huán)境，同時在網(wǎng)絡(luò)環(huán)境中的各個終端上采用虛擬化技術(shù)構(gòu)建多個網(wǎng)絡(luò)終端，擴大網(wǎng)絡(luò)互連的規(guī)模，以此解決目前DDos　攻擊實驗平臺中網(wǎng)絡(luò)環(huán)境真實性與網(wǎng)絡(luò)環(huán)境搭建代價之間的矛盾。

1　實驗平臺的組成結(jié)構(gòu)

文中設(shè)計的DDos　攻擊實驗平臺在物理結(jié)構(gòu)上仍然保持傳統(tǒng)的互聯(lián)網(wǎng)結(jié)構(gòu)。如圖1　所示，給出了DDos　攻擊實驗平臺的組成結(jié)構(gòu)。在該拓?fù)浣Y(jié)構(gòu)中，處于中心位置的是DDos　攻擊實驗平臺的服務(wù)器，該服務(wù)器負(fù)責(zé)模擬互聯(lián)網(wǎng)上常見的網(wǎng)絡(luò)應(yīng)用服務(wù)。

服務(wù)器通過路由器、交換機等網(wǎng)絡(luò)互連設(shè)備與各個實驗終端相連。所有實驗終端和服務(wù)器組成一個本地網(wǎng)絡(luò)，可以完成正常的網(wǎng)絡(luò)數(shù)據(jù)通信功能。在文中設(shè)計的DDos　攻擊實驗平臺硬件結(jié)構(gòu)的基礎(chǔ)上，對所有的網(wǎng)絡(luò)實驗終端進(jìn)行了虛擬化的設(shè)計，即在一個客戶機的終端上可以虛擬出多個網(wǎng)絡(luò)終端以及虛擬的網(wǎng)絡(luò)互連設(shè)備。所有的網(wǎng)絡(luò)互連終端既可以通過虛擬的網(wǎng)絡(luò)互連設(shè)備形成一個本地的局域網(wǎng)，也可以通過客戶機的硬件網(wǎng)絡(luò)接口與遠(yuǎn)程的網(wǎng)絡(luò)建立連接。因此在圖1　所示的DDos　攻擊實驗平臺拓?fù)浣Y(jié)構(gòu)中，有路由器、服務(wù)器以及其他網(wǎng)絡(luò)通信設(shè)備所組成的互聯(lián)網(wǎng)絡(luò)，相當(dāng)于互聯(lián)網(wǎng)中的骨干網(wǎng)絡(luò)，承擔(dān)著整個虛擬環(huán)境中各個本地網(wǎng)絡(luò)的數(shù)據(jù)互聯(lián)互通。在攻擊實驗平臺中的客戶機上面虛擬出來的所有虛擬終端以及由這些虛擬終端所連接的網(wǎng)絡(luò)，形成一個個相對獨立的本地網(wǎng)絡(luò)，所有本地網(wǎng)絡(luò)可以通過攻擊實驗平臺中的骨干網(wǎng)絡(luò)進(jìn)行相互連接，實現(xiàn)數(shù)據(jù)通信。因此，文中設(shè)計的DDos　攻擊實驗平臺在拓?fù)浣Y(jié)構(gòu)上相當(dāng)于是一個分層次的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，既有屬于上層的骨干網(wǎng)絡(luò)，也有屬于本地的局域網(wǎng)絡(luò)。

用戶利用文中設(shè)計的DDos　攻擊實驗平臺開展DDos　攻擊實驗的時候，既可以以單個客戶機為實驗環(huán)境進(jìn)行本地小型化的DDos　攻擊實驗，同時也可以選取若干個客戶機，利用客戶之間的互聯(lián)網(wǎng)絡(luò)形成一個小規(guī)模的網(wǎng)絡(luò)，在該環(huán)境中進(jìn)行DDos　攻擊實驗，也可以以整個DDos　攻擊實驗平臺作為實驗環(huán)境，以上層的骨干網(wǎng)絡(luò)作為數(shù)據(jù)通信的承載網(wǎng)，以各個客戶機所組成的本地網(wǎng)絡(luò)作為DDos　攻擊的本地區(qū)域，利用整個DDos　攻擊實驗平臺開展DDos攻擊實驗將具有很強的真實網(wǎng)絡(luò)模擬特性，能夠模擬出互聯(lián)網(wǎng)中骨干網(wǎng)和本地網(wǎng)不同流量、不同帶寬等服務(wù)性能。

由于文中設(shè)計的實驗平臺主要應(yīng)用于DDos　攻擊實驗，而根據(jù)DDos　的攻擊實驗實現(xiàn)的方式和常見的攻擊過程，當(dāng)用戶在網(wǎng)絡(luò)中針對某一目標(biāo)發(fā)起DDos　攻擊的時候，很有可能會造成從發(fā)起源到攻擊目標(biāo)之間通信鏈路的擁塞，甚至有可能對整個模擬網(wǎng)絡(luò)中的數(shù)據(jù)通信造成擁塞。因此文中的DDos　攻擊實驗平臺在開展實驗過程中同樣會出現(xiàn)不同程度的數(shù)據(jù)擁塞，而作為一個攻擊實驗平臺，除了需要能夠模擬和產(chǎn)生攻擊過程中所需要的所有數(shù)據(jù)，更重要的還需要能夠為用戶提供DDos　攻擊的全過程分析環(huán)境和觀測環(huán)境，一旦DDos　攻擊實驗平臺發(fā)生嚴(yán)重的數(shù)據(jù)擁塞，有可能使得用戶無法對實驗網(wǎng)絡(luò)中的遠(yuǎn)程數(shù)據(jù)線路傳輸性能進(jìn)行檢測。因為當(dāng)網(wǎng)絡(luò)上出現(xiàn)嚴(yán)重?fù)砣臅r候，所有控制數(shù)據(jù)也無法通過網(wǎng)絡(luò)環(huán)境傳輸?shù)奖O(jiān)視終端上來。為此文中在設(shè)計的DDos　攻擊實驗平臺中專門設(shè)計了另外一組通信鏈路，用于網(wǎng)絡(luò)性能的檢測，該通信鏈路不參與正常的網(wǎng)絡(luò)數(shù)據(jù)通信，而僅僅負(fù)責(zé)各個節(jié)點的處理性能、網(wǎng)絡(luò)擁塞程度等指標(biāo)進(jìn)行檢測，并及時將采集的數(shù)據(jù)通過專用的線路反饋給數(shù)據(jù)監(jiān)控終端，實現(xiàn)對DDos　攻擊的全過程監(jiān)控和分析。整個攻擊實驗平臺中的監(jiān)控通信網(wǎng)絡(luò)在圖1　中用虛線表現(xiàn)出來，是DDos　攻擊實驗平臺中的一個重要組成部分。

2　DDos　攻擊數(shù)據(jù)的產(chǎn)生

利用文中設(shè)計的DDos　攻擊實驗平臺，各個客戶機上的虛擬終端都可以向?qū)嶒炂脚_中心的服務(wù)器發(fā)起DDos　攻擊。然而在攻擊過程中，如何快速有效地產(chǎn)生DDos　攻擊數(shù)據(jù)，是本實驗平臺在設(shè)計過程需要解決的一個關(guān)鍵性技術(shù)實驗難題。在傳統(tǒng)的互聯(lián)網(wǎng)環(huán)境下，用戶發(fā)起DDos　攻擊一般是在各個攻擊終端上部署攻擊程序，由攻擊程序?qū)崿F(xiàn)DDos攻擊數(shù)據(jù)的產(chǎn)生。而且在真實的網(wǎng)絡(luò)互連環(huán)境中，為了提高DDos　攻擊數(shù)據(jù)的迷惑性，從各個攻擊終端產(chǎn)生的DDos攻擊數(shù)據(jù)往往不是簡單的隨機數(shù)據(jù)，甚至可以通過模擬一些真實環(huán)境下的網(wǎng)絡(luò)數(shù)據(jù)，以避免DDos　攻擊數(shù)據(jù)被目標(biāo)端的防護軟件所攔截[7]。

結(jié)合實際的互聯(lián)網(wǎng)中的DDos　攻擊過程，文中設(shè)計的DDos　攻擊實驗平臺在各個虛擬終端上也提供了形式多樣的DDos　攻擊數(shù)據(jù)產(chǎn)生方式，如圖2所示。根據(jù)用戶需要的DDos　攻擊數(shù)據(jù)不一樣，文中在虛擬網(wǎng)路終端上運行了虛擬操作系統(tǒng)，在虛擬操作系統(tǒng)上層提供了VC　編譯環(huán)境、WinPcap　開發(fā)驅(qū)動、WinSocket　庫函數(shù)以及用戶自定義庫函數(shù)等功能模塊，通過這些功能模塊可以為客戶開發(fā)和產(chǎn)生靈活多樣的DDos　攻擊數(shù)據(jù)提供支持。如果客戶需要的DDos　攻擊數(shù)據(jù)，當(dāng)用戶需要的DDos　攻擊數(shù)據(jù)比較規(guī)整時，符合特定的網(wǎng)絡(luò)協(xié)議規(guī)范，此時可以采用WinPcap開發(fā)驅(qū)動快速地產(chǎn)生DDos攻擊數(shù)據(jù)。