DDos攻击实验平台的设计与实现

DDos　是一种非常常见的网络攻击手段，为了能够更好地研究和分析DDos　攻击的过程，动态地掌握DDos　攻击过程不同阶段对网络数据带宽、网络性能的影响，往往需要建立DDos　攻击实验平台。

然而DDos　攻击实验对网路带宽和网络性能都有极大的危害。在普通的网络环境中开展DDos　攻击实验会对正常的网络通信造成极大的危害。而且在现实的互联网环境中，各种路由器、防火墙等设备都对DDos　攻击进行了相应的防范，因此在互联网环境中如果缺乏足够的前期准备工作，也很难开展真正有效的DDos　攻击。而且由于互联网的开放性，使得在互联网上开展DDos　攻击实验过程具有攻击范围和攻击过程以及攻击后果难以有效控制等问题，因此亟需开发和设计一种针对DDos　攻击的实验平台。

由于DDos　攻击过程是一种非常常见的攻击过程，因此针对DDos　攻击的相关研究也比较多。通过对现有DDos攻击实验平台的研究成果分析表明，当前对DDos　攻击实验平台的研究主要朝两个方向发展，一种是基于本地网络的DDos　攻击实验环境，另一种是基于虚拟机的DDos　攻击实验环境。基于本地网络的DDos　攻击实验环境，是模拟互联网的各种网络设备，包括路由器、服务器、PC　终端等设备，采用实际的网络硬件设备搭建一个与互联网功能类似的小型网络，在该网络上开展DDos　攻击实验。这种实验环境以真是的计算机和网络设备来模拟互联网通信过程具有很强的真实性。然而由于互联网规模非常的庞大，因此在本地建立的模拟实验网络很难真正模拟出互联网大数量、大规模的特性，同时这种模拟的方式也需要耗费大量的硬件基础设施，实现代价较高。另一种是基于虚拟环境的攻击实验平台实现方法。这种实现方法通过在高性能的计算机或服务器上虚拟出互联网中的路由器、PC终端以及互连设备等等。这种采用虚拟方式建立的攻击实验网络实现成本低，能够在短时间内构造一个规模相对较大的互联网络，然而完全基于虚拟环境的实验网络对实际的网络带宽、网络通信性能等模拟不够完善，因此在这种纯虚拟环境下开展的攻击实验平台得到的攻击效果和攻击过程与真实的环境仍然有较大的差异。文中针对当前DDos　攻击实验平台的研究发展现状和趋势，提出了基于虚拟环境和实际网络硬件设备相结合的DDos　攻击实验平台，该实验平台采用实际的网络互连设备建立一个真实的网络环境，同时在网络环境中的各个终端上采用虚拟化技术构建多个网络终端，扩大网络互连的规模，以此解决目前DDos　攻击实验平台中网络环境真实性与网络环境搭建代价之间的矛盾。

1　实验平台的组成结构

文中设计的DDos　攻击实验平台在物理结构上仍然保持传统的互联网结构。如图1　所示，给出了DDos　攻击实验平台的组成结构。在该拓扑结构中，处于中心位置的是DDos　攻击实验平台的服务器，该服务器负责模拟互联网上常见的网络应用服务。

服务器通过路由器、交换机等网络互连设备与各个实验终端相连。所有实验终端和服务器组成一个本地网络，可以完成正常的网络数据通信功能。在文中设计的DDos　攻击实验平台硬件结构的基础上，对所有的网络实验终端进行了虚拟化的设计，即在一个客户机的终端上可以虚拟出多个网络终端以及虚拟的网络互连设备。所有的网络互连终端既可以通过虚拟的网络互连设备形成一个本地的局域网，也可以通过客户机的硬件网络接口与远程的网络建立连接。因此在图1　所示的DDos　攻击实验平台拓扑结构中，有路由器、服务器以及其他网络通信设备所组成的互联网络，相当于互联网中的骨干网络，承担着整个虚拟环境中各个本地网络的数据互联互通。在攻击实验平台中的客户机上面虚拟出来的所有虚拟终端以及由这些虚拟终端所连接的网络，形成一个个相对独立的本地网络，所有本地网络可以通过攻击实验平台中的骨干网络进行相互连接，实现数据通信。因此，文中设计的DDos　攻击实验平台在拓扑结构上相当于是一个分层次的网络拓扑结构，既有属于上层的骨干网络，也有属于本地的局域网络。

用户利用文中设计的DDos　攻击实验平台开展DDos　攻击实验的时候，既可以以单个客户机为实验环境进行本地小型化的DDos　攻击实验，同时也可以选取若干个客户机，利用客户之间的互联网络形成一个小规模的网络，在该环境中进行DDos　攻击实验，也可以以整个DDos　攻击实验平台作为实验环境，以上层的骨干网络作为数据通信的承载网，以各个客户机所组成的本地网络作为DDos　攻击的本地区域，利用整个DDos　攻击实验平台开展DDos攻击实验将具有很强的真实网络模拟特性，能够模拟出互联网中骨干网和本地网不同流量、不同带宽等服务性能。

由于文中设计的实