DDos攻擊實驗平臺的設(shè)計與實現(xiàn)

傳回到監(jiān)控端，因此當進行比較嚴重的DDos攻擊實驗時，網(wǎng)絡(luò)監(jiān)控子系統(tǒng)可能會失效。

為了解決這一問題，目前常用的解決方式主要有兩種。一種方式是對DDos　攻擊過程進行實時監(jiān)測，采用DDos　攻擊效果性能預測的檢測模式，即對整個DDos　攻擊實驗平臺各個網(wǎng)絡(luò)設(shè)備和通信帶寬等資源進行劃分。比如劃分出80%的計算和通信為用戶進行DDos　攻擊實驗使用，另外20%作為系統(tǒng)正常運行和系統(tǒng)監(jiān)測所使用。當用戶對整個攻擊環(huán)境所占用的資源達到80%之后，即認為該目標網(wǎng)絡(luò)或目標設(shè)備失去正常的服務(wù)功能，使用這種性能預測的解決方案，可以再DDos　攻擊實驗平臺性能崩潰之前，即發(fā)出DDos　攻擊效果預警信息，同時對每個時刻的攻擊狀態(tài)和攻擊過程進行監(jiān)測和顯示。然而這種基于性能預測的攻擊過程、監(jiān)視方法并不能夠真正地體現(xiàn)DDos　的攻擊效果，實際上是對網(wǎng)絡(luò)性能的一種模擬和預測，因此另外一種更為真實的可視化攻擊實驗過程是在現(xiàn)有的DDos　攻擊實驗環(huán)境中建立一套輔助的DDos　攻擊過程監(jiān)視子系統(tǒng)，該監(jiān)視子系統(tǒng)所使用的監(jiān)視設(shè)備、監(jiān)視通信線路都與提供正常網(wǎng)絡(luò)通信的網(wǎng)絡(luò)設(shè)備和通信線路不一樣，采用相對獨立的一套網(wǎng)絡(luò)監(jiān)測子系統(tǒng)來實現(xiàn)可視化的攻擊過程監(jiān)測。

文中在設(shè)計過程中采取了這種基于網(wǎng)絡(luò)監(jiān)測子系統(tǒng)的可視化攻擊過程實現(xiàn)方案。基于整個可視化的攻擊過程實現(xiàn)管理過程如圖3　所示。在每個通信終端上面通過運行虛擬機環(huán)境，在虛擬機環(huán)境下運行網(wǎng)絡(luò)編程接口、網(wǎng)絡(luò)通信管理模塊、操作系統(tǒng)平臺以及通信驅(qū)動等功能模塊。這些功能模塊可以為通信數(shù)據(jù)包的產(chǎn)生提供相應(yīng)的支持，同時也為網(wǎng)絡(luò)性能監(jiān)測提供相應(yīng)的支持。在整個子系統(tǒng)中，實現(xiàn)網(wǎng)絡(luò)性能監(jiān)測的是心跳數(shù)據(jù)包監(jiān)測模塊。心跳數(shù)據(jù)包監(jiān)測子模塊是通過部署在各個虛擬終端上的一個特定程序，定時地與其他通信終端發(fā)起數(shù)據(jù)連接，并交換虛擬終端性能參數(shù)的功能模塊。整個心跳數(shù)據(jù)包傳輸?shù)耐ㄐ啪€路與正常網(wǎng)絡(luò)的通信線路不一樣，從而避免在DDos攻擊的過程中實現(xiàn)數(shù)據(jù)監(jiān)測的管理數(shù)據(jù)也被擁塞。通過文中設(shè)計的這種采用相對獨立的監(jiān)測子系統(tǒng)實現(xiàn)可視化攻擊過程的監(jiān)控方案，能夠確保DDos攻擊實驗平臺在任意的攻擊狀態(tài)下都能夠?qū)崟r地采集和監(jiān)測到攻擊過程的數(shù)據(jù)，從而為用戶分析DDos　攻擊過程和攻擊效果提供強有力的支持。

4　結(jié)語

開展DDos　攻擊實驗對相應(yīng)的實驗環(huán)境要求比較高，而單純采用虛擬化技術(shù)DDos攻擊實驗平臺又不能夠很好地模擬真實的網(wǎng)絡(luò)環(huán)境。文中通過設(shè)計基于真是的互聯(lián)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，采用終端虛擬化的技術(shù)，構(gòu)建了一個功能完善、DDos攻擊數(shù)據(jù)靈活多樣的實驗環(huán)境，而且采用獨立的監(jiān)測子系統(tǒng)可以實現(xiàn)DDos攻擊過程的全稱監(jiān)測和數(shù)據(jù)分析等功能。