论文部分内容阅读
摘 要:针对局域网终端用户普遍存在很少使用防火墙的现象,结合防火墙的工作原理和DOS nuke攻击的特点,在OPNET网络仿真环境中设计DOS nuke攻击的攻防模型并在仿真环境中模拟DOS nuke攻击,通过加入防火墙之后受害主机接收到的网络数据包流量剧烈减少的实验结果,验证防火墙在防御DOS nuke攻击方面具有很好的功能.该方法对于仿真环境下分析防火墙的各项安全功能具有重要的意义.
关键词:OPNET;防火墙;网络仿真;DOS nuke攻击;网络安全
中图分类号:TP309;TP393.08文献标志码:A
Simulation on attack and defense of DOS nuke in OPNET environment
ZHOU Feifei1, 2, PAN Jie3, XIA Yongheng1, YUAN Ying1, WANG Wenjie2
(1. Dept. of Computer, Beijing Communication Management Institute, Beijing 100020, China;
2. Graduate School, Chinese Academy of Sci., Beijing 100049, China;
3. Merchant Marine College, Shanghai Maritime Univ., Shanghai 200135, China)
Abstract: With the phenomenon that users of LAN seldom use firewall in general, the model of DOS nuke attack and defense is designed in OPNET simulation environment by combinating with the principle of firewall and the character of the DOS nuke attack. The DOS nuke attack is also simulated in the environment. On the base of these, the security function of firewall on defensing DOS nuke attack is proved by the result that the network packet volume of victim host computer is dramatically reduced after adding a firewall. It has important reference value of proving defense ability of firewall in simulation environment.
Key words: OPNET; firewall; network simulation; DOS nuke attack; network security
0 引 言
目前大学都拥有自己的校园网.由于校园网的终端用户普遍缺乏安全意识,认为主机同时开启杀病毒软件和防火墙影响上网速度,故常将防火墙禁用,导致校园网被蠕虫病毒远程入侵并在校园网内广泛传播,大量主机无法正常使用,网络服务无法正常进行.针对很多用户提出的防火墙无用论,笔者在仿真环境OPNET下以DOS nuke攻击为例,查看使用防火墙前后受害主机接收到的数据流量,通过对比证明防火墙在防御DOS nuke攻击方面具有良好效果.
1 以实验环境为原型进行仿真
仿真原型[1,2]有2种:以真实网络为原型和以实验环境为原型.若以真实网络为原型,仿真的背景流通过在路由器或交换机上将一系列网络服务(如E-mail,HTTP和FTP)产生的背景流保存成文件后导入仿真环境产生.该方法的优点是背景流量真实,缺点是如果背景流中包含干扰数据,仿真结果会有很大误差.而以实验环境为原型的网络仿真不存在上述缺点,有较强的通用性.因此,笔者以实验环境为原型进行仿真.
1.1 模拟背景流
用OPNET modeler建立仿真网络环境,考虑到通用性,采用OPNET提供的网络流量模块(包括TCP,FTP和HTTP等)作为网络背景流,根据校园网的具体要求配置负载.然后,将这些模块产生的流量进行叠加,模拟出1个较为真实、更具通用性的背景流量.
1.2 产生攻击流量
通过攻击仿真模型产生攻击流量,进行防御模型[3-9]的设计与实验.
2 系统配置与仿真实现
2.1 系统配置
对DOS nuke的攻击及防御过程进行仿真.在DOS nuke模拟攻击中,攻击者发送大量超出带宽的数据到1个Windows 系统的139端口(NetBIOS),以此耗尽目标的系统资源.
2.2 仿真实现
仿真实验以计算机系办公室为背景在OPNET环境中进行:共有10台主机,属于同1个子网环境,通过1个动态路由器与校园网进行连接.在引入防火墙之前的网络拓朴图(见图1)基础上,在受害主机PC 1与集线器之间加入1个名为firewall 0的防火墙模块(见图2).因笔者使用的OPNET仿真环境中没有动态路由器模块,而实验中不需要动态IP及路由功能,故将动态路由器的部分功能分解为上游校园网产生的背景流模块及集线器模块2部分.
拓扑结构模型由如下几部分构成:(1)10个虚拟的PC节点为PC 0~PC 9.(2)数据包发生器generator,用于产生背景流量.(3)1个集线器节点,其节点结构见图3,状态迁移图见图4.(4)1个防火墙节点.其中,PC 0是攻击者,PC 1是DOS nuke的攻击目标.为实现防御,把防火墙节点放在PC 1和集线器之间,根据攻击的特征码来捕获发送到PC 1的攻击数据包.
图4 集线器进程模型的状态迁移图5是包生成器的节点结构,设置1个生成器模块为pk-generator,其具体配置见图6,通过OPNET产生数据流量.图5中还有1个调度(dispatch)模块,用于接收生成器发来的数据包,将包中的各属性根据业务流设置相应的值,然后按照目标IP地址发送到相应的PC节点.图7显示每个虚拟PC的进程模型,它支持包数据流的输入和输出.
笔者在集线器和PC 1之间建立1个防火墙,该防火墙使用1个简单的基于特征码的检测手段来寻 找发送到PC 1的139端口且包的头部带有“urg”标志的数据包(即脏包、攻击包).防火墙节点结构见图8,防火墙状态迁移见图9.
根据防火墙原理,笔者利用firewall 0模块对防火墙作用进行仿真,设计处理流程(见图10)源代码.
3 分析仿真结果
3.1 DOS nuke 攻击
在防御仿真实验中,笔者提取包含367个TCP数据包的不到3 min的数据.防火墙捕获10个DOS图10 防火墙的处理流程 nuke攻击的数据包,其中9个是从攻击节点发向受害者的,1个是从受害者发向攻击节点的.DOS nuke攻击的处理流程见图11.
在DOS nuke进行攻击时,使用20 min作为仿真攻击实验的模拟时间,使用防火墙之前受害主机PC 1接收到的数据包见图12.
在图12中,横坐标表示时间,纵坐标表示每秒接收到的数据包数;曲线1代表在攻击期间受害主机PC 1接收到的数据包,曲线2代表正常主机PC 2接收到的数据包.可以发现PC 1每秒接收到的数据包数远远超过PC 2接收到的数据包数,而且前3 min内曲线1在经过一段时间激增后数据包流量变得较为平稳.
分析PC 1接收到的数据包,可得如图13的结果.图中曲线1代表攻击发生期间受害主机PC 1接收到的数据包总数,曲线2代表PC 1接收到的攻击包总数,曲线3代表正常主机节点接收到的数据包总数.由此可见,攻击发生期间PC 1接收到的总数 据包中攻击包占绝大部分.
由图14可见放置防火墙之前DOS nuke攻击对流量所造成的影响:在0~0 min 17 s,0 min 40 s前后以及1 min 22 s~1 min 40 s这3个时间段由于攻击者对受害主机不断发脏包,造成这3段时间的子网流量出现异常.
4.2 防火墙防御DOS nuke攻击功能的验证
图15为放置防火墙后防火墙捕获数据包的速率,图中清楚地显示包的出现和到达时间,图中的3个波峰表示此时出现的攻击包已被防火墙捕捉到.
再对PC 1的流量进行测试,其入站流量见图16.由图15和16可见,安装防火墙后,PC 1的入站流量一直保持稳定,且每秒接收到的数据包数也比引入防火墙之前少,说明在集线器与受害主机间安装防火墙可屏蔽攻击者对受害主机进行的DOS nuke攻击,验证防火墙的保护作用.
4 结束语
在OPNET仿真环境中,以DOS nuke攻击为例,对防火墙的安全作用进行验证,充分证明防火墙在防御DOS nuke攻击方面效果良好,对那些持防火墙无用论观点的终端用户起到教育作用,为仿真环境中防火墙功能的验证提供一定参考.
参考文献:
[1]陈敏. OPNET网络仿真[M]. 北京: 清华大学出版社, 2004.
[2]王文博, 张金文. OPNET modeler与网络仿真[M]. 北京: 人民邮电出版社, 2003.
[3]孙屹, 孟晨. OPNET通信仿真开发手册[K]. 北京: 国防工业出版社, 2005.
[4]李馨, 叶明. OPNET modeler网络建模与仿真[M]. 西安: 西安电子科技大学出版社, 2006.
[5]侯宗浩, 王秉康, 黄泳翔. 网络仿真的研究[J]. 计算机仿真, 2003, 20(10): 89-91.
[6]顾晓鸣, 龚平, 李影, 等. IP网流量仿真与建模[J]. 系统工程与电子技术, 2004, 20(5): 652-654.
[7]CALI F, CONTI M, GREGORI E. Dynamic tuing of the IEEE 802.11 protocol to achieve a theoretical throughput limit[J]. IEEE/ACM Trans Networking, 2000, 8(6): 785-799.
[8]BIANCHI B. Performance analysis of the IEEE 802.11 distributed coordination function[J]. IEEE J Selected Areas Commun, 2000, 18(13): 537-547.
[9]FALL K, VARADHAN K. The ns manual: Formerly ns notes and documentation[EB/OL]. [2002-01-01]. http://www.isi.edu/nsnam/ns/doc/ns-doc.pdf.
(编辑 陈锋杰 廖粤新)
上海海事大学信息工程学院获教育部教育教学改革与实践项目立项
为推动高等理工教育计算机科学与技术专业教学改革,提高人才培养质量,教育部计算机科学与技术专业教学指导分委员会联合全国14所高校,就《计算机科学与技术专业规范》推广试点工作申请立项开展专题研究.
教育部批准“具有行业特色院校的计算机专业人才培养研究与试点”等5 个项目立项,立项项目纳入教育部高等理工教育教学改革与实践项目.
由上海海事大学信息工程学院计算机科学与工程系系主任高茂庭负责计算机科学与技术专业参加“具有行业特色院校的计算机专业人才培养研究与试点”项目研究,为期3年,现已正式启动.
关键词:OPNET;防火墙;网络仿真;DOS nuke攻击;网络安全
中图分类号:TP309;TP393.08文献标志码:A
Simulation on attack and defense of DOS nuke in OPNET environment
ZHOU Feifei1, 2, PAN Jie3, XIA Yongheng1, YUAN Ying1, WANG Wenjie2
(1. Dept. of Computer, Beijing Communication Management Institute, Beijing 100020, China;
2. Graduate School, Chinese Academy of Sci., Beijing 100049, China;
3. Merchant Marine College, Shanghai Maritime Univ., Shanghai 200135, China)
Abstract: With the phenomenon that users of LAN seldom use firewall in general, the model of DOS nuke attack and defense is designed in OPNET simulation environment by combinating with the principle of firewall and the character of the DOS nuke attack. The DOS nuke attack is also simulated in the environment. On the base of these, the security function of firewall on defensing DOS nuke attack is proved by the result that the network packet volume of victim host computer is dramatically reduced after adding a firewall. It has important reference value of proving defense ability of firewall in simulation environment.
Key words: OPNET; firewall; network simulation; DOS nuke attack; network security
0 引 言
目前大学都拥有自己的校园网.由于校园网的终端用户普遍缺乏安全意识,认为主机同时开启杀病毒软件和防火墙影响上网速度,故常将防火墙禁用,导致校园网被蠕虫病毒远程入侵并在校园网内广泛传播,大量主机无法正常使用,网络服务无法正常进行.针对很多用户提出的防火墙无用论,笔者在仿真环境OPNET下以DOS nuke攻击为例,查看使用防火墙前后受害主机接收到的数据流量,通过对比证明防火墙在防御DOS nuke攻击方面具有良好效果.
1 以实验环境为原型进行仿真
仿真原型[1,2]有2种:以真实网络为原型和以实验环境为原型.若以真实网络为原型,仿真的背景流通过在路由器或交换机上将一系列网络服务(如E-mail,HTTP和FTP)产生的背景流保存成文件后导入仿真环境产生.该方法的优点是背景流量真实,缺点是如果背景流中包含干扰数据,仿真结果会有很大误差.而以实验环境为原型的网络仿真不存在上述缺点,有较强的通用性.因此,笔者以实验环境为原型进行仿真.
1.1 模拟背景流
用OPNET modeler建立仿真网络环境,考虑到通用性,采用OPNET提供的网络流量模块(包括TCP,FTP和HTTP等)作为网络背景流,根据校园网的具体要求配置负载.然后,将这些模块产生的流量进行叠加,模拟出1个较为真实、更具通用性的背景流量.
1.2 产生攻击流量
通过攻击仿真模型产生攻击流量,进行防御模型[3-9]的设计与实验.
2 系统配置与仿真实现
2.1 系统配置
对DOS nuke的攻击及防御过程进行仿真.在DOS nuke模拟攻击中,攻击者发送大量超出带宽的数据到1个Windows 系统的139端口(NetBIOS),以此耗尽目标的系统资源.
2.2 仿真实现
仿真实验以计算机系办公室为背景在OPNET环境中进行:共有10台主机,属于同1个子网环境,通过1个动态路由器与校园网进行连接.在引入防火墙之前的网络拓朴图(见图1)基础上,在受害主机PC 1与集线器之间加入1个名为firewall 0的防火墙模块(见图2).因笔者使用的OPNET仿真环境中没有动态路由器模块,而实验中不需要动态IP及路由功能,故将动态路由器的部分功能分解为上游校园网产生的背景流模块及集线器模块2部分.
拓扑结构模型由如下几部分构成:(1)10个虚拟的PC节点为PC 0~PC 9.(2)数据包发生器generator,用于产生背景流量.(3)1个集线器节点,其节点结构见图3,状态迁移图见图4.(4)1个防火墙节点.其中,PC 0是攻击者,PC 1是DOS nuke的攻击目标.为实现防御,把防火墙节点放在PC 1和集线器之间,根据攻击的特征码来捕获发送到PC 1的攻击数据包.
图4 集线器进程模型的状态迁移图5是包生成器的节点结构,设置1个生成器模块为pk-generator,其具体配置见图6,通过OPNET产生数据流量.图5中还有1个调度(dispatch)模块,用于接收生成器发来的数据包,将包中的各属性根据业务流设置相应的值,然后按照目标IP地址发送到相应的PC节点.图7显示每个虚拟PC的进程模型,它支持包数据流的输入和输出.
笔者在集线器和PC 1之间建立1个防火墙,该防火墙使用1个简单的基于特征码的检测手段来寻 找发送到PC 1的139端口且包的头部带有“urg”标志的数据包(即脏包、攻击包).防火墙节点结构见图8,防火墙状态迁移见图9.
根据防火墙原理,笔者利用firewall 0模块对防火墙作用进行仿真,设计处理流程(见图10)源代码.
3 分析仿真结果
3.1 DOS nuke 攻击
在防御仿真实验中,笔者提取包含367个TCP数据包的不到3 min的数据.防火墙捕获10个DOS图10 防火墙的处理流程 nuke攻击的数据包,其中9个是从攻击节点发向受害者的,1个是从受害者发向攻击节点的.DOS nuke攻击的处理流程见图11.
在DOS nuke进行攻击时,使用20 min作为仿真攻击实验的模拟时间,使用防火墙之前受害主机PC 1接收到的数据包见图12.
在图12中,横坐标表示时间,纵坐标表示每秒接收到的数据包数;曲线1代表在攻击期间受害主机PC 1接收到的数据包,曲线2代表正常主机PC 2接收到的数据包.可以发现PC 1每秒接收到的数据包数远远超过PC 2接收到的数据包数,而且前3 min内曲线1在经过一段时间激增后数据包流量变得较为平稳.
分析PC 1接收到的数据包,可得如图13的结果.图中曲线1代表攻击发生期间受害主机PC 1接收到的数据包总数,曲线2代表PC 1接收到的攻击包总数,曲线3代表正常主机节点接收到的数据包总数.由此可见,攻击发生期间PC 1接收到的总数 据包中攻击包占绝大部分.
由图14可见放置防火墙之前DOS nuke攻击对流量所造成的影响:在0~0 min 17 s,0 min 40 s前后以及1 min 22 s~1 min 40 s这3个时间段由于攻击者对受害主机不断发脏包,造成这3段时间的子网流量出现异常.
4.2 防火墙防御DOS nuke攻击功能的验证
图15为放置防火墙后防火墙捕获数据包的速率,图中清楚地显示包的出现和到达时间,图中的3个波峰表示此时出现的攻击包已被防火墙捕捉到.
再对PC 1的流量进行测试,其入站流量见图16.由图15和16可见,安装防火墙后,PC 1的入站流量一直保持稳定,且每秒接收到的数据包数也比引入防火墙之前少,说明在集线器与受害主机间安装防火墙可屏蔽攻击者对受害主机进行的DOS nuke攻击,验证防火墙的保护作用.
4 结束语
在OPNET仿真环境中,以DOS nuke攻击为例,对防火墙的安全作用进行验证,充分证明防火墙在防御DOS nuke攻击方面效果良好,对那些持防火墙无用论观点的终端用户起到教育作用,为仿真环境中防火墙功能的验证提供一定参考.
参考文献:
[1]陈敏. OPNET网络仿真[M]. 北京: 清华大学出版社, 2004.
[2]王文博, 张金文. OPNET modeler与网络仿真[M]. 北京: 人民邮电出版社, 2003.
[3]孙屹, 孟晨. OPNET通信仿真开发手册[K]. 北京: 国防工业出版社, 2005.
[4]李馨, 叶明. OPNET modeler网络建模与仿真[M]. 西安: 西安电子科技大学出版社, 2006.
[5]侯宗浩, 王秉康, 黄泳翔. 网络仿真的研究[J]. 计算机仿真, 2003, 20(10): 89-91.
[6]顾晓鸣, 龚平, 李影, 等. IP网流量仿真与建模[J]. 系统工程与电子技术, 2004, 20(5): 652-654.
[7]CALI F, CONTI M, GREGORI E. Dynamic tuing of the IEEE 802.11 protocol to achieve a theoretical throughput limit[J]. IEEE/ACM Trans Networking, 2000, 8(6): 785-799.
[8]BIANCHI B. Performance analysis of the IEEE 802.11 distributed coordination function[J]. IEEE J Selected Areas Commun, 2000, 18(13): 537-547.
[9]FALL K, VARADHAN K. The ns manual: Formerly ns notes and documentation[EB/OL]. [2002-01-01]. http://www.isi.edu/nsnam/ns/doc/ns-doc.pdf.
(编辑 陈锋杰 廖粤新)
上海海事大学信息工程学院获教育部教育教学改革与实践项目立项
为推动高等理工教育计算机科学与技术专业教学改革,提高人才培养质量,教育部计算机科学与技术专业教学指导分委员会联合全国14所高校,就《计算机科学与技术专业规范》推广试点工作申请立项开展专题研究.
教育部批准“具有行业特色院校的计算机专业人才培养研究与试点”等5 个项目立项,立项项目纳入教育部高等理工教育教学改革与实践项目.
由上海海事大学信息工程学院计算机科学与工程系系主任高茂庭负责计算机科学与技术专业参加“具有行业特色院校的计算机专业人才培养研究与试点”项目研究,为期3年,现已正式启动.