戰(zhàn)場通信網(wǎng)絡(luò)入侵測(cè)試半實(shí)物仿真設(shè)計(jì)與實(shí)現(xiàn)

王 帥， 李 婷， 于永利

(1. 陸軍工程大學(xué)石家莊校區(qū)裝備模擬訓(xùn)練中心, 河北 石家莊 050003；2. 陸軍工程大學(xué)石家莊校區(qū)裝備指揮與管理系, 河北 石家莊 050003)

信息化條件下的戰(zhàn)爭對(duì)通信帶寬、通信速率等指標(biāo)提出了更高的要求，通信質(zhì)量的好壞直接影響戰(zhàn)爭勝負(fù)。由于戰(zhàn)場環(huán)境惡劣、地形復(fù)雜，單一通信網(wǎng)絡(luò)往往難以滿足戰(zhàn)場通信的要求，亟需不斷引入新的通信技術(shù)，以實(shí)現(xiàn)多網(wǎng)絡(luò)通信技術(shù)并存、異構(gòu)網(wǎng)絡(luò)協(xié)同互補(bǔ)的組網(wǎng)通信方式。異構(gòu)網(wǎng)絡(luò)的應(yīng)用使得戰(zhàn)場網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜、規(guī)模日益龐大，使用傳統(tǒng)方法研究網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、性能評(píng)估等變得尤為困難。而網(wǎng)絡(luò)仿真通過對(duì)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)拓?fù)涞慕７抡?，能夠給出網(wǎng)絡(luò)性能的定量數(shù)據(jù)，可以驗(yàn)證和對(duì)比不同網(wǎng)絡(luò)方案，已成為網(wǎng)絡(luò)理論分析、網(wǎng)絡(luò)設(shè)計(jì)方案評(píng)估和網(wǎng)絡(luò)性能診斷的有力工具。

因此，筆者采用網(wǎng)絡(luò)仿真工具建立包括有線通信網(wǎng)、戰(zhàn)術(shù)電臺(tái)互聯(lián)網(wǎng)、衛(wèi)星中繼網(wǎng)等網(wǎng)絡(luò)要素的戰(zhàn)場通信網(wǎng)絡(luò)仿真場景，利用以太網(wǎng)接口模塊實(shí)現(xiàn)仿真網(wǎng)絡(luò)中節(jié)點(diǎn)設(shè)備和真實(shí)網(wǎng)絡(luò)中實(shí)際設(shè)備之間的映射，使用外部實(shí)物計(jì)算機(jī)模擬戰(zhàn)場通信網(wǎng)絡(luò)的數(shù)據(jù)信息傳輸、數(shù)據(jù)截獲和DDoS(Distributed Denial of Service)攻擊，實(shí)現(xiàn)基于半實(shí)物仿真的戰(zhàn)場通信入侵過程實(shí)驗(yàn)。

1 仿真基礎(chǔ)

仿真可理解為對(duì)某一研究對(duì)象采用其他手段或方式的描述，且其表現(xiàn)的規(guī)律與研究對(duì)象內(nèi)在的規(guī)律嚴(yán)格一致。仿真系統(tǒng)按照狀態(tài)變化連續(xù)性可分為離散系統(tǒng)和連續(xù)系統(tǒng)，其中：離散系統(tǒng)是指狀態(tài)變量只在某個(gè)離散時(shí)間點(diǎn)集合上發(fā)生變化的系統(tǒng)；連續(xù)系統(tǒng)是指狀態(tài)變量隨時(shí)間連續(xù)改變的系統(tǒng)[1]。離散系統(tǒng)往往受事件驅(qū)動(dòng)且系統(tǒng)狀態(tài)變化為跳躍式，系統(tǒng)的狀態(tài)遷移發(fā)生在一系列的離散事件點(diǎn)上[2]。

通信網(wǎng)絡(luò)狀態(tài)是離散變化的，屬于典型的離散系統(tǒng)。網(wǎng)絡(luò)仿真過程可以用事件表述，包括分組傳輸?shù)拈_始、結(jié)束以及重傳定時(shí)的過期等。仿真實(shí)現(xiàn)時(shí)，將通信仿真隨著仿真時(shí)間分解為獨(dú)立的點(diǎn)，這些點(diǎn)對(duì)應(yīng)著事件的發(fā)生，每一個(gè)事件又代表了對(duì)模型中狀態(tài)變化或選擇的需要，當(dāng)新的事件在執(zhí)行時(shí)，仿真時(shí)間單調(diào)增加。對(duì)于仿真中多個(gè)事件同時(shí)發(fā)生的情況，需要限制每一個(gè)事件的持續(xù)時(shí)間；否則，如果后續(xù)的事件也需在同一仿真時(shí)刻開始，將導(dǎo)致時(shí)間發(fā)生沖突。

離散事件仿真需要維持一個(gè)仿真事件列表來實(shí)現(xiàn)對(duì)事件的管理，該事件列表存儲(chǔ)了所有待發(fā)生的離散事件，確保每一事件都在正確的時(shí)刻、正確的模塊被執(zhí)行。仿真事件列表將所有事件按照時(shí)間順序保留下來，當(dāng)前事件的執(zhí)行結(jié)束時(shí)，該事件從事件列表中刪除，而下一個(gè)事件就已經(jīng)準(zhǔn)備好執(zhí)行。仿真事件隊(duì)列是以事件到達(dá)時(shí)間作為優(yōu)先順序的，仿真內(nèi)核通過遍歷這個(gè)事件隊(duì)列，不斷取出隊(duì)列中的事件，這些離散事件按照時(shí)間戳大小的順序由計(jì)算機(jī)調(diào)用相應(yīng)處理函數(shù)來逐一處理。每處理一個(gè)離散事件，仿真系統(tǒng)的狀態(tài)就會(huì)進(jìn)行相應(yīng)的跳轉(zhuǎn)。當(dāng)新的離散事件產(chǎn)生后，其將被插入到仿真時(shí)間隊(duì)列中等待處理[3]。離散事件仿真原理如圖1所示。

2 戰(zhàn)場通信網(wǎng)絡(luò)仿真

2.1 網(wǎng)絡(luò)仿真建模原理

由于網(wǎng)絡(luò)通信的本質(zhì)是電磁波傳輸，網(wǎng)絡(luò)輸入端和輸出端是各種復(fù)雜的應(yīng)用數(shù)據(jù)，通信過程中主要是對(duì)載波攜帶信息的編碼、封裝、傳遞及解析等，無法完全用數(shù)學(xué)方程進(jìn)行描述。本文的網(wǎng)絡(luò)仿真研究是在對(duì)網(wǎng)絡(luò)協(xié)議的分析理解和建?；A(chǔ)之上，用計(jì)算機(jī)語言描述傳輸介質(zhì)特性，比特流的編碼、解碼，數(shù)據(jù)報(bào)文的封裝、傳遞以及解析等。筆者采用國產(chǎn)網(wǎng)絡(luò)仿真軟件VRNET進(jìn)行網(wǎng)絡(luò)建模，利用模塊化思想，采用“協(xié)議- 設(shè)備- 平臺(tái)- 網(wǎng)絡(luò)”4層建模機(jī)制[4- 5]，構(gòu)建戰(zhàn)場通信網(wǎng)絡(luò)仿真場景。

協(xié)議建模是指建立網(wǎng)絡(luò)仿真所要用到的協(xié)議及其端口參數(shù)模型，定義了協(xié)議的實(shí)現(xiàn)流程、協(xié)議模型間相互關(guān)系及對(duì)外接口等，是最小的建模單元，如TCP/IP(Transmission Control Protocol/Internet Protocol)、RIP(Routing Information Protocol)、PPP(Point-to-Point Protocol)等協(xié)議。從服務(wù)角度來看,這些協(xié)議位于不同層次，如物理層協(xié)議、鏈路層協(xié)議和傳輸層協(xié)議等；但是從仿真實(shí)現(xiàn)角度來看，這些協(xié)議的地位又是平等的，它們組成了一個(gè)大的協(xié)議集合，通過邏輯化的設(shè)計(jì)使相關(guān)協(xié)議間能夠通過端口進(jìn)行通信，層次化的協(xié)議組合能夠組成設(shè)備級(jí)的仿真模型。

設(shè)備建模是指建立直接由協(xié)議構(gòu)成的節(jié)點(diǎn)模型，模擬通信網(wǎng)絡(luò)中的具體設(shè)備(如交換機(jī)、路由器、電臺(tái))。設(shè)備層對(duì)應(yīng)的設(shè)備往往都是獨(dú)立的體系結(jié)構(gòu)，通常分為物理層、鏈路層、網(wǎng)絡(luò)層、傳輸層及應(yīng)用層，并集成了各層的協(xié)議，設(shè)備模型根據(jù)需要可以獨(dú)立使用，也可以組合使用。

平臺(tái)建模是指建立網(wǎng)絡(luò)仿真所要用到的平臺(tái)模型，如機(jī)載平臺(tái)、車載平臺(tái)等，是比設(shè)備層更高的層次，通常由不同設(shè)備組合而成。網(wǎng)絡(luò)仿真時(shí)，不同平臺(tái)除了具備通信功能之外，還要賦予運(yùn)動(dòng)模型、地址分配模型等屬性，分別用于控制節(jié)點(diǎn)平臺(tái)的移動(dòng)屬性和平臺(tái)內(nèi)部子網(wǎng)的劃分，以保證仿真的真實(shí)性。

網(wǎng)絡(luò)模型對(duì)應(yīng)一個(gè)具體的仿真場景，是網(wǎng)絡(luò)仿真的最終層次，由一組通信單元及其連接關(guān)系構(gòu)成。網(wǎng)絡(luò)模型自身包含一定的屬性，如地理位置、覆蓋范圍和坐標(biāo)系等。網(wǎng)絡(luò)仿真層次化建模結(jié)構(gòu)如圖2所示。

2.2 網(wǎng)絡(luò)仿真要素設(shè)計(jì)

戰(zhàn)場通信網(wǎng)絡(luò)仿真包含了3種不同類型的網(wǎng)絡(luò)，分別是軍用電臺(tái)組成的戰(zhàn)術(shù)電臺(tái)互聯(lián)網(wǎng)、有線通信網(wǎng)和衛(wèi)星中繼通信網(wǎng)。本文中，戰(zhàn)場通信網(wǎng)絡(luò)共包含6個(gè)子網(wǎng)(4個(gè)戰(zhàn)術(shù)電臺(tái)互聯(lián)子網(wǎng)、1個(gè)有線通信子網(wǎng)和1個(gè)衛(wèi)星中繼通信子網(wǎng))和38個(gè)通信節(jié)點(diǎn)。戰(zhàn)術(shù)電臺(tái)互聯(lián)子網(wǎng)既能在子網(wǎng)內(nèi)部通過軍用VHF(Very High Frequency)電臺(tái)進(jìn)行通信，也能通過網(wǎng)關(guān)控制器接入有線通信網(wǎng)，實(shí)現(xiàn)更大范圍的通信，還可以通過衛(wèi)星中繼通信網(wǎng)實(shí)現(xiàn)跨大地域的通信。

戰(zhàn)術(shù)電臺(tái)互聯(lián)網(wǎng)通信車模型用來模擬戰(zhàn)術(shù)電臺(tái)互聯(lián)網(wǎng)，集成了互聯(lián)網(wǎng)關(guān)INC(Internet Controller)設(shè)備、VHF電臺(tái)和應(yīng)用終端等設(shè)備模型，鏈路層采用E1協(xié)議接口，網(wǎng)絡(luò)層采用動(dòng)態(tài)路由協(xié)議，傳輸層采用UDP(User Datagram Protocol)協(xié)議，同時(shí)添加了移動(dòng)性模型、地址分配模型等輔助功能模塊，用于模擬通信車的移動(dòng)屬性和平臺(tái)內(nèi)部子網(wǎng)的IP分配等功能。有線通信車模型用來模擬有線通信網(wǎng)的通信節(jié)點(diǎn)，主要包括路由設(shè)備，鏈路層遵循HDLC(High-level Data Link Control)協(xié)議，網(wǎng)絡(luò)層采用RIP協(xié)議，傳輸層采用UDP協(xié)議。中繼衛(wèi)星模型用來模擬衛(wèi)星中繼通信，包括空間衛(wèi)星和地面站設(shè)備，由無線信道Radio和MAC(Media Access Control)鏈路模塊組成，鏈路層采用PSLP(Proximity-Space Link Protocol)協(xié)議，網(wǎng)絡(luò)層采用OSPF(Open Shortest Path First)協(xié)議，傳輸層采用UDP協(xié)議，IP協(xié)議版本為IPV4。筆者設(shè)計(jì)的戰(zhàn)場通信網(wǎng)絡(luò)仿真拓?fù)浣Y(jié)構(gòu)如圖3所示。

3 戰(zhàn)場通信網(wǎng)絡(luò)入侵測(cè)試設(shè)計(jì)

3.1 戰(zhàn)場通信網(wǎng)絡(luò)入侵測(cè)試系統(tǒng)結(jié)構(gòu)

筆者使用以太網(wǎng)交換機(jī)組建了一個(gè)小型局域網(wǎng)，并在該局域網(wǎng)環(huán)境下構(gòu)建了戰(zhàn)場通信網(wǎng)絡(luò)入侵實(shí)驗(yàn)原型系統(tǒng)，其結(jié)構(gòu)如圖4所示。該系統(tǒng)引入外部實(shí)物計(jì)算機(jī)協(xié)同仿真，組成半實(shí)物仿真系統(tǒng)，配置為“實(shí)物- 仿真- 實(shí)物”結(jié)構(gòu)，包括4臺(tái)計(jì)算機(jī)、網(wǎng)絡(luò)傳輸設(shè)備和傳輸介質(zhì)。其中：1臺(tái)計(jì)算機(jī)作為仿真計(jì)算機(jī)運(yùn)行戰(zhàn)場通信網(wǎng)絡(luò)的仿真場景；其余計(jì)算機(jī)作為實(shí)物設(shè)備通過網(wǎng)絡(luò)接入模塊實(shí)現(xiàn)和仿真網(wǎng)絡(luò)中節(jié)點(diǎn)的映射，通過實(shí)物計(jì)算機(jī)的應(yīng)用程序產(chǎn)生數(shù)據(jù)，實(shí)現(xiàn)實(shí)物計(jì)算機(jī)和虛擬網(wǎng)絡(luò)的數(shù)據(jù)交互。

3.2 半實(shí)物接口設(shè)計(jì)及數(shù)據(jù)處理

由于真實(shí)網(wǎng)絡(luò)中的通信是利用協(xié)議進(jìn)行數(shù)據(jù)流的轉(zhuǎn)發(fā)與傳輸，而仿真世界中的網(wǎng)絡(luò)協(xié)議是虛構(gòu)的，因此真實(shí)設(shè)備和仿真網(wǎng)絡(luò)無法直接進(jìn)行通信[6]。筆者通過設(shè)計(jì)仿真網(wǎng)絡(luò)的半實(shí)物接口，來實(shí)現(xiàn)實(shí)物和計(jì)算機(jī)仿真程序之間的數(shù)據(jù)交流。本文中，所用設(shè)備只有計(jì)算機(jī)和交換機(jī)，通用接口為以太網(wǎng)接口，為避免接口之間轉(zhuǎn)換帶來誤差，將以太網(wǎng)接口設(shè)計(jì)為半實(shí)物接口，通過在網(wǎng)絡(luò)仿真中定制軟件代碼模塊將以太網(wǎng)接口接收到的數(shù)據(jù)進(jìn)行解析、封裝和轉(zhuǎn)換，仿真網(wǎng)絡(luò)通過主機(jī)自帶的以太網(wǎng)卡實(shí)現(xiàn)與外部設(shè)備或程序通信[7- 8]。

以太網(wǎng)接口模塊包括Interface(外部接口)、Handler(數(shù)據(jù)處理)、APP(數(shù)據(jù)接入)3個(gè)部分。其中：Interface是指與外部系統(tǒng)(包括硬件設(shè)備和軟件)相連的數(shù)據(jù)接口，負(fù)責(zé)與外部系統(tǒng)的數(shù)據(jù)交互，但不對(duì)數(shù)據(jù)的具體內(nèi)容進(jìn)行解析，并對(duì)上層的仿真用戶屏蔽了具體的通信手段，讓用戶不關(guān)心具體的接收細(xì)節(jié)；Handler通過外部接口接收外部系統(tǒng)的數(shù)據(jù)，并根據(jù)仿真任務(wù)進(jìn)行識(shí)別和處理，也負(fù)責(zé)通過外部接口向外部系統(tǒng)發(fā)送數(shù)據(jù)；APP承擔(dān)翻譯功能，將真實(shí)數(shù)據(jù)與仿真消息進(jìn)行相互轉(zhuǎn)化，當(dāng)外部系統(tǒng)的數(shù)據(jù)需要在仿真網(wǎng)絡(luò)中進(jìn)行傳輸時(shí)，使用APP來為外部系統(tǒng)數(shù)據(jù)尋找仿真網(wǎng)絡(luò)接入點(diǎn)，反之亦然。

接口模型庫工作流程如圖5所示，具體如下：1)外部數(shù)據(jù)通過Interface接入仿真系統(tǒng)，Interface接收完成后，將未解析的數(shù)據(jù)內(nèi)容傳遞給Handler模塊進(jìn)行處理；2)Handler模塊按照數(shù)據(jù)不同類型進(jìn)行解析，形成仿真能夠識(shí)別的數(shù)據(jù)包，然后將數(shù)據(jù)包傳遞給APP模塊；3)APP模塊具有對(duì)外模塊的門接口，可以將數(shù)據(jù)包傳遞到仿真系統(tǒng)的其他模塊中，完成半實(shí)物接入仿真過程。Interface、Handler、APP之間的調(diào)用關(guān)系如圖6所示。

實(shí)裝→仿真調(diào)用：實(shí)裝數(shù)據(jù)進(jìn)入Interface后，Interface調(diào)用Handler進(jìn)行數(shù)據(jù)解析，尋求與之形成映射關(guān)系的APP，將解析好并生成的Msg數(shù)據(jù)包傳遞給APP，APP傳遞數(shù)據(jù)包到仿真系統(tǒng)中。

仿真→實(shí)裝調(diào)用：APP接收到仿真系統(tǒng)對(duì)外的Msg數(shù)據(jù)包，調(diào)用Handler將Msg數(shù)據(jù)包解析為實(shí)裝數(shù)據(jù)包，并調(diào)用映射的Interface將實(shí)裝數(shù)據(jù)包發(fā)送給外部的實(shí)裝系統(tǒng)。

將以太網(wǎng)接口模塊定制為半實(shí)物接口模塊體現(xiàn)了“軟件定義”的思想[9]。該思想是在通用硬件設(shè)備基礎(chǔ)上，不修改硬件設(shè)備，而是通過軟件定制的方式實(shí)現(xiàn)上層功能，以滿足不同服務(wù)的應(yīng)用需求。

3.3 戰(zhàn)場通信網(wǎng)絡(luò)入侵仿真實(shí)驗(yàn)設(shè)計(jì)

網(wǎng)絡(luò)入侵方式主要有網(wǎng)絡(luò)信息的截獲、篡改、破壞和復(fù)制4種。筆者將構(gòu)建的實(shí)驗(yàn)原型系統(tǒng)的入侵方式設(shè)計(jì)為信息截獲和信息破壞，其中：信息截獲是指在戰(zhàn)場網(wǎng)絡(luò)通信仿真過程中信息被第三方獲?。恍畔⑵茐膭t是指對(duì)目標(biāo)節(jié)點(diǎn)進(jìn)行DDoS攻擊，使正常的信息無法得到有效處理，進(jìn)而無法正常提供服務(wù)。

信息截獲的實(shí)驗(yàn)過程描述如下：局域網(wǎng)內(nèi)的3臺(tái)實(shí)物計(jì)算機(jī)通過軟件定義接口方式與運(yùn)行戰(zhàn)場網(wǎng)絡(luò)仿真場景中的節(jié)點(diǎn)相映射，分別表示業(yè)務(wù)發(fā)送主機(jī)、模擬入侵主機(jī)和業(yè)務(wù)接收主機(jī)。仿真開始后，業(yè)務(wù)發(fā)送主機(jī)向業(yè)務(wù)接收主機(jī)發(fā)送信息，模擬入侵主機(jī)則完成信息截獲。具體實(shí)現(xiàn)時(shí)，業(yè)務(wù)發(fā)送主機(jī)采用ICMP(Internet Control Message Protocol)協(xié)議，運(yùn)行“PING業(yè)務(wù)接收主機(jī)IP地址-t”命令，發(fā)送大量ICMP報(bào)文，用以模擬所發(fā)送的業(yè)務(wù)數(shù)據(jù)，具體由實(shí)物計(jì)算機(jī)自帶的控制臺(tái)程序完成；業(yè)務(wù)接收主機(jī)則提供業(yè)務(wù)發(fā)送的目的地址，以保證ICMP報(bào)文的正確到達(dá)；模擬入侵主機(jī)運(yùn)行Wireshark抓包工具，進(jìn)行信息截獲、查看與分析。

信息破壞的實(shí)驗(yàn)過程描述如下：局域網(wǎng)內(nèi)的一臺(tái)實(shí)物計(jì)算機(jī)運(yùn)行SYN模擬攻擊軟件，產(chǎn)生多個(gè)攻擊主機(jī)IP地址，通過軟件定義接口方式與網(wǎng)絡(luò)仿真場景中的節(jié)點(diǎn)相映射，再對(duì)仿真網(wǎng)絡(luò)中的某一目標(biāo)節(jié)點(diǎn)進(jìn)行SYN攻擊；另一臺(tái)計(jì)算機(jī)通過軟件定義接口方式與網(wǎng)絡(luò)仿真場景中的目標(biāo)節(jié)點(diǎn)相映射，運(yùn)行Wireshark抓包工具，獲取該目標(biāo)節(jié)點(diǎn)獲得的攻擊數(shù)據(jù)，目標(biāo)節(jié)點(diǎn)通過網(wǎng)絡(luò)仿真工具對(duì)節(jié)點(diǎn)的性能參數(shù)、仿真網(wǎng)絡(luò)數(shù)據(jù)吞吐量以及時(shí)延等性能指標(biāo)進(jìn)行統(tǒng)計(jì)與分析。

4 戰(zhàn)場通信網(wǎng)絡(luò)入侵測(cè)試半實(shí)物仿真實(shí)現(xiàn)

在完成仿真網(wǎng)絡(luò)的分層建模和拓?fù)湓O(shè)計(jì)之后，需要根據(jù)網(wǎng)絡(luò)拓?fù)湟?guī)劃、業(yè)務(wù)需求對(duì)整個(gè)仿真網(wǎng)絡(luò)進(jìn)行參數(shù)配置[10]。通過以太網(wǎng)接口模塊實(shí)現(xiàn)基于半實(shí)物仿真原型系統(tǒng)，需要在仿真網(wǎng)絡(luò)中配置映射節(jié)點(diǎn)的外部IP地址，且與充當(dāng)半實(shí)物仿真系統(tǒng)中的實(shí)物計(jì)算機(jī)的IP地址相一致，與仿真主機(jī)的外部IP地址處于同一網(wǎng)段，以確保是在局域網(wǎng)環(huán)境中，這樣就完成了實(shí)物計(jì)算機(jī)和仿真網(wǎng)絡(luò)中虛擬節(jié)點(diǎn)的映射。此外，還需要配置仿真網(wǎng)絡(luò)中仿真節(jié)點(diǎn)的IP地址，包括業(yè)務(wù)發(fā)送、被攻擊入侵、業(yè)務(wù)接收等節(jié)點(diǎn)的IP地址，仿真節(jié)點(diǎn)的IP地址可以不在同一網(wǎng)段。戰(zhàn)場通信網(wǎng)絡(luò)仿真IP地址部分參數(shù)配置如圖7所示，網(wǎng)絡(luò)仿真運(yùn)行效果如圖8所示。

4.1 信息截獲入侵測(cè)試

設(shè)計(jì)仿真網(wǎng)絡(luò)中的旅、營、連3個(gè)指揮車平臺(tái),分別作為網(wǎng)絡(luò)業(yè)務(wù)發(fā)送節(jié)點(diǎn)(記為PC1，IP地址為10.0.1.12)、被攻擊入侵節(jié)點(diǎn)(記為PC2，IP地址為10.0.2.5)、業(yè)務(wù)接收節(jié)點(diǎn)(記為PC3，IP地址為10.0.5.5)。仿真時(shí)，旅指揮車使用PING命令訪問連指揮車，以仿真戰(zhàn)場通信中指揮命令的下達(dá)，該數(shù)據(jù)包將經(jīng)過營指揮車。此時(shí)，PC1使用PING命令訪問PC3，即運(yùn)行“Ping 10.0.5.5”，在PC2主機(jī)上運(yùn)行Wireshark抓包工具，開啟網(wǎng)絡(luò)監(jiān)聽功能，得到由PC1虛擬映射節(jié)點(diǎn)發(fā)送給PC3虛擬映射節(jié)點(diǎn)的ICMP報(bào)文，完成了戰(zhàn)場通信網(wǎng)絡(luò)的仿真和入侵測(cè)試。戰(zhàn)場通信網(wǎng)絡(luò)仿真信息流向如圖9所示，網(wǎng)絡(luò)仿真截獲的數(shù)據(jù)如圖10所示。

4.2 DDoS入侵攻擊測(cè)試

為驗(yàn)證戰(zhàn)場通信網(wǎng)絡(luò)在遭到入侵時(shí)網(wǎng)絡(luò)行為特征和性能損失情況，筆者搭建了入侵測(cè)試場景，對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)動(dòng)DDoS攻擊，攻擊方式為SYN洪泛攻擊，網(wǎng)絡(luò)攻擊模擬器自身IP地址為192.168.0.58，攻擊模擬源起始IP地址為192.1.1.1，結(jié)束IP地址為192.192.192.192，目標(biāo)節(jié)點(diǎn)的IP地址為10.4.1.2，攻擊時(shí)間間隔為20 ms。DDoS入侵攻擊原理如圖11所示。

攻擊模擬器運(yùn)行界面如圖12所示，攻擊模擬器可模擬從多個(gè)IP地址發(fā)起的攻擊，通過半實(shí)物映射到仿真網(wǎng)絡(luò)中的多個(gè)節(jié)點(diǎn)，模擬DDoS僵尸網(wǎng)絡(luò)，將攻擊數(shù)據(jù)分布到仿真網(wǎng)絡(luò)中的不同節(jié)點(diǎn)。圖13為在受攻擊節(jié)點(diǎn)處采集到的協(xié)議數(shù)據(jù)情況，可以看出：在較短的一段時(shí)間內(nèi)，目標(biāo)節(jié)點(diǎn)收到了大量來源不明的TCP-SYN報(bào)文，造成目標(biāo)服務(wù)器堵塞。

圖14- 17為在整個(gè)仿真過程中目標(biāo)節(jié)點(diǎn)和整個(gè)仿真網(wǎng)絡(luò)的一些關(guān)鍵指標(biāo)的變化情況，這些關(guān)鍵指標(biāo)的異常變化可作為戰(zhàn)場通信網(wǎng)絡(luò)是否受到DDoS攻擊的重要檢測(cè)依據(jù)。

由圖14- 17可以看出：在遭到攻擊后，目標(biāo)節(jié)點(diǎn)處的TCP-SYN報(bào)文流量劇烈上升,服務(wù)器中TCP連接數(shù)量迅速上升到所能容許的最大限度，出現(xiàn)滿負(fù)荷運(yùn)行的假象，導(dǎo)致正常的業(yè)務(wù)請(qǐng)求不能成功，從而引起全網(wǎng)吞吐能力劇烈下降，同時(shí)，由于服務(wù)器難以接入正常的業(yè)務(wù)，業(yè)務(wù)請(qǐng)求必須經(jīng)過更多的重發(fā)/重試，造成網(wǎng)絡(luò)的時(shí)延性能下降。

5 結(jié)論

筆者采用分層建模機(jī)制和離散事件仿真原理，構(gòu)建了戰(zhàn)場通信網(wǎng)絡(luò)仿真場景，采用“軟件定義”的思想設(shè)計(jì)了以太網(wǎng)接口作為半實(shí)物接口模塊，實(shí)現(xiàn)了外部3臺(tái)實(shí)物計(jì)算機(jī)和仿真場景中不同節(jié)點(diǎn)設(shè)備的映射，使用網(wǎng)際控制報(bào)文協(xié)議、SYN模擬攻擊軟件以及Wireshark抓包工具，仿真了戰(zhàn)場通信網(wǎng)絡(luò)的通信信息截獲入侵過程和DDoS入侵攻擊過程，并通過統(tǒng)計(jì)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行了驗(yàn)證?！败浖x”既代表一種思想，也代表一種趨勢(shì)，越來越多的上層服務(wù)由軟件來提供，硬件設(shè)備作為基礎(chǔ)設(shè)施提供基本支撐作用，未來我軍在開展戰(zhàn)場網(wǎng)絡(luò)建設(shè)研究時(shí)應(yīng)充分借鑒這一思想。下一步，將增加戰(zhàn)場通信網(wǎng)絡(luò)仿真系統(tǒng)的半實(shí)物接口類型及網(wǎng)絡(luò)攻擊手段，為深入研究戰(zhàn)場網(wǎng)絡(luò)的安全性能提供定量指標(biāo)支持。