战场通信网络入侵测试半实物仿真设计与实现
2018-09-06于永利
王 帅, 李 婷, 于永利
(1. 陆军工程大学石家庄校区装备模拟训练中心, 河北 石家庄 050003;2. 陆军工程大学石家庄校区装备指挥与管理系, 河北 石家庄 050003)
信息化条件下的战争对通信带宽、通信速率等指标提出了更高的要求,通信质量的好坏直接影响战争胜负。由于战场环境恶劣、地形复杂,单一通信网络往往难以满足战场通信的要求,亟需不断引入新的通信技术,以实现多网络通信技术并存、异构网络协同互补的组网通信方式。异构网络的应用使得战场网络结构日趋复杂、规模日益庞大,使用传统方法研究网络规划设计、性能评估等变得尤为困难。而网络仿真通过对网络协议、网络设备以及网络拓扑的建模仿真,能够给出网络性能的定量数据,可以验证和对比不同网络方案,已成为网络理论分析、网络设计方案评估和网络性能诊断的有力工具。
因此,笔者采用网络仿真工具建立包括有线通信网、战术电台互联网、卫星中继网等网络要素的战场通信网络仿真场景,利用以太网接口模块实现仿真网络中节点设备和真实网络中实际设备之间的映射,使用外部实物计算机模拟战场通信网络的数据信息传输、数据截获和DDoS(Distributed Denial of Service)攻击,实现基于半实物仿真的战场通信入侵过程实验。
1 仿真基础
仿真可理解为对某一研究对象采用其他手段或方式的描述,且其表现的规律与研究对象内在的规律严格一致。仿真系统按照状态变化连续性可分为离散系统和连续系统,其中:离散系统是指状态变量只在某个离散时间点集合上发生变化的系统;连续系统是指状态变量随时间连续改变的系统[1]。离散系统往往受事件驱动且系统状态变化为跳跃式,系统的状态迁移发生在一系列的离散事件点上[2]。
通信网络状态是离散变化的,属于典型的离散系统。网络仿真过程可以用事件表述,包括分组传输的开始、结束以及重传定时的过期等。仿真实现时,将通信仿真随着仿真时间分解为独立的点,这些点对应着事件的发生,每一个事件又代表了对模型中状态变化或选择的需要,当新的事件在执行时,仿真时间单调增加。对于仿真中多个事件同时发生的情况,需要限制每一个事件的持续时间;否则,如果后续的事件也需在同一仿真时刻开始,将导致时间发生冲突。
离散事件仿真需要维持一个仿真事件列表来实现对事件的管理,该事件列表存储了所有待发生的离散事件,确保每一事件都在正确的时刻、正确的模块被执行。仿真事件列表将所有事件按照时间顺序保留下来,当前事件的执行结束时,该事件从事件列表中删除,而下一个事件就已经准备好执行。仿真事件队列是以事件到达时间作为优先顺序的,仿真内核通过遍历这个事件队列,不断取出队列中的事件,这些离散事件按照时间戳大小的顺序由计算机调用相应处理函数来逐一处理。每处理一个离散事件,仿真系统的状态就会进行相应的跳转。当新的离散事件产生后,其将被插入到仿真时间队列中等待处理[3]。离散事件仿真原理如图1所示。
2 战场通信网络仿真
2.1 网络仿真建模原理
由于网络通信的本质是电磁波传输,网络输入端和输出端是各种复杂的应用数据,通信过程中主要是对载波携带信息的编码、封装、传递及解析等,无法完全用数学方程进行描述。本文的网络仿真研究是在对网络协议的分析理解和建模基础之上,用计算机语言描述传输介质特性,比特流的编码、解码,数据报文的封装、传递以及解析等。笔者采用国产网络仿真软件VRNET进行网络建模,利用模块化思想,采用“协议- 设备- 平台- 网络”4层建模机制[4- 5],构建战场通信网络仿真场景。
协议建模是指建立网络仿真所要用到的协议及其端口参数模型,定义了协议的实现流程、协议模型间相互关系及对外接口等,是最小的建模单元,如TCP/IP(Transmission Control Protocol/Internet Protocol)、RIP(Routing Information Protocol)、PPP(Point-to-Point Protocol)等协议。从服务角度来看,这些协议位于不同层次,如物理层协议、链路层协议和传输层协议等;但是从仿真实现角度来看,这些协议的地位又是平等的,它们组成了一个大的协议集合,通过逻辑化的设计使相关协议间能够通过端口进行通信,层次化的协议组合能够组成设备级的仿真模型。
设备建模是指建立直接由协议构成的节点模型,模拟通信网络中的具体设备(如交换机、路由器、电台)。设备层对应的设备往往都是独立的体系结构,通常分为物理层、链路层、网络层、传输层及应用层,并集成了各层的协议,设备模型根据需要可以独立使用,也可以组合使用。
平台建模是指建立网络仿真所要用到的平台模型,如机载平台、车载平台等,是比设备层更高的层次,通常由不同设备组合而成。网络仿真时,不同平台除了具备通信功能之外,还要赋予运动模型、地址分配模型等属性,分别用于控制节点平台的移动属性和平台内部子网的划分,以保证仿真的真实性。
网络模型对应一个具体的仿真场景,是网络仿真的最终层次,由一组通信单元及其连接关系构成。网络模型自身包含一定的属性,如地理位置、覆盖范围和坐标系等。网络仿真层次化建模结构如图2所示。
2.2 网络仿真要素设计
战场通信网络仿真包含了3种不同类型的网络,分别是军用电台组成的战术电台互联网、有线通信网和卫星中继通信网。本文中,战场通信网络共包含6个子网(4个战术电台互联子网、1个有线通信子网和1个卫星中继通信子网)和38个通信节点。战术电台互联子网既能在子网内部通过军用VHF(Very High Frequency)电台进行通信,也能通过网关控制器接入有线通信网,实现更大范围的通信,还可以通过卫星中继通信网实现跨大地域的通信。
战术电台互联网通信车模型用来模拟战术电台互联网,集成了互联网关INC(Internet Controller)设备、VHF电台和应用终端等设备模型,链路层采用E1协议接口,网络层采用动态路由协议,传输层采用UDP(User Datagram Protocol)协议,同时添加了移动性模型、地址分配模型等辅助功能模块,用于模拟通信车的移动属性和平台内部子网的IP分配等功能。有线通信车模型用来模拟有线通信网的通信节点,主要包括路由设备,链路层遵循HDLC(High-level Data Link Control)协议,网络层采用RIP协议,传输层采用UDP协议。中继卫星模型用来模拟卫星中继通信,包括空间卫星和地面站设备,由无线信道Radio和MAC(Media Access Control)链路模块组成,链路层采用PSLP(Proximity-Space Link Protocol)协议,网络层采用OSPF(Open Shortest Path First)协议,传输层采用UDP协议,IP协议版本为IPV4。笔者设计的战场通信网络仿真拓扑结构如图3所示。
3 战场通信网络入侵测试设计
3.1 战场通信网络入侵测试系统结构
笔者使用以太网交换机组建了一个小型局域网,并在该局域网环境下构建了战场通信网络入侵实验原型系统,其结构如图4所示。该系统引入外部实物计算机协同仿真,组成半实物仿真系统,配置为“实物- 仿真- 实物”结构,包括4台计算机、网络传输设备和传输介质。其中:1台计算机作为仿真计算机运行战场通信网络的仿真场景;其余计算机作为实物设备通过网络接入模块实现和仿真网络中节点的映射,通过实物计算机的应用程序产生数据,实现实物计算机和虚拟网络的数据交互。
3.2 半实物接口设计及数据处理
由于真实网络中的通信是利用协议进行数据流的转发与传输,而仿真世界中的网络协议是虚构的,因此真实设备和仿真网络无法直接进行通信[6]。笔者通过设计仿真网络的半实物接口,来实现实物和计算机仿真程序之间的数据交流。本文中,所用设备只有计算机和交换机,通用接口为以太网接口,为避免接口之间转换带来误差,将以太网接口设计为半实物接口,通过在网络仿真中定制软件代码模块将以太网接口接收到的数据进行解析、封装和转换,仿真网络通过主机自带的以太网卡实现与外部设备或程序通信[7- 8]。
以太网接口模块包括Interface(外部接口)、Handler(数据处理)、APP(数据接入)3个部分。其中:Interface是指与外部系统(包括硬件设备和软件)相连的数据接口,负责与外部系统的数据交互,但不对数据的具体内容进行解析,并对上层的仿真用户屏蔽了具体的通信手段,让用户不关心具体的接收细节;Handler通过外部接口接收外部系统的数据,并根据仿真任务进行识别和处理,也负责通过外部接口向外部系统发送数据;APP承担翻译功能,将真实数据与仿真消息进行相互转化,当外部系统的数据需要在仿真网络中进行传输时,使用APP来为外部系统数据寻找仿真网络接入点,反之亦然。
接口模型库工作流程如图5所示,具体如下:1)外部数据通过Interface接入仿真系统,Interface接收完成后,将未解析的数据内容传递给Handler模块进行处理;2)Handler模块按照数据不同类型进行解析,形成仿真能够识别的数据包,然后将数据包传递给APP模块;3)APP模块具有对外模块的门接口,可以将数据包传递到仿真系统的其他模块中,完成半实物接入仿真过程。Interface、Handler、APP之间的调用关系如图6所示。
实装→仿真调用:实装数据进入Interface后,Interface调用Handler进行数据解析,寻求与之形成映射关系的APP,将解析好并生成的Msg数据包传递给APP,APP传递数据包到仿真系统中。
仿真→实装调用:APP接收到仿真系统对外的Msg数据包,调用Handler将Msg数据包解析为实装数据包,并调用映射的Interface将实装数据包发送给外部的实装系统。
将以太网接口模块定制为半实物接口模块体现了“软件定义”的思想[9]。该思想是在通用硬件设备基础上,不修改硬件设备,而是通过软件定制的方式实现上层功能,以满足不同服务的应用需求。
3.3 战场通信网络入侵仿真实验设计
网络入侵方式主要有网络信息的截获、篡改、破坏和复制4种。笔者将构建的实验原型系统的入侵方式设计为信息截获和信息破坏,其中:信息截获是指在战场网络通信仿真过程中信息被第三方获取;信息破坏则是指对目标节点进行DDoS攻击,使正常的信息无法得到有效处理,进而无法正常提供服务。
信息截获的实验过程描述如下:局域网内的3台实物计算机通过软件定义接口方式与运行战场网络仿真场景中的节点相映射,分别表示业务发送主机、模拟入侵主机和业务接收主机。仿真开始后,业务发送主机向业务接收主机发送信息,模拟入侵主机则完成信息截获。具体实现时,业务发送主机采用ICMP(Internet Control Message Protocol)协议,运行“PING业务接收主机IP地址-t”命令,发送大量ICMP报文,用以模拟所发送的业务数据,具体由实物计算机自带的控制台程序完成;业务接收主机则提供业务发送的目的地址,以保证ICMP报文的正确到达;模拟入侵主机运行Wireshark抓包工具,进行信息截获、查看与分析。
信息破坏的实验过程描述如下:局域网内的一台实物计算机运行SYN模拟攻击软件,产生多个攻击主机IP地址,通过软件定义接口方式与网络仿真场景中的节点相映射,再对仿真网络中的某一目标节点进行SYN攻击;另一台计算机通过软件定义接口方式与网络仿真场景中的目标节点相映射,运行Wireshark抓包工具,获取该目标节点获得的攻击数据,目标节点通过网络仿真工具对节点的性能参数、仿真网络数据吞吐量以及时延等性能指标进行统计与分析。
4 战场通信网络入侵测试半实物仿真实现
在完成仿真网络的分层建模和拓扑设计之后,需要根据网络拓扑规划、业务需求对整个仿真网络进行参数配置[10]。通过以太网接口模块实现基于半实物仿真原型系统,需要在仿真网络中配置映射节点的外部IP地址,且与充当半实物仿真系统中的实物计算机的IP地址相一致,与仿真主机的外部IP地址处于同一网段,以确保是在局域网环境中,这样就完成了实物计算机和仿真网络中虚拟节点的映射。此外,还需要配置仿真网络中仿真节点的IP地址,包括业务发送、被攻击入侵、业务接收等节点的IP地址,仿真节点的IP地址可以不在同一网段。战场通信网络仿真IP地址部分参数配置如图7所示,网络仿真运行效果如图8所示。
4.1 信息截获入侵测试
设计仿真网络中的旅、营、连3个指挥车平台,分别作为网络业务发送节点(记为PC1,IP地址为10.0.1.12)、被攻击入侵节点(记为PC2,IP地址为10.0.2.5)、业务接收节点(记为PC3,IP地址为10.0.5.5)。仿真时,旅指挥车使用PING命令访问连指挥车,以仿真战场通信中指挥命令的下达,该数据包将经过营指挥车。此时,PC1使用PING命令访问PC3,即运行“Ping 10.0.5.5”,在PC2主机上运行Wireshark抓包工具,开启网络监听功能,得到由PC1虚拟映射节点发送给PC3虚拟映射节点的ICMP报文,完成了战场通信网络的仿真和入侵测试。战场通信网络仿真信息流向如图9所示,网络仿真截获的数据如图10所示。
4.2 DDoS入侵攻击测试
为验证战场通信网络在遭到入侵时网络行为特征和性能损失情况,笔者搭建了入侵测试场景,对网络节点发动DDoS攻击,攻击方式为SYN洪泛攻击,网络攻击模拟器自身IP地址为192.168.0.58,攻击模拟源起始IP地址为192.1.1.1,结束IP地址为192.192.192.192,目标节点的IP地址为10.4.1.2,攻击时间间隔为20 ms。DDoS入侵攻击原理如图11所示。
攻击模拟器运行界面如图12所示,攻击模拟器可模拟从多个IP地址发起的攻击,通过半实物映射到仿真网络中的多个节点,模拟DDoS僵尸网络,将攻击数据分布到仿真网络中的不同节点。图13为在受攻击节点处采集到的协议数据情况,可以看出:在较短的一段时间内,目标节点收到了大量来源不明的TCP-SYN报文,造成目标服务器堵塞。
图14- 17为在整个仿真过程中目标节点和整个仿真网络的一些关键指标的变化情况,这些关键指标的异常变化可作为战场通信网络是否受到DDoS攻击的重要检测依据。
由图14- 17可以看出:在遭到攻击后,目标节点处的TCP-SYN报文流量剧烈上升,服务器中TCP连接数量迅速上升到所能容许的最大限度,出现满负荷运行的假象,导致正常的业务请求不能成功,从而引起全网吞吐能力剧烈下降,同时,由于服务器难以接入正常的业务,业务请求必须经过更多的重发/重试,造成网络的时延性能下降。
5 结论
笔者采用分层建模机制和离散事件仿真原理,构建了战场通信网络仿真场景,采用“软件定义”的思想设计了以太网接口作为半实物接口模块,实现了外部3台实物计算机和仿真场景中不同节点设备的映射,使用网际控制报文协议、SYN模拟攻击软件以及Wireshark抓包工具,仿真了战场通信网络的通信信息截获入侵过程和DDoS入侵攻击过程,并通过统计网络流量数据进行了验证。“软件定义”既代表一种思想,也代表一种趋势,越来越多的上层服务由软件来提供,硬件设备作为基础设施提供基本支撑作用,未来我军在开展战场网络建设研究时应充分借鉴这一思想。下一步,将增加战场通信网络仿真系统的半实物接口类型及网络攻击手段,为深入研究战场网络的安全性能提供定量指标支持。