一種基于BGP網(wǎng)絡(luò)靶場(chǎng)的調(diào)度僵尸機(jī)攻擊方法，本發(fā)明涉及調(diào)度僵尸機(jī)攻擊的方法。本發(fā)明為了實(shí)現(xiàn)在BGP網(wǎng)絡(luò)靶場(chǎng)上調(diào)度僵尸機(jī)對(duì)虛擬BGP連接進(jìn)行攻擊，并且測(cè)試哪些參數(shù)能進(jìn)行有效攻擊。技術(shù)要點(diǎn)：基于BGP網(wǎng)絡(luò)靶場(chǎng)給定攻擊任務(wù)，使用調(diào)度僵尸機(jī)攻擊BGP連接；對(duì)單個(gè)僵尸機(jī)發(fā)送流量測(cè)試；確定達(dá)到最大攻擊流量時(shí)需要的僵尸機(jī)數(shù)量；控制BGP鏈路的帶寬；設(shè)定BGP連接斷開(kāi)的判斷依據(jù)；變化BGP鏈路帶寬和攻擊流量確定可能達(dá)到攻擊效果的參數(shù)范圍；在可能達(dá)到攻擊效果的參數(shù)范圍內(nèi)進(jìn)行精確測(cè)試。使用本發(fā)明的攻擊方法和有效的攻擊參數(shù)進(jìn)行攻擊，在2分鐘內(nèi)打斷BGP連接的概率在90％以上。

技術(shù)領(lǐng)域

本發(fā)明涉及調(diào)度僵尸機(jī)攻擊的方法。

背景技術(shù)

邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol,BGP)是運(yùn)行于TCP上的一種自治域AS(Autonomous System,AS)的路由協(xié)議。BGP的主要功能是在域間交換網(wǎng)絡(luò)可達(dá)信息，實(shí)現(xiàn)AS級(jí)的網(wǎng)絡(luò)互連，所以BGP是互聯(lián)網(wǎng)互連的基礎(chǔ)。BGP在TCP連接上進(jìn)行會(huì)話，在TCP連接建立之后通過(guò)Open包建立BGP對(duì)等體之間的連接關(guān)系，在連接建立之后周期性的發(fā)送Keepalive包保持連接的有效性，在檢測(cè)到斷開(kāi)情況時(shí)發(fā)送Notification包斷開(kāi)BGP連接，同時(shí)在可達(dá)信息發(fā)生改變時(shí)會(huì)在對(duì)等體之間發(fā)送Update包更新路由信息。

針對(duì)TCP的拒絕服務(wù)(Denial of Service,DoS)攻擊是攻擊BGP連接的主要手段，在DoS攻擊時(shí)發(fā)生網(wǎng)絡(luò)丟包和阻塞，BGP的保持會(huì)話Keepalive包無(wú)法全部正確送達(dá)，會(huì)使得AS對(duì)等體之間認(rèn)為BGP連接斷開(kāi)從而發(fā)送Notification包斷開(kāi)BGP連接，同時(shí)發(fā)送Update包告知其他自治域路由信息更新情況。

由于自治域級(jí)別的網(wǎng)絡(luò)只有少數(shù)網(wǎng)絡(luò)供應(yīng)商具有配置和修改權(quán)限，因此在進(jìn)行BGP網(wǎng)絡(luò)安全測(cè)試時(shí)采用搭建虛擬BGP網(wǎng)絡(luò)拓?fù)洌谔摂MBGP網(wǎng)絡(luò)上進(jìn)行攻擊實(shí)驗(yàn)的形式進(jìn)行研究。現(xiàn)有技術(shù)中沒(méi)有提出在BGP網(wǎng)絡(luò)靶場(chǎng)上進(jìn)行僵尸機(jī)調(diào)度攻擊。

發(fā)明內(nèi)容

本發(fā)明提供了一種基于BGP網(wǎng)絡(luò)靶場(chǎng)的僵尸機(jī)調(diào)度攻擊方法及攻擊效果測(cè)試方法，以實(shí)現(xiàn)在BGP網(wǎng)絡(luò)靶場(chǎng)上調(diào)度僵尸機(jī)對(duì)虛擬BGP連接進(jìn)行攻擊，并且測(cè)試哪些參數(shù)能進(jìn)行有效攻擊。

本發(fā)明為解決上述技術(shù)問(wèn)題采取的技術(shù)方案是：

一種基于BGP網(wǎng)絡(luò)靶場(chǎng)的調(diào)度僵尸機(jī)攻擊方法，所述攻擊方法的實(shí)現(xiàn)過(guò)程為：

步驟一、基于BGP網(wǎng)絡(luò)靶場(chǎng)給定攻擊任務(wù)，使用調(diào)度僵尸機(jī)攻擊BGP連接；

步驟二、使用調(diào)度僵尸機(jī)的攻擊方法對(duì)單個(gè)(某個(gè))僵尸機(jī)發(fā)送流量測(cè)試，以設(shè)定該僵尸機(jī)的攻擊參數(shù)；

步驟三、設(shè)定單個(gè)僵尸機(jī)的攻擊參數(shù)后，將同主機(jī)的多個(gè)僵尸機(jī)進(jìn)行同時(shí)發(fā)送流量測(cè)試，以確定達(dá)到最大攻擊流量時(shí)需要的僵尸機(jī)數(shù)量；

步驟四、使用令牌桶算法控制BGP鏈路的帶寬，待攻擊的BGP連接是建立在所述的BGP鏈路上；

步驟五、設(shè)定BGP連接斷開(kāi)的判斷依據(jù)：

依據(jù)BGP協(xié)議在斷開(kāi)時(shí)會(huì)發(fā)送Notification包和Update包的原理，在之后的攻擊測(cè)試同時(shí)捕獲BGP包，當(dāng)監(jiān)聽(tīng)連接有Notification包即認(rèn)為攻擊達(dá)到效果；

步驟六、變化BGP鏈路帶寬和攻擊流量確定可能達(dá)到攻擊效果的參數(shù)范圍：給定欲攻擊BGP鏈路和可調(diào)度僵尸機(jī)后，按步驟四中方法設(shè)定BGP鏈路帶寬，控制攻擊時(shí)的流量在步驟三得到的最大攻擊流量(瓶頸攻擊流量)范圍內(nèi)變化，測(cè)試可能達(dá)到攻擊效果的參數(shù)范圍；

步驟七、然后在可能達(dá)到攻擊效果的參數(shù)范圍內(nèi)進(jìn)行精確測(cè)試：從步驟六中得到可能打斷BGP連接的攻擊流量和BGP鏈路帶寬參數(shù)后，在該范圍內(nèi)進(jìn)行精確測(cè)試，得到具體打斷所需時(shí)間和參數(shù)。