一种基于可编程交换机的洪泛攻击攻防演练方法及装置与流程

本发明涉及互联网，特别是涉及一种基于可编程交换机的洪泛攻击攻防演练方法及装置。

背景技术：

1、现如今，网络攻击正在逐渐变多，网络安全面临严峻的挑战。洪泛攻击作为网络攻击的重要手段，可快速占用被攻击方的各类网络资源，从而阻止正常用户对被攻击方的网络访问。这类攻击方式简单有效，被攻击者大量采用。

2、研究者开发出了各类防御洪泛攻击的手段，应用在各类系统中。为了检验这类系统的效果，各类组织常常会组织攻击演练来测试防御效果。攻击演练是用以评估各类机构网络防御系统的网络安全演习活动。具体实践中，组织者会组织攻防两方，进攻方会对防守方发动网络攻击，检测出防守方的防御能力。洪泛攻击作为重要的攻击手段，被广泛使用。

3、现有的洪泛攻击产生方法多是用编写软件脚本，产生异常流量，再通过主机网卡将异常流量发送到网络中，发起攻击。这类方式的缺点是软件产生异常流量的速度较慢(多为千兆、万兆级)，攻击效率不高。攻击方往往需要同时控制大量的主机进行操作，费时费力。

技术实现思路

1、本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

2、为此，本发明提出一种基于可编程交换机的洪泛攻击攻防演练方法。可编程交换机内部使用了由以太网交换机芯片硬件厂商所定制的可编程交换机芯片，在实现高度灵活的可编程性的同时，也保留了传统交换机对数据包处理快速的特点。其延迟一般在纳秒级，吞吐量可达tbps。其吞吐率是主机传统网卡的千倍以上。使用可编程交换机可大大提升洪泛攻击异常流量的发送速度，实现低成本高难度的网络安全攻击演练。基于可编程交换机设计了可用于洪泛攻击的异常流量生成方法。

3、本发明的另一个目的在于提出一种基于可编程交换机的洪泛攻击攻防演练装置。

4、为达上述目的，本发明一方面提出一种基于可编程交换机的洪泛攻击攻防演练方法，包括：

5、对源主机和目标主机进行数据连接建立；

6、在数据连接建立后分析源主机和目标主机之间基于数据包的洪泛攻击，得到洪泛攻击种类分析结果；

7、获取可编程交换机所有流水线的处理能力值，基于所述处理能力值和所述洪泛攻击种类分析结果进行基于可编程交换机的单流水线洪泛攻击程序设计得到可编程交换机用于洪泛攻击的种子数据包；

8、基于所述用于洪泛攻击的种子数据包和所述可编程交换机所有流水线的处理能力值，对各个流水线入端口的所述种子数据包的种类进行控制，根据种子数据包的种类控制结果以控制所述可编程交换机的每条流水线的洪泛攻击种类。

9、另外，根据本发明上述实施例的基于可编程交换机的洪泛攻击攻防演练方法还可以具有以下附加的技术特征：

10、进一步地，在本发明的一个实施例中，所述在数据连接建立后分析源主机和目标主机之间基于数据包的洪泛攻击，得到洪泛攻击种类分析结果，包括：

11、在源主机和目标主机建立tcp连接过程中，源主机向目标主机发送syn数据包；所述目标主机收到后，向源主机反馈syn ack数据包；

12、当所述源主机不向目标主机反馈ack数据包并重复执行该动作时，即源主机发送tcp syn洪泛攻击；当所述源主机到自己的tcp连接表中查看有没有与ack数据包的发送者建立连接，如果有，则发送ack数据完成tcp连接，如果没有则发送ack rst数据包断开连接；所述源主机通过伪造大量的syn ack数据包发送给目标主机，即源主机发送ack洪泛攻击；以及，

13、基于udp用户数据报协议的源主机和目标主机之间数据包的udp洪泛攻击。

14、进一步地，在本发明的一个实施例中，所述基于处理能力值和所述洪泛攻击种类分析结果进行基于可编程交换机的单流水线洪泛攻击程序设计得到可编程交换机用于洪泛攻击的种子数据包，包括：

15、基于所述可编程交换机所有流水线的处理能力值设计可编程交换机不同的洪泛攻击程序；

16、利用预设的网络语言数据库生成不同的种子数据包；

17、将所述不同的种子数据包发送到可编程交换机入端口，利用不同的洪泛攻击程序使用所述不同的种子数据包，在可编程交换机收到不同的种子数据包后，通过预设的循环移位函数修改当前种子数据包的发送地址；

18、在修改完发送地址后，进入转发流程通过预设的转发方式以实现以最大速率循环发送用于洪泛攻击的种子数据包。

19、进一步地，在本发明的一个实施例中，所述不同的种子数据包，包括tcp syn、tcpsyn ack和udp种子数据包；所述利用不同的洪泛攻击程序使用所述不同的种子数据包，包括：

20、利用第一洪泛攻击程序对应处理所述tcp syn洪泛攻击，并使用tcp syn种子数据包；

21、利用第二洪泛攻击程序对应处理所述ack洪泛攻击，并使用syn ack种子数据包；以及，

22、利用第三洪泛攻击程序对应处理所述udp洪泛攻击，并使用udp种子数据包。

23、进一步地，在本发明的一个实施例中，所述转发方式，包括：

24、监测洪泛攻击程序的控制平面是否转达停止攻击信号，若是，停止后续流程，否则继续后续流程；

25、在种子数据包转发时将当前种子数据包克隆到可编程交换机当前流水线的入管道ingress，使得种子数据包回环，再将当前种子数据包发送到网络中。

26、为达上述目的，本发明另一方面提出一种基于可编程交换机的洪泛攻击攻防演练装置，包括：

27、数据连接建立模块，用于对源主机和目标主机进行数据连接建立；

28、攻击种类分析模块，用于在数据连接建立后分析源主机和目标主机之间基于数据包的洪泛攻击，得到洪泛攻击种类分析结果；

29、流水线程序设计模块，用于获取可编程交换机所有流水线的处理能力值，基于所述处理能力值和所述洪泛攻击种类分析结果进行基于可编程交换机的单流水线洪泛攻击程序设计得到可编程交换机用于洪泛攻击的种子数据包；

30、攻击种类控制模块，用于基于所述用于洪泛攻击的种子数据包和所述可编程交换机所有流水线的处理能力值，对各个流水线入端口的所述种子数据包的种类进行控制，根据种子数据包的种类控制结果以控制所述可编程交换机的每条流水线的洪泛攻击种类。

31、本发明实施例的基于可编程交换机的洪泛攻击攻防演练方法和装置，可大大提升洪泛攻击异常流量的发送速度，实现低成本高难度的网络安全攻击演练。

32、本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

技术特征：

1.一种基于可编程交换机的洪泛攻击攻防演练方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的方法，其特征在于，所述在数据连接建立后分析源主机和目标主机之间基于数据包的洪泛攻击，得到洪泛攻击种类分析结果，包括：

3.根据权利要求2所述的方法，其特征在于，所述基于处理能力值和所述洪泛攻击种类分析结果进行基于可编程交换机的单流水线洪泛攻击程序设计得到可编程交换机用于洪泛攻击的种子数据包，包括：

4.根据权利要求3所述的方法，其特征在于，所述不同的种子数据包，包括tcp syn、tcpsyn ack和udp种子数据包；所述利用不同的洪泛攻击程序使用所述不同的种子数据包，包括：

5.根据权利要求3所述的方法，其特征在于，所述转发方式，包括：

6.一种基于可编程交换机的洪泛攻击攻防演练装置，其特征在于，包括：

7.根据权利要求6所述的装置，其特征在于，所述攻击种类分析模块，还用于：

8.根据权利要求7所述的装置，其特征在于，所述流水线程序设计模块，包括：

9.根据权利要求8所述的装置，其特征在于，所述不同的种子数据包，包括tcp syn、tcpsyn ack和udp种子数据包；所述种子数据包地址修改子单元，还用于：

10.根据权利要求8所述的装置，其特征在于，所述种子数据包转发子单元，还用于：

技术总结
本发明公开了一种基于可编程交换机的洪泛攻击攻防演练方法及装置，该方法包括：对源主机和目标主机进行数据连接建立；分析源主机和目标主机之间基于数据包的洪泛攻击，得到洪泛攻击种类分析结果；获取可编程交换机所有流水线的处理能力值，基于处理能力值和洪泛攻击种类分析结果进行基于可编程交换机的单流水线洪泛攻击程序设计得到可编程交换机用于洪泛攻击的种子数据包；基于可编程交换机所有流水线的处理能力值，对各个流水线入端口的种子数据包的种类进行控制，根据种子数据包的种类控制结果以控制可编程交换机的每条流水线的洪泛攻击种类。本发明可大大提升洪泛攻击异常流量的发送速度，实现低成本高难度的网络安全攻击演练。

技术研发人员：王德志,郭小江,赫卫国,孙财新,潘霄峰,王鸿策,关何格格,郝健强,任晓馗,姚中原,唐建辉,施俊佼,陶羽
受保护的技术使用者：盛东如东海上风力发电有限责任公司
技术研发日：
技术公布日：2024/1/12