本篇論文目錄導航：

【題目】國內互聯網完全問題探究
【第一章】計算機網絡安全防范探析緒論
【第二章】以太網及TCP/IP協議介紹
【第三章】網絡流量分析系統設計
【第四章】網絡安全系統仿真測試與結果分析
【總結/參考文獻】計算機網絡安全防護技術研究總結與參考文獻

第四章 系統仿真測試與結果分析

網絡攻擊的實質是利用網絡協議的漏洞和安全缺陷對網絡系統的硬件、軟件機器系統中的數據進行的攻擊。對于已知攻擊方式，我們可以通過有效的硬件、軟件手段進行防范。

在最近幾年里，網絡攻擊技術和攻擊工具有了新的發展趨勢，隨著攻擊工具越來越復雜、發現安全漏洞越來越快、防火墻滲透率越來越高、自動化和攻擊速度的提高，要求我們對新型網絡攻擊方式有快速的響應能力。

4.1 仿真實驗環境

無論網絡攻擊如何變化，最終的實質是數據包，因此，能夠獲取即時的數據包并加以分析，以此了解網絡漏洞及攻擊方式，便成為了化解網絡攻擊的完美答案。這樣的數據分流設備應具有如下功能：

（1） 識別主流數據報文

（2） 未知報文輸出

（3） 至少達到線路帶寬的網絡吞吐能力

由此，在廣域網出入口通過分光器，將內、外部上、下行數據進行復制，在數據分析設備上按需求方式進行數據分類輸出，以便后臺服務器或 PC 機能夠捕獲數據包并加以分析，以此防范網絡攻擊。所示，分流設備為中興特種 ZXR10 系列數據平臺，其基本功能為：

（1） 靈活的 ACL 規則

（2） 分流流量的負載分擔

（3） 同源同宿

（4） 不修改數據包的數據

（5） VLAN、GRE、GTP、IPV6、MPLS 報文的識別和分流

（6） 未識別報文輸出

（7） 電信級數據處理能力

實驗環境如下所示：

硬件：ZXR10_T64 機架軟件：ZTSD V5.0 版本模擬流量：思博倫 testcenter 測試儀控制及分析設備：聯想 T420 筆記本電腦實驗拓撲如下圖 4.1 所示：

4.2 流量仿真實驗

通過思博倫 testcenter 構造數據包，將其打入 ZXR10 _T64 分流設備，通過分流設備將數據包輸出至后端PC,在PC側用wireshark[20]

網絡數據包分析工具對數據包進行分析，對比 testcenter 所發數據包與 PC 端接收數據包是否一致。

4.2.1 數據流量分流設備

1. TestCenter 構造正常 tcp 數據包，進入專用設備，專用設備通過 acl 規則將流量重定向至 PC 機，PC 機通過 wireshark 數據包分析軟件抓包對比數據包。

2. TestCenter 構造未知報文（非正常 IP 數據包），進入專用設備，專用設備通過未知包輸出規則將流量重定向至 PC 機，PC 機通過 wireshark 數據包分析軟件抓包對比數據包。

4.2.2 仿真實驗配置《正文》×××××

一、測試儀配置實現

（1）構造正常 tcp 數據包配置，如下圖 4.2 所示，mac 地址隨機構造，type 類型 0800,標識下一個字段為 IP;IP 層源 ip 為 192.85.1.2,目的 sip 為 192.0.0.1;傳輸層源端口為 1024,目的端口為 1024,上層為隨機數據。

測試儀構造出的報文如下圖 4.3 所示：

（1） 構造未知報文（非正常 IP 數據包）配置，如下圖 4.4 所示：

此次構造了一個二層為 IEEE 802.3 Ethernet 的包頭，在其 length 字段配置了一個非法長度 768,數據包本身長度為 128 字節，未設置三層 IP,直接設置的數據。從數據包的角度來說，其為一個無法通過以太網數據鏈路的數據包。

數據包詳情如下圖 4.5 所示：

二、中興特種 ZXR10_T64 設備主要配置

4.2.3 仿真結果分析

（1）在配置 acl 1 user-id 1 map-id 1 ip any any type dynamic mode 1 情況下，數據包可以正常被重定向輸出，但未知報文被丟棄，PC 端獲取的正常數據包如圖 4.6 所示：

因配置中的邏輯端口 flowcomb 1 只配置了一個物理端口，所以所有被設備識別的正常數據報文將都通過 PC 端獲取，從上圖中可以看出存在我們設置的正常數據包，但未包含有錯誤IEEE802.3 頭的數據包，符合測試預期。

（2）在上述實驗基礎上增加配置 unknow-flowcomb 1 service 253,發送未知數據包流量，數據包從指定分流組 flowcomb 1 重定向輸出，輸出報文如圖 4.7 所示當配置了未知報文輸出后，未知報文，即錯包將從設備配置的未知報文輸出邏輯端口輸出，而該邏輯端口只包含一個物理端口，所以所有的未知數據報文將從 PC 端獲取。從上圖中可以看出，在配置了未知包輸出命令后，設備可以對無法正常識別的報文進行輸出，而該端口不包含正常的數據包。

4.3 分流算法驗證實驗

本實驗設置輸出端口為 10 個，為驗證算法的正確性，當源 IP 與目的 IP 確定的情況下，根據分流算法，可以計算出輸出端口，然后我們從設備輸出流量端口來驗證算法的正確性。

4.3.1 算法驗證

將分流策略設置為 sip-dip,數據采用 sip 192.85.1.2 dip 192.0.0.1,那么按照 3.3.4 節中所示算法，驗證如下：

4.3.2 仿真配置實現

一、測試儀配置

使用 TestCenter 測試儀構造 tcp 數據流量，sip 為 192.85.1.2 dip 為 192.0.0.1,使用定量發送數據包 1000 個，配置如圖 4.8 所示：

二、中興特種 ZXR10_T64 設備主要配置

（1）輸出端口配置為 10 個

4.3.3 仿真結果分析

通過在后端服務器抓包，數據包在 xgei_5/5 輸出，即 flowcomb 1 的第五個端口，與算法驗證一致，驗證如下圖 4.9 所示：

在圖中可以看出，邏輯端口 flowcomb 1 中的第五個物理端口 xgei_5/5 輸出 1000 個數據包，與實驗預期相符合4.4 本章小結

本章第一節介紹了流量分析系統模型的仿真環境，通過圖示說明此次仿真實驗的測試環境。

本章第二節是對流量分析系統模型的流量通過實驗，通過端口滿速流量輸入正常、非正常數據報文，驗證了設備的抗攻擊性。

本章第三節是對分流算法的驗證，通過對具體實驗流量的 key 值，計算出理論輸出端口，然后通過實驗，驗證理論輸出端口與實際輸出端口是否一致。