【導(dǎo)讀】對本文的研究做出重要貢獻(xiàn)的個人和集體均已在文中以明確方式標(biāo)明。本人完全意識到本聲明的法律結(jié)果由本人承擔(dān)。在原有的BGP路由協(xié)議基礎(chǔ)上，從提高安全性和網(wǎng)速入手，進(jìn)行修補(bǔ)和完善，結(jié)果用OPNET仿真，具體要求如下：。介紹BGP的OPENT仿真的結(jié)構(gòu)框架；第7學(xué)期的寒假，查文獻(xiàn)，熟悉BGP與OPENT軟件包的應(yīng)用；第8學(xué)期的第1周，系統(tǒng)的分析BGP各個模塊，寫好概要設(shè)計和詳細(xì)計劃；第3-4周，初步完成仿真，進(jìn)一步補(bǔ)充畢業(yè)論文內(nèi)容；第5周，進(jìn)行程序結(jié)果的測試；密切聯(lián)系本組設(shè)計成員及畢業(yè)設(shè)計指導(dǎo)導(dǎo)師，尋求有關(guān)畢業(yè)設(shè)計信息，確定設(shè)計課題方向與設(shè)計內(nèi)容；充分利用圖書館和網(wǎng)絡(luò)查閱相關(guān)資料，廣泛獲取必要的知識，了解最新研究動態(tài)。

　　

【正文】 目的是為了防止主域名服務(wù)器因意外故障變得不可用時影響到全局。一般來說，DNS區(qū)域傳送操作只在網(wǎng)絡(luò)里真的有后備域名DNS服務(wù)器時才有必要執(zhí)行，但許多DNS服務(wù)器卻被錯誤地配置成只要有人發(fā)出請求，就會向?qū)Ψ教峁┮粋€zone數(shù)據(jù)庫的拷貝。如果所提供的信息，只是與連到因特網(wǎng)上且具備有效主機(jī)名的系統(tǒng)相關(guān)，那么這種錯誤配置不一定是壞事，盡管這使得攻擊者發(fā)現(xiàn)潛在目標(biāo)要容易得多。真正的問題發(fā)生在一個單位沒有使用公用/私用DNS機(jī)制，來分割外部公用DNS信息和內(nèi)部私用DNS信息的時候，此時內(nèi)部主機(jī)名和IP地址都暴露給了攻擊者。把內(nèi)部IP地址信息提供給因特網(wǎng)上不受信任的用戶，就像是把一個單位的內(nèi)部網(wǎng)絡(luò)完整藍(lán)圖或?qū)Ш綀D奉送給了別人。對系統(tǒng)管理員來說，允許不受信任的因特網(wǎng)用戶執(zhí)行DNS區(qū)域傳送（zone transfer）操作，是后果最為嚴(yán)重的錯誤配置之一。DNS的設(shè)計被發(fā)現(xiàn)可攻擊的漏洞，攻擊者可透過偽裝DNS主要服務(wù)器的方式，引導(dǎo)使用者進(jìn)入惡意網(wǎng)頁，以釣魚方式取得信息，或者植入惡意程序。IOActive的安全研究員Dan Kaminsky揭露了一個DNS安全漏洞，由于這是基于DNS本身的設(shè)計而造成的安全漏洞，Kaminsky在自己的部落格上這樣寫著：現(xiàn)在放出的修補(bǔ)程序雖然有辦法讓攻擊難度提高個幾千倍，但是還是無法從根本上解決這個問題。惡意攻擊者將有辦法透過這個漏洞來假冒DNS主要服務(wù)器（DNS Master Server），將使用者導(dǎo)向惡意攻擊者假冒的網(wǎng)頁。由于使用者端輸入的網(wǎng)址是正確的，所以使用者會在毫無警覺性的狀況下誤入惡意網(wǎng)站，因而泄漏出各種個人數(shù)據(jù)，或是直接在假冒的網(wǎng)頁被植入木馬或是其它惡意程序。2008年9月安全專家發(fā)出警告稱，互聯(lián)網(wǎng)核心路由協(xié)議—邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）存在一個安全漏洞，這是繼DNS漏洞后曝出的第二個互聯(lián)網(wǎng)嚴(yán)重漏洞。在Defcon安全大會的一次演講中，安全專家Alex Pilosov和Tony Kapela演示了如何利用BGP協(xié)議中的漏洞來發(fā)起攻擊。通過BGP協(xié)議，信息可以在網(wǎng)絡(luò)中不同的自治域之間進(jìn)行交互。為了實現(xiàn)這個目的，BGP維護(hù)著一個可用IP網(wǎng)絡(luò)的路由表，并且能夠為互聯(lián)網(wǎng)通信發(fā)現(xiàn)最有效路由。在他們的講座中，Pilosov和Kapela演示了一個用戶的BGP通信如何被劫持和重定向，這足以說明以前被認(rèn)為非常安全的通信也可以被中途截取。這兩名安全專家演示了一個中間人（maninthemiddle）攻擊，數(shù)據(jù)包中的存活時間（TTL）信息迅速被修改，從而欺騙路由器將信息重定向到攻擊者的網(wǎng)絡(luò)中。這種攻擊不易被人發(fā)覺，因為數(shù)據(jù)包被修改的TTL值，有效的隱藏了進(jìn)行劫持行為的IP設(shè)備。市場研究機(jī)構(gòu)Canalys的高級分析師Andy Buss表示，早在10年前人們就知道在BGP中存在這個問題。Buss表示，早在1998年，信息安全專家Peiter Mudge Zatko在參議院對政府事務(wù)進(jìn)行聽證的時候就警告稱，黑客可以利用BGP協(xié)議發(fā)起攻擊。Buss表示，“整個互聯(lián)網(wǎng)架構(gòu)是建立在信任的基礎(chǔ)上，而這是互聯(lián)網(wǎng)本身一個非常嚴(yán)重的問題，互聯(lián)網(wǎng)架構(gòu)不再安全了?！盉uss表示，BGP安全問題只能由互聯(lián)網(wǎng)服務(wù)提供商來解決?！耙话銇碚f，只有運(yùn)營商才使用BGP協(xié)議，它們需要嚴(yán)格的管理BGP設(shè)置，好的ISP們應(yīng)該只允許通過認(rèn)證的服務(wù)器來宣布改動，但是那意味著信任鏈中的每一個人都要參與進(jìn)來。最簡單的緩解方法是ISP商監(jiān)控它們的地址空間，并且通過黑白名單來監(jiān)視誰在與BGP建立對端通信”。2 網(wǎng)絡(luò)仿真 什么是OPENT信息時代的到來，使網(wǎng)絡(luò)的規(guī)模和結(jié)構(gòu)變得越來越復(fù)雜。無論是升級現(xiàn)有網(wǎng)絡(luò)、還是搭建新的網(wǎng)絡(luò)、或是測試新的協(xié)議都需要對網(wǎng)絡(luò)的性能進(jìn)行有效而客觀的評估。這些要求使得網(wǎng)絡(luò)仿真技術(shù)已經(jīng)逐漸成為網(wǎng)絡(luò)規(guī)劃、設(shè)計和開發(fā)中的主流技術(shù)。仿真就是采用模型來再現(xiàn)真實情況。模型是系統(tǒng)、過程或現(xiàn)象的物理的、數(shù)學(xué)的或其他邏輯的表達(dá)。網(wǎng)絡(luò)仿真的產(chǎn)生背景：隨著網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)模越來越復(fù)雜化以及網(wǎng)絡(luò)的應(yīng)用越來越多樣化，單純地依靠經(jīng)驗進(jìn)行網(wǎng)絡(luò)的規(guī)劃和設(shè)計、網(wǎng)絡(luò)設(shè)備的研發(fā)以及網(wǎng)絡(luò)協(xié)議的開發(fā)，已經(jīng)不能適應(yīng)網(wǎng)絡(luò)的發(fā)展，因而急需一種科學(xué)的手段來反映和預(yù)測網(wǎng)絡(luò)的性能，網(wǎng)絡(luò)仿真技術(shù)應(yīng)運(yùn)而生。網(wǎng)絡(luò)仿真的意義：有效提高網(wǎng)絡(luò)規(guī)劃和設(shè)計的可靠性和準(zhǔn)確性，明顯地降低網(wǎng)絡(luò)投資風(fēng)險，較少不必要的投資浪費(fèi)。OPNET就是一個網(wǎng)絡(luò)仿真技術(shù)軟件包，它能夠準(zhǔn)確的分析復(fù)雜網(wǎng)絡(luò)的性能和行為，在網(wǎng)絡(luò)模型中的任意位置都可以插入標(biāo)準(zhǔn)的或用戶指定的探頭，以采集數(shù)據(jù)和進(jìn)行統(tǒng)計。通過探頭得到的仿真輸出可以以圖形化顯示、數(shù)字方式觀察、或者輸出到第三方的軟件包去。其產(chǎn)品結(jié)構(gòu)有三個模塊組成，能為用戶提供一系列的仿真模型庫，在電信、軍事、航天航空、系統(tǒng)集成、咨詢服務(wù)、大學(xué)、行政機(jī)關(guān)等方面被廣泛應(yīng)用。： OPNET界面 OPNET Modeler的主要特性216。 層次化的網(wǎng)絡(luò)模型。使用無限嵌套的子網(wǎng)來建立復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。216。 簡單明了的建模方法。Modeler建模過程分為3個層次：過程（process）層次、節(jié)點(diǎn)（Node）層次以及網(wǎng)絡(luò)（Network）層次。在過程層次模擬單個對象的行為，在節(jié)點(diǎn)層次中將其互連成設(shè)備，在網(wǎng)絡(luò)層次中將這些設(shè)備互連組成網(wǎng)絡(luò)。幾個不同的網(wǎng)絡(luò)場景組成“項目”，用以比較不同的設(shè)計方案。這也是Modeler建模的重要機(jī)制，這種機(jī)制有利于項目的管理和分工。有限狀態(tài)機(jī)。在過程層次使用有限狀態(tài)機(jī)，來對協(xié)議和其他過程進(jìn)行建模。在有限狀態(tài)機(jī)的狀態(tài)和轉(zhuǎn)移條件中，使用C/C++語言對任何過程進(jìn)行模擬。用戶可以隨心所欲地控制仿真的詳細(xì)程度。有限狀態(tài)機(jī)加上標(biāo)準(zhǔn)的C/C++，以及OPNET本身提供的400多個庫函數(shù)，構(gòu)成了Modeler編程的核心。OPNET稱這個集合為Proto C語言。216。 對協(xié)議編程的全面支持。支持400多個庫函數(shù)以及書寫風(fēng)格簡潔的協(xié)議模型。OPNET的核心已經(jīng)嵌入了眾多協(xié)議，因此對于很多協(xié)議，無需進(jìn)行額外的編程。216。 系統(tǒng)的完全開放性。Modeler中源碼全部開放，用戶可以根據(jù)自己的需要添加、修改已有的源碼。216。 高效的仿真引擎。使用Modeler進(jìn)行開發(fā)的仿真平臺，使仿真的效率相當(dāng)高。集成的分析工具。Modeler仿真結(jié)果的顯示界面十分友好，可以輕松刻畫和分析各種類型的曲線，也可將曲線導(dǎo)出到電子表格中。216。 動畫。Modeler可以在仿真中或仿真后顯示模型行為的動畫，使得仿真平臺具有很好的演示效果。216。 集成調(diào)試器。快速地驗證仿真或發(fā)現(xiàn)仿真中存在的問題，OPNET本身有自己的調(diào)試工具—OPNET Debugger（ODB）。另外，OPNET在Windows平臺下還支持和編程語言VC的聯(lián)合調(diào)試。 OPNET Modeler建模216。 確定模型需要解決的問題，即建模目的216。 模型設(shè)計216。 設(shè)置仿真參數(shù)以及條件，運(yùn)行仿真，查看并分析結(jié)果216。 發(fā)布結(jié)果 OPNET Modeler進(jìn)行仿真的流程216。 配置網(wǎng)絡(luò)拓?fù)洌╰opology）216。 配置業(yè)務(wù)（traffic）216。 收集結(jié)果統(tǒng)計量（statistics）216。 運(yùn)行仿真（simulation)216。 調(diào)試模塊再次仿真（resimulation）216。 最后發(fā)布結(jié)果和拓?fù)鋱蟾妫╮eport） 幾個基本概念項目（Project）和場景（Scenario）一個項目說白了就是一組仿真環(huán)境，一個場景就是其中的一個仿真環(huán)境。場景是網(wǎng)絡(luò)的一個實例，一種配置，具體來說就是拓?fù)浣Y(jié)構(gòu)、協(xié)議、應(yīng)用、流量以及仿真配置。在Modeler仿真時，最高層次永遠(yuǎn)是一個項目，每個項目底下至少包含一個仿真場景，代表網(wǎng)絡(luò)模型，它是具體的網(wǎng)絡(luò)仿真環(huán)境配置。項目的提出初衷是方便對不同的仿真結(jié)果進(jìn)行比較。項目提供場景復(fù)制功能，可以對場景進(jìn)行備份，通過改變新場景的參數(shù)運(yùn)行仿真來測試系統(tǒng)各方面的功能及是否存在瓶頸。子網(wǎng)（Subnet）OPNET 子網(wǎng)和TCP/IP 的子網(wǎng)不是同一個概念。OPNET 的子網(wǎng)是將網(wǎng)絡(luò)中的一些元素抽象到一個對象中去。子網(wǎng)可以是固定子網(wǎng)、移動子網(wǎng)或者衛(wèi)星子網(wǎng)。子網(wǎng)不具備 任何行為。只是為了表示大型網(wǎng)絡(luò)而提出的一個邏輯實體。用一個簡單的例子來說明，如運(yùn)營商的骨干網(wǎng)，例如把骨干網(wǎng)的所有路由器放到一個視圖里，肯定會十分凌亂，不如按照省份將同一省份的路由器都放到同一個子網(wǎng)中，然后以省份的名稱來命名每個子網(wǎng)的名字，構(gòu)建成的網(wǎng)絡(luò)看上去就會比較有條理。節(jié)點(diǎn)（Node）節(jié)點(diǎn)通常被看作設(shè)備或資源，由支持相應(yīng)處理能力的硬件和軟件共同組成。數(shù)據(jù)在其中生成、傳輸、接收并被處理。Modeler 包括三種類型的節(jié)點(diǎn)：第一種為固定節(jié)點(diǎn)，例如路由器、交換機(jī)、工作站、服務(wù)器等都屬于固定節(jié)點(diǎn)。第二種為移動節(jié)點(diǎn)，例如移動臺、車載通信系統(tǒng)等都是移動節(jié)點(diǎn)。第三種為衛(wèi)星節(jié)點(diǎn)，顧名思義是代表衛(wèi)星。每種節(jié)點(diǎn)所支持的屬性不盡相同，如移動節(jié)點(diǎn)支持三維或二維的移動詭計，衛(wèi)星節(jié)點(diǎn)支持衛(wèi)星軌道。鏈路（Link） 相對固定節(jié)點(diǎn)、移動節(jié)點(diǎn)以及衛(wèi)星節(jié)點(diǎn)，鏈路也有不同的類型，有點(diǎn)對點(diǎn)的鏈路、總線鏈路以及無線鏈路。點(diǎn)對點(diǎn)的鏈路在兩個固定節(jié)點(diǎn)之間傳輸數(shù)據(jù)；總線鏈路是一個共享媒體，在多個節(jié)點(diǎn)之間傳輸數(shù)據(jù)。無線鏈路是在仿真中動態(tài)建立的，可以在任何的無線收發(fā)信機(jī)之間建立。衛(wèi)星和移動節(jié)點(diǎn)必須通過無線鏈路來進(jìn)行通信，而固定節(jié)點(diǎn)除了有線鏈路外，也可以通過無線鏈路來建立通信連接。 仿真目的掌握BGP協(xié)議的工作原理 掌握OPENT仿真BGP協(xié)議的方法對網(wǎng)絡(luò)收斂性，進(jìn)行仿真分析有無路由策略對網(wǎng)絡(luò)的影響路由協(xié)議網(wǎng)絡(luò)收斂性是指路由域中所有路由器對當(dāng)前的網(wǎng)絡(luò)結(jié)構(gòu)和路由轉(zhuǎn)發(fā)達(dá)成一致的狀態(tài)。收斂時間是指從網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化到網(wǎng)絡(luò)上所有的相關(guān)路由器都得知這一變化，并且相應(yīng)的做出改變所需要的時間。 協(xié)議開銷是指網(wǎng)絡(luò)節(jié)點(diǎn)為了獲得路由信息所引入更新網(wǎng)絡(luò)狀態(tài)信息的通信開銷，它隨網(wǎng)絡(luò)規(guī)模的擴(kuò)大而增加，觸發(fā)狀態(tài)信息更新發(fā)布策略與QOS路由性能密切相關(guān)。此外，網(wǎng)絡(luò)拓?fù)浜土髁糠植紝f(xié)議開銷也有一定的影響。 時延定義了一個IP包穿越一個或多個網(wǎng)段所經(jīng)歷的時間。時延由固定時延和可變時延兩部分組成。固定時延基本不變，由傳播時延和傳輸時延構(gòu)成；可變時延由中間路由器處理時延和排隊等待時延兩部分構(gòu)成。 模型搭建當(dāng)創(chuàng)建一個新的網(wǎng)絡(luò)模型，您必須先創(chuàng)建一個新的項目（project）和方案（scenario）。項目是相關(guān)方案的組合，他們探索網(wǎng)絡(luò)的不同方面。項目可以包含多個的情景。當(dāng)你創(chuàng)建一個新的項目，您可以使用啟動向?qū)В⊿tartup Wizard）建立一個新的方案。向?qū)е械倪x項可以讓你：216。 定義初始（initial）拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)216。 定義網(wǎng)絡(luò)的規(guī)模（scale）和大小216。 選擇網(wǎng)絡(luò)的背景地圖216。 在這方案下關(guān)聯(lián)一個對象的調(diào)色板（palette）要使用該啟動向?qū)Ы⒁粋€新的方案，做執(zhí)行以下操作：　　　　　　　　　　　　　　　　　　　1）Modeler是不是已經(jīng)在運(yùn)行，啟動它。2）選擇 filenew3）從下拉菜單中選擇項目（project），然后點(diǎn)擊OK。4）將項目和方案命名，具體如下：216。 項目命名216。 方案命名216。 點(diǎn)擊ok————————→啟動向?qū)ч_啟啟動向?qū)У膶υ捒蜉斎胱约合胍O(shè)置的值。打開調(diào)色選項板，將我們需要的節(jié)點(diǎn)模型、鏈路模型和子網(wǎng)模型拖動到工作區(qū)。將我們的節(jié)點(diǎn)模型和子網(wǎng)模型，根據(jù)我們所需要的拓?fù)浣Y(jié)構(gòu)，用光纜線連接起來。我們搭建好網(wǎng)絡(luò)結(jié)構(gòu)之后，我們需要添加配置對象來確定的應(yīng)用程序的流量將存在于網(wǎng)絡(luò)。配置應(yīng)用程序定義和配置文件定義的對象是復(fù)雜的，所以沒有必要做這些任務(wù)。我們只需要將Application Config 和Profile Config拖動對象到您的網(wǎng)絡(luò)。這樣做意味著工作站所造成的流量，在低利率將訪問數(shù)據(jù)庫進(jìn)行建模。： 最終的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)3 統(tǒng)計結(jié)果分析 收集統(tǒng)計信息我們已經(jīng)知道要對網(wǎng)絡(luò)的收斂性，吞吐量進(jìn)行分析，那么接下來我們就要收集統(tǒng)計信息了，步驟如下：添加路由協(xié)議收斂性：場景空間空白處右鍵單擊，在彈出菜單中選擇“Choose Individual DES Statistics”在彈出窗口中選擇BGP協(xié)議統(tǒng)計量，： 選擇BGP協(xié)議統(tǒng)計量在彈出窗口中選擇鏈路統(tǒng)計量。 鏈路統(tǒng)計量 BGP路由協(xié)議收斂仿真結(jié)果分析 收斂性分析由于收斂時間與仿真時間相差很大，需要截取指定時間范圍來觀察收斂效果。右擊鼠標(biāo)左鍵，選擇“Edit Panel Properties”，我們可以通過設(shè)置水平坐標(biāo)的范圍來更好的觀察路由收斂時間：右擊鼠標(biāo)左鍵，選擇“Edit Panel Properties”，我們可以通過設(shè)置水平坐標(biāo)的范圍來更好的觀察路由收斂時間：時間范圍（1m1m50s）設(shè)置完成后，： 時間范圍 BGP收斂仿真圖形 Convergence Activity圖中的橫軸代表時間，以秒為單位，縱軸代表協(xié)議收斂活動，y坐標(biāo)值為1表示有收斂活動，y坐標(biāo)值為0表示沒有收斂活動。，第一根線的網(wǎng)絡(luò)收斂開始于1分10秒，第二根線的網(wǎng)絡(luò)收斂開始于1分40秒。因為路由協(xié)議網(wǎng)絡(luò)收斂性，是指路由域中所有路由器，對當(dāng)前的網(wǎng)絡(luò)結(jié)構(gòu)和路由轉(zhuǎn)發(fā)達(dá)成一致的狀態(tài)。收斂時間是指從網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化，到網(wǎng)絡(luò)上所有的相關(guān)路由器都得知這一變化，并且相應(yīng)的做出改變所需要的時間。，使得域內(nèi)所有的路由器的路由表進(jìn)行了更新而發(fā)生的路由收斂，在數(shù)據(jù)包傳送的過程中，1分40秒時，我們改變了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，比如斷開域內(nèi)的某根線，之后域內(nèi)所以的路由器都得知這一變化，并及時更新了自己的路由表，所以發(fā)生了收斂。 BGP協(xié)議如何避免環(huán)路的發(fā)生當(dāng)路由信息發(fā)送到AS4200，AS4200_Rt4接收后，分別向它的IBGP對等體發(fā)送，我們再看AS4200_Rt1和 AS4200_Rt3跟AS4200_Rt2之間的點(diǎn)對點(diǎn)吞吐量。： 點(diǎn)對點(diǎn)吞吐量我們可以發(fā)現(xiàn)，它們之間并沒有通信量的發(fā)生，因為AS4200_Rt3，AS4200_Rt2，AS