◆鄭映璇

NS2網(wǎng)絡(luò)抵御DDoS攻擊的校園網(wǎng)安全模型建構(gòu)

◆鄭映璇

（廣東省汕頭市澄海職業(yè)技術(shù)學(xué)校 廣東 515800）

校園網(wǎng)包含了校園內(nèi)網(wǎng)與校園外網(wǎng)。校園內(nèi)網(wǎng)主要包含圖書館、教學(xué)局域網(wǎng)等，而校園外網(wǎng)則負(fù)責(zé)供應(yīng)對(duì)外服務(wù)以及互聯(lián)網(wǎng)接入等。依照校園網(wǎng)的基本特征，其安全性往往屢受威脅，因此，探討其安全管控顯得尤為重要。本文主要探討NS2網(wǎng)絡(luò)抵御DDoS攻擊的校園網(wǎng)安全模型建構(gòu)方略，為降低校園網(wǎng)絡(luò)被DDoS攻擊的可能性提供若干有益的參考。

校園網(wǎng)；NS2網(wǎng)絡(luò)；DDoS攻擊；網(wǎng)絡(luò)安全；安全模型

在大數(shù)據(jù)時(shí)代，校園網(wǎng)安全方面的需求愈發(fā)增加，在不改變既有數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用軟件的前提下，始終確保校園網(wǎng)平穩(wěn)運(yùn)行，已經(jīng)成為校園網(wǎng)建設(shè)和運(yùn)營(yíng)所面臨的重大課題，同時(shí)也是網(wǎng)絡(luò)安全管理的重要目標(biāo)。通過(guò)NS2建構(gòu)一個(gè)可以把PKI技術(shù)成功植入VPN的網(wǎng)絡(luò)安全模型，已逐步地削弱校園網(wǎng)被DDoS的攻擊所帶來(lái)的不良影響，進(jìn)而使網(wǎng)絡(luò)安全維持在可控區(qū)間。

1 校園網(wǎng)所面對(duì)的安全威脅之類型

1.1 內(nèi)部用戶攻擊

伴隨校園網(wǎng)絡(luò)的廣泛運(yùn)用，校園網(wǎng)節(jié)點(diǎn)數(shù)目也在以成倍速度增加。假若校園網(wǎng)節(jié)點(diǎn)無(wú)法做到安全防護(hù)，那么病毒泛濫、數(shù)據(jù)損壞、信息丟失以及系統(tǒng)出現(xiàn)bug等安全威脅就會(huì)在所難免。

1.2 被計(jì)算機(jī)蠕蟲所侵襲

校園網(wǎng)同互聯(lián)網(wǎng)互聯(lián)，以此更高效地享受到便利快速的服務(wù)。一旦遭遇計(jì)算機(jī)蠕蟲的侵襲，那么互聯(lián)網(wǎng)的安全性就得不到保障，所面臨的安全風(fēng)險(xiǎn)也會(huì)隨之加劇。

1.3 計(jì)算機(jī)系統(tǒng)自身存在bug隱患

計(jì)算機(jī)系統(tǒng)的安全漏洞往往不易察覺(jué)，網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器、操作系統(tǒng)、防火墻以及TCP/IP協(xié)議等，均可能使未得到授權(quán)權(quán)限的用戶輕而易舉地訪問(wèn)系統(tǒng)，進(jìn)而損壞系統(tǒng)本身的安全性。

1.4 校園網(wǎng)內(nèi)部用戶存在網(wǎng)絡(luò)資源的濫用問(wèn)題

校園網(wǎng)由于遭遇網(wǎng)絡(luò)外部侵襲以及惡性攻擊等隱患，那么當(dāng)校園網(wǎng)絡(luò)內(nèi)部某一臺(tái)計(jì)算機(jī)遇有外部攻擊后，網(wǎng)絡(luò)黑客就會(huì)以此作為接續(xù)攻擊校園網(wǎng)絡(luò)的“突破口”，產(chǎn)生的后果就是校園網(wǎng)的攻擊范圍不斷擴(kuò)大，嚴(yán)重危及正常的網(wǎng)絡(luò)運(yùn)行安全。除此以外，諸如娛樂(lè)資源、共享系統(tǒng)等校園網(wǎng)內(nèi)部用戶極有可能會(huì)把木馬、蠕蟲等惡性病毒帶入校園網(wǎng)內(nèi)。這一風(fēng)險(xiǎn)不僅表現(xiàn)于此，還能經(jīng)由傳播不良信息或者垃圾郵件的方式呈現(xiàn)出來(lái)。

2 DDoS攻擊的層次和分類

DDoS攻擊又被稱作分布式拒絕服務(wù)攻擊，作為一種協(xié)同性強(qiáng)、分布范圍廣的拒絕服務(wù)之攻擊模式，其攻擊的主要對(duì)象往往鎖定在大型商業(yè)集團(tuán)公司的站點(diǎn)、重大職能機(jī)關(guān)的官方網(wǎng)站以及搜索引擎熱度相對(duì)活躍的站點(diǎn)等。攻擊特征集中表現(xiàn)在，常會(huì)對(duì)某一臺(tái)單機(jī)展開(kāi)密集式地攻擊，每攻擊一臺(tái)，就可以達(dá)成1個(gè)modem，DDoS攻擊則能借助對(duì)批量受控的“僵尸機(jī)”，以此作為對(duì)另一臺(tái)計(jì)算機(jī)展開(kāi)攻擊，所以說(shuō)，這種DDoS攻擊對(duì)于網(wǎng)絡(luò)系統(tǒng)的破壞性是相當(dāng)大的。DDoS攻擊可劃分為三個(gè)層次：其一是攻擊者層，其二是攻擊機(jī)層，其三則是主控端層。這三類攻擊所發(fā)揮的影響不盡相同。在當(dāng)今大數(shù)據(jù)技術(shù)迅速發(fā)展的歷史節(jié)點(diǎn)，DDoS攻擊已是影響網(wǎng)絡(luò)安全最為突出的問(wèn)題之一，究其原因，在于DDoS攻擊擁有實(shí)施起來(lái)易得手、多元性、分布化、資源眾多、IP偽造等特征，如今已轉(zhuǎn)移至基礎(chǔ)設(shè)施領(lǐng)域，其破壞性較強(qiáng)，往往很難恢復(fù)。

DDoS攻擊的類別有兩大類：直接型DDoS攻擊以及反射型DDoS攻擊。前者主要指攻擊方借助攻擊機(jī)，把海量攻擊數(shù)據(jù)包直接發(fā)給所攻擊的目標(biāo)，經(jīng)由這些數(shù)據(jù)包達(dá)成攻擊目標(biāo)對(duì)象的目的；后者則是指攻擊方把海量需回應(yīng)的，而源地址已被攻擊方偽造為受害方IP地址的數(shù)據(jù)包向反射主機(jī)上發(fā)送過(guò)去，造成受害主機(jī)之網(wǎng)絡(luò)鏈接發(fā)生堵塞。從技術(shù)層面看，當(dāng)前已經(jīng)有了應(yīng)對(duì)DDoS攻擊的防御方案，為探尋全新良方，研究者還要在防御、檢測(cè)以及追蹤等方面展開(kāi)必要的專業(yè)探討。

3 采用NS2網(wǎng)絡(luò)抵御DDoS攻擊的校園網(wǎng)模型設(shè)計(jì)和實(shí)現(xiàn)

3.1 擴(kuò)展NS2

作為一類面向?qū)ο蟮木W(wǎng)絡(luò)模擬器，NS2自身包括了一個(gè)全新的虛擬化時(shí)鐘，這主要是由離散事件完成驅(qū)動(dòng)全部的模擬。在開(kāi)展網(wǎng)絡(luò)模擬之前，需嚴(yán)密探析模擬所牽涉的層次。通常主要有下面兩個(gè)層次：其一是基于OTcl編程層次之分析；其二則是基于OTcl和C++編程層次之分析。在這項(xiàng)設(shè)計(jì)中，NS2的擴(kuò)展化設(shè)計(jì)往往會(huì)將焦點(diǎn)放在對(duì)若干對(duì)NS2模擬器展開(kāi)相應(yīng)的修改和擴(kuò)展上，以便滿足模擬的需求，達(dá)至加快模擬速度的目的，進(jìn)而提高模擬結(jié)果的精準(zhǔn)度。NS2模擬器要實(shí)現(xiàn)擴(kuò)展，通常遵循下列流程：其一是將其定義成C++類，或者直接繼承C++類，并編寫該類協(xié)議算法和成員函數(shù)；其二重新定義與“TCL”有關(guān)聯(lián)的變量和類型，并把C++代碼捆綁到“TCL”上；最后一個(gè)流程要對(duì)makefile文件完成恰當(dāng)?shù)男薷暮驮俣染幾g，使其變成“ns.exe”文件。

3.2 將PKI植入VPN

這項(xiàng)設(shè)計(jì)要成功獲取一個(gè)“增強(qiáng)型VPN”，以此重新架構(gòu)校園完全網(wǎng)絡(luò)，要順利完成其植入，需要經(jīng)歷如下步驟：首先，把存有海量數(shù)據(jù)的服務(wù)器放置在服務(wù)器專用網(wǎng)絡(luò)上，確保該服務(wù)器同其他相關(guān)網(wǎng)絡(luò)的物理隔離，防范工具之使用掃描到服務(wù)器自身的地址和端口，未授權(quán)的用戶和攻擊者均不能進(jìn)入這一專用網(wǎng)絡(luò)內(nèi)部肆意改動(dòng)信息，以確保信息之完整性和有效性。其次，VPN網(wǎng)關(guān)在設(shè)置時(shí)要同步與內(nèi)網(wǎng)和外網(wǎng)之網(wǎng)關(guān)相關(guān)聯(lián)，進(jìn)而保證用戶打破地域局限而正常訪問(wèn)校園網(wǎng)，前提是這些用戶須合法。若要實(shí)現(xiàn)對(duì)服務(wù)器海量數(shù)據(jù)的訪問(wèn)，則要通過(guò)服務(wù)器和VPN網(wǎng)關(guān)搭建其專門化的連接。再次，把PKI技術(shù)植入VPN，這樣會(huì)讓全體用戶均能經(jīng)由侵入檢測(cè)系統(tǒng)或認(rèn)證VPN網(wǎng)關(guān)來(lái)實(shí)現(xiàn)訪問(wèn)服務(wù)器的目的，當(dāng)然，在這一環(huán)節(jié)中，尚未取得授權(quán)的用戶是無(wú)法正常訪問(wèn)的。除此以外，VPN主機(jī)自身似乎并不需要持續(xù)開(kāi)啟那些用不到的服務(wù)與端口，完全可以選擇將其關(guān)閉，并通過(guò)市場(chǎng)上所提供的最新補(bǔ)丁程序來(lái)增強(qiáng)通信信息之完整性和安全性。最后，在傳輸海量數(shù)據(jù)的過(guò)程中，為有效防范數(shù)據(jù)被惡意修改、攔截、偽造等問(wèn)題的發(fā)生，基于VPN技術(shù)的IPSec安全協(xié)議能夠給海量數(shù)據(jù)在傳輸途中保駕護(hù)航，進(jìn)而有力地提升了信息的可控性。

3.3 DDoS攻防模擬系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)

在這項(xiàng)設(shè)計(jì)中，整個(gè)模擬系統(tǒng)軟件主要包含用戶參數(shù)的配置、分析變換、DDoS攻防模擬與顯示等數(shù)項(xiàng)內(nèi)容。從整個(gè)視角看，該模擬系統(tǒng)的中心環(huán)節(jié)，就是模擬部分，而該系統(tǒng)的性能同樣取決于自身的運(yùn)行效率。模擬的模塊可劃分為若干部分，主要包含有攻擊、防御、追蹤以及NS2網(wǎng)絡(luò)環(huán)境模擬子模塊，前三個(gè)模塊均可經(jīng)由NS2模擬器的擴(kuò)展來(lái)完成既定功能。依照設(shè)計(jì)模塊之需求，把DDoS攻擊又可細(xì)化為“主機(jī)資源型”以及“網(wǎng)絡(luò)資源消耗型”等，所謂“攻防模擬實(shí)驗(yàn)”就是成功模擬了這兩種攻擊類型。事實(shí)上，在不同強(qiáng)度的形勢(shì)下攻擊，往往會(huì)發(fā)生截然不同的網(wǎng)絡(luò)狀態(tài)變化結(jié)果，譬如在模擬主機(jī)資源型攻擊時(shí)，DDoS攻防經(jīng)過(guò)即可原汁原味地呈現(xiàn)出來(lái)，進(jìn)而有助于最終網(wǎng)絡(luò)安全模型之順利建構(gòu)。

4 結(jié)束語(yǔ)

在大數(shù)據(jù)技術(shù)日新月異的今天，校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題已被提上議事日程。通常情形下，校園網(wǎng)所面對(duì)的安全威脅之類型相對(duì)多樣，既有內(nèi)部又有外部，而且DDoS攻擊的層次和分類亦呈現(xiàn)多元化之態(tài)勢(shì)。鑒于此，要扎根于技術(shù)攻關(guān)，設(shè)計(jì)并實(shí)現(xiàn)基于NS2網(wǎng)絡(luò)抵御DDoS攻擊，還系統(tǒng)一個(gè)平穩(wěn)運(yùn)作的環(huán)境。

[1]徐文遠(yuǎn). 面向DDoS的高性能網(wǎng)絡(luò)模擬技術(shù)研究[D].江南大學(xué)，2016，3（19）：64.

[2]林曉東.基于NS2網(wǎng)絡(luò)抵御DDoS攻擊的校園網(wǎng)安全模型設(shè)計(jì)研究[J].電腦編程技巧與維護(hù)，2015，10（14）：90-91+108.

[3]靳娜. DDoS攻擊下的數(shù)據(jù)包標(biāo)記優(yōu)化方案的研究[D].電子科技大學(xué)，2013，17（3）：19-20.

[4]王偉.基于NS2網(wǎng)絡(luò)仿真防御DDoS攻擊研究[J].長(zhǎng)江大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，9（07）：114-116.

[5]王忠民.基于統(tǒng)計(jì)分析的DDoS攻擊檢測(cè)的研究[D].燕山大學(xué)，2012，20（11）：30-32.