NS2网络抵御DDoS攻击的校园网安全模型建构

◆郑映璇

NS2网络抵御DDoS攻击的校园网安全模型建构

◆郑映璇

（广东省汕头市澄海职业技术学校 广东 515800）

校园网包含了校园内网与校园外网。校园内网主要包含图书馆、教学局域网等，而校园外网则负责供应对外服务以及互联网接入等。依照校园网的基本特征，其安全性往往屡受威胁，因此，探讨其安全管控显得尤为重要。本文主要探讨NS2网络抵御DDoS攻击的校园网安全模型建构方略，为降低校园网络被DDoS攻击的可能性提供若干有益的参考。

校园网；NS2网络；DDoS攻击；网络安全；安全模型

在大数据时代，校园网安全方面的需求愈发增加，在不改变既有数据库管理系统、应用软件的前提下，始终确保校园网平稳运行，已经成为校园网建设和运营所面临的重大课题，同时也是网络安全管理的重要目标。通过NS2建构一个可以把PKI技术成功植入VPN的网络安全模型，已逐步地削弱校园网被DDoS的攻击所带来的不良影响，进而使网络安全维持在可控区间。

1 校园网所面对的安全威胁之类型

1.1 内部用户攻击

伴随校园网络的广泛运用，校园网节点数目也在以成倍速度增加。假若校园网节点无法做到安全防护，那么病毒泛滥、数据损坏、信息丢失以及系统出现bug等安全威胁就会在所难免。

1.2 被计算机蠕虫所侵袭

校园网同互联网互联，以此更高效地享受到便利快速的服务。一旦遭遇计算机蠕虫的侵袭，那么互联网的安全性就得不到保障，所面临的安全风险也会随之加剧。

1.3 计算机系统自身存在bug隐患

计算机系统的安全漏洞往往不易察觉，网络结构、服务器、操作系统、防火墙以及TCP/IP协议等，均可能使未得到授权权限的用户轻而易举地访问系统，进而损坏系统本身的安全性。

1.4 校园网内部用户存在网络资源的滥用问题

校园网由于遭遇网络外部侵袭以及恶性攻击等隐患，那么当校园网络内部某一台计算机遇有外部攻击后，网络黑客就会以此作为接续攻击校园网络的“突破口”，产生的后果就是校园网的攻击范围不断扩大，严重危及正常的网络运行安全。除此以外，诸如娱乐资源、共享系统等校园网内部用户极有可能会把木马、蠕虫等恶性病毒带入校园网内。这一风险不仅表现于此，还能经由传播不良信息或者垃圾邮件的方式呈现出来。

2 DDoS攻击的层次和分类

DDoS攻击又被称作分布式拒绝服务攻击，作为一种协同性强、分布范围广的拒绝服务之攻击模式，其攻击的主要对象往往锁定在大型商业集团公司的站点、重大职能机关的官方网站以及搜索引擎热度相对活跃的站点等。攻击特征集中表现在，常会对某一台单机展开密集式地攻击，每攻击一台，就可以达成1个modem，DDoS攻击则能借助对批量受控的“僵尸机”，以此作为对另一台计算机展开攻击，所以说，这种DDoS攻击对于网络系统的破坏性是相当大的。DDoS攻击可划分为三个层次：其一是攻击者层，其二是攻击机层，其三则是主控端层。这三类攻击所发挥的影响不尽相同。在当今大数据技术迅速发展的历史节点，DDoS攻击已是影响网络安全最为突出的问题之一，究其原因，在于DDoS攻击拥有实施起来易得手、多元性、分布化、资源众多、IP伪造等特征，如今已转移至基础设施领域，其破坏性较强，往往很难恢复。

DDoS攻击的类别有两大类：直接型DDoS攻击以及反射型DDoS攻击。前者主要指攻击方借助攻击机，把海量攻击数据包直接发给所攻击的目标，经由这些数据包达成攻击目标对象的目的；后者则是指攻击方把海量需回应的，而源地址已被攻击方伪造为受害方IP地址的数据包向反射主机上发送过去，造成受害主机之网络链接发生堵塞。从技术层面看，当前已经有了应对DDoS攻击的防御方案，为探寻全新良方，研究者还要在防御、检测以及追踪等方面展开必要的专业探讨。

3 采用NS2网络抵御DDoS攻击的校园网模型设计和实现

3.1 扩展NS2

作为一类面向对象的网络模拟器，NS2自身包括了一个全新的虚拟化时钟，这主要是由离散事件完成驱动全部的模拟。在开展网络模拟之前，需严密探析模拟所牵涉的层次。通常主要有下面两个层次：其一是基于OTcl编程层次之分析；其二则是基于OTcl和C++编程层次之分析。在这项设计中，NS2的扩展化设计往往会将焦点放在对若干对NS2模拟器展开相应的修改和扩展上，以便满足模拟的需求，达至加快模拟速度的目的，进而提高模拟结果的精准度。NS2模拟器要实现扩展，通常遵循下列流程：其一是将其定义成C++类，或者直接继承C++类，并编写该类协议算法和成员函数；其二重新定义与“TCL”有关联的变量和类型，并把C++代码捆绑到“TCL”上；最后一个流程要对makefile文件完成恰当的修改和再度编译，使其变成“ns.exe”文件。

3.2 将PKI植入VPN

这项设计要成功获取一个“增强型VPN”，以此重新架构校园完全网络，要顺利完成其植入，需要经历如下步骤：首先，把存有海量数据的服务器放置在服务器专用网络上，确保该服务器同其他相关网络的物理隔离，防范工具之使用扫描到服务器自身的地址和端口，未授权的用户和攻击者均不能进入这一专用网络内部肆意改动信息，以确保信息之完整性和有效性。其次，VPN网关在设置时要同步与内网和外网之网关相关联，进而保证用户打破地域局限而正常访问校园网，前提是这些用户须合法。若要实现对服务器海量数据的访问，则要通过服务器和VPN网关搭建其专门化的连接。再次，把PKI技术植入VPN，这样会让全体用户均能经由侵入检测系统或认证VPN网关来实现访问服务器的目的，当然，在这一环节中，尚未取得授权的用户是无法正常访问的。除此以外，VPN主机自身似乎并不需要持续开启那些用不到的服务与端口，完全可以选择将其关闭，并通过市场上所提供的最新补丁程序来增强通信信息之完整性和安全性。最后，在传输海量数据的过程中，为有效防范数据被恶意修改、拦截、伪造等问题的发生，基于VPN技术的IPSec安全协议能够给海量数据在传输途中保驾护航，进而有力地提升了信息的可控性。

3.3 DDoS攻防模拟系统的设计和实现

在这项设计中，整个模拟系统软件主要包含用户参数的配置、分析变换、DDoS攻防模拟与显示等数项内容。从整个视角看，该模拟系统的中心环节，就是模拟部分，而该系统的性能同样取决于自身的运行效率。模拟的模块可划分为若干部分，主要包含有攻击、防御、追踪以及NS2网络环境模拟子模块，前三个模块均可经由NS2模拟器的扩展来完成既定功能。依照设计模块之需求，把DDoS攻击又可细化为“主机资源型”以及“网络资源消耗型”等，所谓“攻防模拟实验”就是成功模拟了这两种攻击类型。事实上，在不同强度的形势下攻击，往往会发生截然不同的网络状态变化结果，譬如在模拟主机资源型攻击时，DDoS攻防经过即可原汁原味地呈现出来，进而有助于最终网络安全模型之顺利建构。

4 结束语

在大数据技术日新月异的今天，校园网的网络系统安全问题已被提上议事日程。通常情形下，校园网所面对的安全威胁之类型相对多样，既有内部又有外部，而且DDoS攻击的层次和分类亦呈现多元化之态势。鉴于此，要扎根于技术攻关，设计并实现基于NS2网络抵御DDoS攻击，还系统一个平稳运作的环境。

[1]徐文远. 面向DDoS的高性能网络模拟技术研究[D].江南大学，2016，3（19）：64.

[2]林晓东.基于NS2网络抵御DDoS攻击的校园网安全模型设计研究[J].电脑编程技巧与维护，2015，10（14）：90-91+108.

[3]靳娜. DDoS攻击下的数据包标记优化方案的研究[D].电子科技大学，2013，17（3）：19-20.

[4]王伟.基于NS2网络仿真防御DDoS攻击研究[J].长江大学学报（自然科学版），2012，9（07）：114-116.

[5]王忠民.基于统计分析的DDoS攻击检测的研究[D].燕山大学，2012，20（11）：30-32.