实验简介
面向下一代网络的分布式拒绝服务攻击防御虚拟仿真实验项目基于现代网络空间安全的理论与方法,通过仿真实验,遵循从“简单到复杂”、“局部到整体”的认知规律,以“网络”、“服务”、“攻击方法”和“防御方法”为实验对象,通过参数设计,利用虚拟技术开发,旨在通过考察学生理解现代网络的基本组成要素、分布式拒绝服务攻击的原理和参数以及不同防御方法的原理,学会在真实攻击场景下的防御部署技术。
设计原则
本项目遵循“能实不虚,虚实结合”的原则,将自主学习,合作交流和探究学习相结合、知识性和趣味性相统一、交互式的人机界面作为教学方式方法,再现下一代网络中数据中心面临分布式拒绝服务攻击的方法过程,使学生能理解现实世界中的分布式拒绝服务攻击对网络的影响及其防御方法,让学生能够突破时空限制开展下一代网络中拒绝服务攻击与防御的实验。关注网络空间安全专业学生的综合性、实践性学习需求,实行基于实际问题的互动式、研讨式教学,体现自主式和探究式学习的特点,通过文字、图片、视频、三维仿真场景等多种媒介促进实验教学开展,同时与线下实体实验相结合、培养学生实践能力、综合分析能力和创新能力,显著提升教学效果。具体而言:
1) 培养实践创新能力。借助虚拟仿真技术,三维呈现下一代网络中涉及到控制器、SDN交换机、边缘节点、数据中心服务等各个主体, 有利于加深学生的感性认识,通过第一视角的操作,能有效提升学生的实践能力。
2)培养综合分析能力。通过熟悉实验涉及到13个关键知识点,实际体验主干网、数据中心网络、边缘网络节点3种不同的场景,了解报文型、连接型、反射型3种不同的分布式拒绝服务攻击手段以及伪造地址验证、负载均衡和SDN清洗等3种不同的防御清洗方法,并学习如何综合运用不同手段来进行不同类型攻击的防御,能够有效的锻炼学生综合分析问题的能力,有助于网络空间安全创新型人才的培养。
实验目的
本虚拟仿真项目分为四个实践操作模块,目的是使学生通过对虚拟仿真项目中每个模块的操作,理解DDoS攻击的产生到防御机制部署的各个环节的原理与影响因素,掌握网络测量等专业课程的关键知识点。
(1)模块一:网络拓扑结构
通过该模块掌握基于SDN技术的下一代网络技术。了解SDN技术组网中控制器和数据节点如何通过控制协议实现路由等网络层功能。掌握数据中心网络的不同拓扑结构及其特性,掌握数据中心网络拓扑设计要点及其对南北和东西不同方向流量的影响,掌握数据中心网络性能测量的方法。
(2)模块二:DDOS攻击
掌握分布式拒绝服务攻击的不同方法,掌握通过被动测量检测分布式拒绝服务攻击的方法。掌握服务性能测量的方法,掌握测量分布式拒绝服务攻击对数据中心不同服务的性能影响的方法。
(3)模块三:网络防御
掌握不同的分布式拒绝服务攻击防御和清洗技术,掌握在主干网和网络边缘节点部署防御和清洗技术的方法。
(4)模块四:综合实验案例
通过南京青奥会综合实验案例,要求学生综合考虑实际场景中不同防御方案的防御效果与部署成本,设计并部署一套综合的DDoS防御机制,实现达到最优解的目的。
通过本虚拟仿真实验教学,可供学生直观了解网络拓扑在不同设计参数下的攻击防御响应全过程,深刻掌握网络攻击的基本概念和原理,熟悉相关攻防过程和设计参数,采用任务型模式场景激发学生对实际应用的兴趣,培养其创新意识和专业知识应用实践能力,激发学生投身网络空间安全事业的情怀和使命感。
实验要求
(1)专业与年级要求
本实验开设为网络空间安全、信息安全、计算机科学与技术等相关专业三年级及以上的学生。
(2)基本知识和能力要求
为提高网络空间安全相关专业学生的综合实践和创新能力,学生可在教师的指导下,完成下一代网络数据中心分布式拒绝服务攻击的防御与清洗全流程的实验。学生应具备以下能力和要求:
1) 掌握计算机网络、计算机网络安全、网络测量相关的基础知识;
2) 具备基本的实验操作技能与实践能力,以及一定程度的自主创新和独立解决问题的能力;
3) 具备一定的团队合作意识;
4) 能够运用虚拟软件开展实验,并了解相关实验安全规范。
