拒绝服务系统测试报告.docx
《拒绝服务系统测试报告.docx》由会员分享,可在线阅读,更多相关《拒绝服务系统测试报告.docx(13页珍藏版)》请在冰豆网上搜索。
![拒绝服务系统测试报告.docx](https://file1.bdocx.com/fileroot1/2022-10/22/189a0081-5527-4dde-b752-c53a6ce6847a/189a0081-5527-4dde-b752-c53a6ce6847a1.gif)
拒绝服务系统测试报告
第一章测试方案
一.1测试目标
抗拒绝服务系统功能验证、稳定性测试。
功能验证含:
1.管理功能验证,包括管理的集中结构测试、多级管理员工作方式测试、管理功能的测试、报警功能测试、抓包分析、日志审计功能测试等。
2.业务功能验证:
DDos防御功能测试。
一.2测试范围
抗拒绝服务系统功能、性能、稳定性测试。
一.3测试环境
硬件构成
设备名称
数量
用途
性能要求
抗拒绝服务系统()
1
作为防护攻击测试主要对象
服务器
1
模拟受保护服务器
普通x86服务器
测试拓扑:
一.4测试报告
预期结果:
1.能正常过滤DNSqueryflood攻击、并对正常的DNSquery流给予放行、不影响正常业务流。
测试结果:
攻击流量
(Gbps)
包流量(pps)
Web视频响应时延
Web、视频
成功率
验证合法地址的最大时延
泄露攻击包数量
0.95G
140kpps
<20ms
100%
<30ms
0
备注:
一.4.1udpflood防御验证
测试项目:
抗拒绝服务系统udpflood测试。
测试目的:
抗拒绝服务系统udpflood防护功能、防护能力。
测试设备:
预置条件:
1.以透明模式接入测试网络中。
测试步骤:
功能测试:
1.定义抗拒绝服务系统UDPflood攻击防范策略
2.通过攻击服务器1对目标服务器2发UDPflood攻击包(UDPflood包长为64字节,ip源地址为A类随即变化)
3.通过wireshark观察,服务器2上是否有攻击报文
4.撤掉抗DDOS攻击设备,观察服务器2上是否有攻击报文。
预期结果:
1.能正常过虑UDPflood攻击、并对正常流量给予放行、不影响正常业务流
测试结果:
攻击流量
(Gbps)
包流量(pps)
客户端可否正常访问UDP服务及时延
ICMP
丢包率
泄露攻击包数量
0.95
140kpps
<50ms
0%
>100个
备注:
一.4.2icmpflood防御验证
测试项目:
抗拒绝服务系统icmpflood测试。
测试目的:
抗拒绝服务系统icmpflood防护功能、防护能力。
测试设备:
预置条件:
2.以透明模式接入测试网络中。
测试步骤:
功能测试:
1.定义抗拒绝服务系统ICMPflood攻击防护策略
2.通过攻击服务器1对目标服务器2发ICMPflood攻击包(ICMPflood包长为78字节,ip源地址为A类随即变化)
3.通过wireshark观察,服务器2上是否有攻击报文
4.撤掉抗DDOS攻击设备,观察服务器2上是否有攻击报文
预期结果:
1.能正常过滤ICMOflood攻击、并对正常的流量给予放行、不影响正常业务流。
测试结果:
攻击流(Gbps)
包流量(pps)
Web、视频响应时延
ICMP丢包率
泄露攻击包数量
0.95G
110kpps
<30ms
0
<100个
备注:
一.4.3混合攻击防御验证
测试项目:
抗拒绝服务系统混合攻击防护测试。
测试目的:
抗拒绝服务系统混合攻击防护功能、防护能力。
测试设备:
预置条件:
3.以透明模式接入测试网络中。
测试步骤:
功能测试:
1.定义抗拒绝服务系统TCP、UDPflood攻击防护策略
2.通过攻击服务器1对目标服务器2发SYN、DNSquery、UDPflood等多种混合攻击包
3.通过wireshark观察,服务器2上是否有攻击报文
4.撤掉抗DDOS攻击设备,观察服务器2上是否有攻击报文。
预期结果:
1.能正常过滤各种攻击、并对正常流量给予放行、不影响正常业务流。
测试结果:
攻击流量(
bps)
包流量(pps)
http访问成功率及时延
域名解析成功虑(%)
UDP服务成功率及时延
泄露攻击包数量
Synflood
攻击流量
DNSflood
攻击流量
Synflood
DNSflood
0.5G
0.45G
74kpps
56kpps
<30ms
100%
100%,<30ms
<200个
备注:
一.5部分测试截图
接抗DDOS设备后
未接抗DDOS设备时
未接抗DDOS设备时
连接监控
攻击日志
第二章部署建议
天融信抗DDOS设备具有强大的性能,建议部署在ISP出口处,作为外网入口处第一道网络屏障
第三章产品介绍
三.1性能
Ø系统可靠性
系统开发期间通过安全测试实验室压力对系统测试1000小时无故障运行,并支持双机热备,保障系统可7×24小时不间断运行。
Ø系统安全性
整个系统通过直连部署在网络中,透明模式接入,设备将不被网络上层与网络下层设备所侦测接口,管理口采用审核加密访问模式,传输数据均使用加密传输,保障传输安全。
三.2高效的DDoS防护功能
网络卫士抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低,并结合特有硬件加速运算,因此系统效率极高,对SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断。
同时结合业界独创的攻击检测算法,所以能够针对海量DDoS进行防护。
拦截数据保证了正常流量的顺畅通过。
三.2.1阻止DoS攻击
TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、BigPing、OOB等数百种。
三.2.2攻击原理
利用操作系统漏洞,发一些特殊的数据包,造成操作系统协议堆栈接收到这些特殊数据包后,处理异常引起服务器操作系统蹦贵或者通过漏洞非法获取权限进行入侵。
三.2.3防护原理
设备有攻击特征库,会预置已发现的攻击特征码,通过攻击特征库的比对,从而拦截已知的各种攻击,设备的攻击特征库可以定义更新,从而防护最新的攻击。
三.2.4抵御DDoS攻击
SYNFlood、UDPFlood、DNSFlood、ICMPFlood、TCPFlood等所有流行的DDOS攻击。
三.2.5攻击原理
SYN/ACKFlood:
发大量送伪造源IP的TCP协议的SYN包,或者ACK包,使被攻击的服务器的TCP协议栈处理这些虚假的请求耗尽系统资源,正常的请求由于得不到资源而不能连接,造成服务器TCP协议栈瘫痪甚至整个系统崩溃,如果攻击量非常大会造成服务器带宽堵塞。
UDPFlood:
发送大量的伪造源IP的UDP包,可能是大包或者小包,被攻击的服务器处理大量的UDP协议的时候耗尽系统资源,如果被攻击的服务器上有UDP的应用,会造成应用服务因为处理大量伪造的UDP数据包使CPU100%,如果包的数据量非常大,会造成带宽堵塞。
DNSFlood:
发送大量的伪造源IP的DNS请求,可以是随机的也可以是针对某个域名的伪造请求,被攻击服务器的DNS服务处理大量的DNS请求造成cpu100%系统资源耗尽,如果包的数据量非常大,会造成带宽堵塞。
ICMPFlood:
发送大量的伪造源IP的ICMP包,可能是大包或者小包,被攻击的服务器处理大量的ICMP协议的时候会耗尽系统资源,如果被攻击的服务器上有ICMP的应用,会造成应用服务因为处理大量伪造的ICMP数据包使CPU100%,如果包的数据量非常大,会造成带宽堵塞。
TCPFlood:
发送大量的伪造源IP的TCP协议数据包如ACK,RST,PUSH等包,被攻击的服务器处理大量的TCP协议的时候会耗尽系统资源,过来的每个伪造包系统都会通过TCP协议栈进行处理,会占用大量系统资源使CPU100%,如果包的数据量非常大,会造成带宽堵塞。
三.2.6防护原理
SYNFlood:
设备收到一个SYN请求的时候,设备会模拟服务器代替连接,和客户端建立起连接后,在模拟客户端同服务器建立连接,然后做中转,从而可以完全拦截SYN虚假攻击
UDPFlood:
拦截此种攻击有三种方式:
1.系统通过自动采样进来的UDP包,经过智能对比,来过滤出攻击样本,然后通过比对样本的频率以及样本的数据组合来进行防护。
2.设备可以通过设置攻击包的特征码来拦截攻击包。
3.设备提供有共第三方使用的接口,可以实现和用户的平台对接联动,让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上,从而实现更针对更有效的拦截。
DNSFlood:
拦截此种攻击有三种方式:
1.系统自动采样进来的DNS包,经过智能对比,来过滤出攻击样本,然后通过比对样本的频率以及样本的数据组合来进行防护。
2.系统有DNS智能防护模块,通过DNS协议的特性采用多重防护手段逐级过滤,来判断某个客户端IP是合法IP,让合法IP通过。
3.系统可以通过设置攻击包的特征码来拦截攻击包。
ICMPFlood:
拦截此种攻击有两种方式:
1.系统通过自动采样进来的ICMP包,经过智能对比,来过滤出攻击样本,然后通过比对样本的频率以及样本的数据组合来进行防护。
2.系统可以通过设置攻击包的特征码来拦截攻击包。
TCPFlood:
拦截此种攻击有三种方式:
1.系统会记录正常建立的TCP连接,当收到ACK等一些伪造攻击包时,会检查伪造包有无建立合法的连接,如果没有就会丢弃从而实现防御。
2.系统可以通过黑客攻击包的特征码来拦截攻击包。
3.系统提供有共第三方使用的接口,可以实现与用户平台对接联动,让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上,从而实现更针对更有效的拦截。
三.2.7拒绝TCP全连接攻击
攻击原理:
针对服务器的某个端口,用大量肉鸡进行连接,虽然从TCP协议层来说连接是合法的,但是由于连接数量太多,会让服务器端口资源耗尽,合法用户无法进行连接,从而造成服务器的网络服务瘫痪。
防护原理:
拦截此种攻击有两种方式:
系统可以限制客户端的连接数量和连接频率,如果发现某个客户端连接请求异常就会把客户端加入黑名单,从而实现防护。
针对具体协议比如HTTP协议系统会进行代理,所有的请求设备预先进行接管检查,比如会对连接异常的客户端返回验证页面,从而实现智能防护。
三.2.8防止Script脚本攻击
专业防范ASP、PHP、PERL、JSP等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。
攻击原理
针对服务器的HTTP协议的某些脚本URL,用大量肉鸡进行反复调用,脚本执行会造成数据库和CPU巨大的压力,从而让服务器资源耗尽,合法用户无法进行连接,造成服务器的网络服务瘫痪。
防护原理
拦截此种攻击有三种方式:
1.针对HTTP协议设备会进行代理,所有的请求设备预先进行接管检查,比如会对连接异常的客户端返回验证页面,从而实现智能防护。
2.针对被攻击服务器的应用协议定制规则,设置频率、连接次数、关键字匹配、包的大小等进行组合过滤,确保正常用户可以调用的情况下,对异常频繁的客户端IP进行拦截。
3.系统提供有共第三方使用的接口,可以实现与用户平台对接联动,让用户平台通过自己的手段判断出合法IP和非法IP后