抗拒绝服务系统测试报告.docx
《抗拒绝服务系统测试报告.docx》由会员分享,可在线阅读,更多相关《抗拒绝服务系统测试报告.docx(16页珍藏版)》请在冰豆网上搜索。
抗拒绝服务系统测试报告
第一章测试方案
一.1测试目标
抗拒绝服务系统功能验证、稳定性测试。
功能验证含:
1.管理功能验证,包括管理的集中结构测试、多级管理员工作方式测试、管理功能的测试、报警功能测试、抓包分析、日志审计功能测试等。
2.业务功能验证:
DDos防御功能测试。
一.2测试范围
抗拒绝服务系统功能、性能、稳定性测试。
一.3测试环境
硬件构成
设备名称
数量
用途
性能要求
抗拒绝服务系统()
1
作为防护攻击测试主要对象
服务器
1
模拟受保护服务器
普通x86服务器
测试拓扑:
一.4测试报告
预期结果:
1.能正常过滤DNSqueryflood攻击、并对正常的DNSquery流给予放行、不影响正常业务流。
测试结果:
攻击流量
(Gbps)
包流量(pps)
Web视频响应时延
Web、视频
成功率
验证合法地址的最大时延
泄露攻击包数量
0.95G
140kpps
<20ms
100%
<30ms
0
备注:
一.4.1udpflood防御验证
测试项目:
抗拒绝服务系统udpflood测试。
测试目的:
抗拒绝服务系统udpflood防护功能、防护能力。
测试设备:
预置条件:
1.以透明模式接入测试网络中。
测试步骤:
功能测试:
1.定义抗拒绝服务系统UDPflood攻击防范策略
2.通过攻击服务器1对目标服务器2发UDPflood攻击包(UDPflood包长为64字节,ip源地址为A类随即变化)
3.通过wireshark观察,服务器2上是否有攻击报文
4.撤掉抗DDOS攻击设备,观察服务器2上是否有攻击报文。
预期结果:
1.能正常过虑UDPflood攻击、并对正常流量给予放行、不影响正常业务流
测试结果:
攻击流量
(Gbps)
包流量(pps)
客户端可否正常访问UDP服务及时延
ICMP
丢包率
泄露攻击包数量
0.95
140kpps
<50ms
0%
>100个
备注:
一.4.2icmpflood防御验证
测试项目:
抗拒绝服务系统icmpflood测试。
测试目的:
抗拒绝服务系统icmpflood防护功能、防护能力。
测试设备:
预置条件:
2.以透明模式接入测试网络中。
测试步骤:
功能测试:
1.定义抗拒绝服务系统ICMPflood攻击防护策略
2.通过攻击服务器1对目标服务器2发ICMPflood攻击包(ICMPflood包长为78字节,ip源地址为A类随即变化)
3.通过wireshark观察,服务器2上是否有攻击报文
4.撤掉抗DDOS攻击设备,观察服务器2上是否有攻击报文
预期结果:
1.能正常过滤ICMOflood攻击、并对正常的流量给予放行、不影响正常业务流。
测试结果:
攻击流(Gbps)
包流量(pps)
Web、视频响应时延
ICMP丢包率
泄露攻击包数量
0.95G
110kpps
<30ms
0
<100个
备注:
一.4.3混合攻击防御验证
测试项目:
抗拒绝服务系统混合攻击防护测试。
测试目的:
抗拒绝服务系统混合攻击防护功能、防护能力。
测试设备:
预置条件:
3.以透明模式接入测试网络中。
测试步骤:
功能测试:
1.定义抗拒绝服务系统TCP、UDPflood攻击防护策略
2.通过攻击服务器1对目标服务器2发SYN、DNSquery、UDPflood等多种混合攻击包
3.通过wireshark观察,服务器2上是否有攻击报文
4.撤掉抗DDOS攻击设备,观察服务器2上是否有攻击报文。
预期结果:
1.能正常过滤各种攻击、并对正常流量给予放行、不影响正常业务流。
测试结果:
攻击流量(
bps)
包流量(pps)
http访问成功率及时延
域名解析成功虑(%)
UDP服务成功率及时延
泄露攻击包数量
Synflood
攻击流量
DNSflood
攻击流量
Synflood
DNSflood
0.5G
0.45G
74kpps
56kpps
<30ms
100%
100%,<30ms
<200个
备注:
一.5部分测试截图
接抗DDOS设备后
未接抗DDOS设备时
未接抗DDOS设备时
连接监控
攻击日志
第二章部署建议
天融信抗DDOS设备具有强大的性能,建议部署在ISP出口处,作为外网入口处第一道网络屏障
第三章产品介绍
三.1性能
Ø系统可靠性
系统开发期间通过安全测试实验室压力对系统测试1000小时无故障运行,并支持双机热备,保障系统可7×24小时不间断运行。
Ø系统安全性
整个系统通过直连部署在网络中,透明模式接入,设备将不被网络上层与网络下层设备所侦测接口,管理口采用审核加密访问模式,传输数据均使用加密传输,保障传输安全。
三.2高效的DDoS防护功能
网络卫士抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法,创造性地将算法实现在协议栈的最底层,避免了TCP/UDP/IP等高层系统网络堆栈的处理,使整个运算代价大大降低,并结合特有硬件加速运算,因此系统效率极高,对SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽这些常见的攻击行为能够有效识别,并通过集成的机制实时对这些攻击流量进行阻断。
同时结合业界独创的攻击检测算法,所以能够针对海量DDoS进行防护。
拦截数据保证了正常流量的顺畅通过。
三.2.1阻止DoS攻击
TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、BigPing、OOB等数百种。
三.2.2攻击原理
利用操作系统漏洞,发一些特殊的数据包,造成操作系统协议堆栈接收到这些特殊数据包后,处理异常引起服务器操作系统蹦贵或者通过漏洞非法获取权限进行入侵。
三.2.3防护原理
设备有攻击特征库,会预置已发现的攻击特征码,通过攻击特征库的比对,从而拦截已知的各种攻击,设备的攻击特征库可以定义更新,从而防护最新的攻击。
三.2.4抵御DDoS攻击
SYNFlood、UDPFlood、DNSFlood、ICMPFlood、TCPFlood等所有流行的DDOS攻击。
三.2.5攻击原理
SYN/ACKFlood:
发大量送伪造源IP的TCP协议的SYN包,或者ACK包,使被攻击的服务器的TCP协议栈处理这些虚假的请求耗尽系统资源,正常的请求由于得不到资源而不能连接,造成服务器TCP协议栈瘫痪甚至整个系统崩溃,如果攻击量非常大会造成服务器带宽堵塞。
UDPFlood:
发送大量的伪造源IP的UDP包,可能是大包或者小包,被攻击的服务器处理大量的UDP协议的时候耗尽系统资源,如果被攻击的服务器上有UDP的应用,会造成应用服务因为处理大量伪造的UDP数据包使CPU100%,如果包的数据量非常大,会造成带宽堵塞。
DNSFlood:
发送大量的伪造源IP的DNS请求,可以是随机的也可以是针对某个域名的伪造请求,被攻击服务器的DNS服务处理大量的DNS请求造成cpu100%系统资源耗尽,如果包的数据量非常大,会造成带宽堵塞。
ICMPFlood:
发送大量的伪造源IP的ICMP包,可能是大包或者小包,被攻击的服务器处理大量的ICMP协议的时候会耗尽系统资源,如果被攻击的服务器上有ICMP的应用,会造成应用服务因为处理大量伪造的ICMP数据包使CPU100%,如果包的数据量非常大,会造成带宽堵塞。
TCPFlood:
发送大量的伪造源IP的TCP协议数据包如ACK,RST,PUSH等包,被攻击的服务器处理大量的TCP协议的时候会耗尽系统资源,过来的每个伪造包系统都会通过TCP协议栈进行处理,会占用大量系统资源使CPU100%,如果包的数据量非常大,会造成带宽堵塞。
三.2.6防护原理
SYNFlood:
设备收到一个SYN请求的时候,设备会模拟服务器代替连接,和客户端建立起连接后,在模拟客户端同服务器建立连接,然后做中转,从而可以完全拦截SYN虚假攻击
UDPFlood:
拦截此种攻击有三种方式:
1.系统通过自动采样进来的UDP包,经过智能对比,来过滤出攻击样本,然后通过比对样本的频率以及样本的数据组合来进行防护。
2.设备可以通过设置攻击包的特征码来拦截攻击包。
3.设备提供有共第三方使用的接口,可以实现和用户的平台对接联动,让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上,从而实现更针对更有效的拦截。
DNSFlood:
拦截此种攻击有三种方式:
1.系统自动采样进来的DNS包,经过智能对比,来过滤出攻击样本,然后通过比对样本的频率以及样本的数据组合来进行防护。
2.系统有DNS智能防护模块,通过DNS协议的特性采用多重防护手段逐级过滤,来判断某个客户端IP是合法IP,让合法IP通过。
3.系统可以通过设置攻击包的特征码来拦截攻击包。
ICMPFlood:
拦截此种攻击有两种方式:
1.系统通过自动采样进来的ICMP包,经过智能对比,来过滤出攻击样本,然后通过比对样本的频率以及样本的数据组合来进行防护。
2.系统可以通过设置攻击包的特征码来拦截攻击包。
TCPFlood:
拦截此种攻击有三种方式:
1.系统会记录正常建立的TCP连接,当收到ACK等一些伪造攻击包时,会检查伪造包有无建立合法的连接,如果没有就会丢弃从而实现防御。
2.系统可以通过黑客攻击包的特征码来拦截攻击包。
3.系统提供有共第三方使用的接口,可以实现与用户平台对接联动,让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上,从而实现更针对更有效的拦截。
三.2.7拒绝TCP全连接攻击
攻击原理:
针对服务器的某个端口,用大量肉鸡进行连接,虽然从TCP协议层来说连接是合法的,但是由于连接数量太多,会让服务器端口资源耗尽,合法用户无法进行连接,从而造成服务器的网络服务瘫痪。
防护原理:
拦截此种攻击有两种方式:
系统可以限制客户端的连接数量和连接频率,如果发现某个客户端连接请求异常就会把客户端加入黑名单,从而实现防护。
针对具体协议比如HTTP协议系统会进行代理,所有的请求设备预先进行接管检查,比如会对连接异常的客户端返回验证页面,从而实现智能防护。
三.2.8防止Script脚本攻击
专业防范ASP、PHP、PERL、JSP等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。
攻击原理
针对服务器的HTTP协议的某些脚本URL,用大量肉鸡进行反复调用,脚本执行会造成数据库和CPU巨大的压力,从而让服务器资源耗尽,合法用户无法进行连接,造成服务器的网络服务瘫痪。
防护原理
拦截此种攻击有三种方式:
1.针对HTTP协议设备会进行代理,所有的请求设备预先进行接管检查,比如会对连接异常的客户端返回验证页面,从而实现智能防护。
2.针对被攻击服务器的应用协议定制规则,设置频率、连接次数、关键字匹配、包的大小等进行组合过滤,确保正常用户可以调用的情况下,对异常频繁的客户端IP进行拦截。
3.系统提供有共第三方使用的接口,可以实现与用户平台对接联动,让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上,从而实现更针对更有效的拦截。
三.2.9对付DDoS工具
XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW、DDOSBINGDUN等数十种。
攻击原理
这些攻击工具都具备多种DDoS的攻击方法,可以同时使用多种攻击一起攻击对服务器造成更严重的损害。
防护原理
设备的各个防御模块可以根据服务器的流量,连接数等自动启动,通过规则策略执行模块,协调多级过滤,从而实现混合攻击的防护。
三.2.10对付CC攻击
攻击原理
针对服务器的HTTP协议或者其他TCP协议的服务,用大量肉鸡进行反复连接,或者连接后反复发送一些伪造的数据,造成服务器资源耗尽,从而让服务器资源耗尽,合法用户无法进行连接,造成服务器的网络服务瘫痪。
防护原理
针对HTTP协议系统会进行代理,所有的请求设备预先进行接管检查,比如会对连接异常的客户端返回验证页面,从而实现智能防护。
针对被攻击服务器的应用协议定制规则,设置频率、连接次数、关键字匹配、包的大小等进行组合过滤,确保正常用户可以调用的情况下,对异常频繁的客户端IP进行拦截。
设备提供有共第三方使用的接口,可以实现和用户的平台对接联动,让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上,从而实现更针对更有效的拦截。
三.2.11过滤关键字
攻击原理
大量发送具备一些重复特征的伪造源IP的多种协议的攻击包,造成服务器带宽堵塞,系统资源耗尽。
防护原理
1.系统通过自动采样进来的数据包,经过智能对比,来过滤出攻击样本,然后通过比对样本的频率以及样本的数据组合来进行防护。
2.系统可以通过设置攻击包的特征码来拦截攻击包。
3.系统提供有共第三方使用的接口,可以实现与用户平台对接联动,让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上,从而实现更针对更有效的拦截。
三.2.12支持大规模部署和集群管理
系统支持旁路群集部署,用户可根据需求增加或减少群集中设备。
系统在群集中部署将区分控制中心与受控机,控制中心会同步所有受控机的数据,同步交换机负责数据防御规则同步、规则下发,使他们在一个集群内协同工作,完全服从管理平台的管理。
三.2.13支持连接状态监控
通过查看连接状态可快速分析被保护区域内是否存在被攻击服务器IP
三.2.14支持SSL3.01024位加密
系统在B/S架构数据传输中采用SSL3.01024位加密,保障数据的安全性,避免数据被黑客截取,得到系统管理权限从而对网络破坏,SSL加密最大程度的提供了网络管理便携性与安全性的整体解决方案。
三.2.15完善的用户管理
系统具备完善的用户管理规模,支持多用户多权限分配,支持用户所有操作记录日志。
同时支持用户组,管理员可将不同区域用户加入用户组,并通过对用户组赋予权限使得组内用户得到相应权限。
同时系统支持生成一次性登录权限用户,该权限便于管理员授权给临时或特殊人员使用,该用户由系统随机生成,生成可登录系统一次,退出将永久无法登录。
最大程度上方便管理员运维管理。
三.2.16支持radius,syslog,snmp
系统具备支持radius、syslog、snmp等远程日志认证服务器与管理服务器相关协议与接口,同时网络卫士抗拒绝服务系统可根据用户需求或市场需求定制开发指定接口,满足不同用户对系统的需求。
三.2.17支持在线抓包并导出,支持第三方分析工具
系统通过直连获取网络数据,可支持系统主动分析,拦截有潜在攻击威胁的IP地址,同时系统支持定制抓取指定IP网络数据包,支持数据包抓取在线分析。
支持在线分析基础上系统支持导出被分析数据包,便于管理员拷贝或存档,导出数据包采用通用模式保存,可支持第三方数据包分析工具。
三.2.18支持端口汇聚,有效地扩大的带宽
目前市面最大网络接口为10G口,可满足10G数据通讯,网络卫士抗拒绝服务系统系统可支持上层与下层设备端口汇聚,汇聚可有效扩大带宽,支持最大160G端口汇聚。
三.2.19支持负载均衡
系统支持负载均衡,可将不同接口流量负载到不同网络接口,实现各接口流量负载均衡,避免单一接口流量过载出现端口延时或拥堵而导致的数据包丢失。
三.2.20双机热备
三.2.21完善的日志和审计功能
系统支持强大的日志和审计功能,系统可对接Syslog日志服务器。
将Syslog服务器IP地址填入SyslogserverIP勾选启动Syslog将启用日志服务器远程存储数据,便于管理人员统一日志读取与分析。
同时系统提供本地用户使用日志信息,信息将跟踪登录人员在系统的每项操作以及操作时间等相关参数;
三.2.22安全方便的管理界面
系统采用B/S架构模式,管理员可通过任意网络登录系统。
系统采用HTTPS加密登录模式,所有流经数据均通过系统加密,中途被截取也无法破译其中内容,进一步加大了网络管理的安全性。
升级会员 