抗拒绝服务系统测试报告

安徽沐诚二级建造师挂靠测试目标抗拒绝服务系统功能验证、稳定性测试。功能验证含：1.管理功能验证，包括管理的集中结构测试、多级管理员工作方式测试、管理功能的测试、报警功能测试、抓包分析、日志审计功能测试等。2.业务功能验证：DDos防御功能测试。1.2测试范围抗拒绝服务系统功能、性能、稳定性测试。1.3测试环境硬件构成设备名称数量用途性能要求抗拒绝服务系统（）1作为防护攻击测试主要对象服务器1模拟受保护服务器普通x86服务器测试拓扑：1.4测试报告预期结果：安徽沐诚二级建造师挂靠攻击、并对正常的DNSquery流给予放行、不影响正常业务流。测试结果：攻击流量（Gbps）包流量（pps）Web视频响应时延Web、视频成功率验证合法地址的最大时延泄露攻击包数量0.95G140kpps20ms100%30ms0备注：1.4.1udpflood防御验证测试项目：抗拒绝服务系统udpflood测试。测试目的：抗拒绝服务系统udpflood防护功能、防护能力。测试设备：预置条件：1.以透明模式接入测试网络中。测试步骤：功能测试：1.定义抗拒绝服务系统UDPflood攻击防范策略2.通过攻击服务器1对目标服务器2发UDPflood攻击包（UDPflood包长为64字节，ip源地址为A类随即变化）3.通过wireshark观察，服务器2上是否有攻击报文4.撤掉抗DDOS攻击设备，观察服务器2上是否有攻击报文。预期结果：1.能正常过虑UDPflood攻击、并对正常流量给予放行、不影响正常业务流测试结果：攻击流量（Gbps）包流量（pps）客户端可否正常访问UDP服务及时延ICMP丢包率泄露攻击包数量0.95140kpps50ms0%100个安徽沐诚二级建造师挂靠备注：1.4.2icmpflood防御验证测试项目：抗拒绝服务系统icmpflood测试。测试目的：抗拒绝服务系统icmpflood防护功能、防护能力。测试设备：预置条件：2.以透明模式接入测试网络中。测试步骤：功能测试：1.定义抗拒绝服务系统ICMPflood攻击防护策略2.通过攻击服务器1对目标服务器2发ICMPflood攻击包（ICMPflood包长为78字节，ip源地址为A类随即变化）3.通过wireshark观察，服务器2上是否有攻击报文4.撤掉抗DDOS攻击设备，观察服务器2上是否有攻击报文预期结果：1.能正常过滤ICMOflood攻击、并对正常的流量给予放行、不影响正常业务流。测试结果：攻击流（Gbps）包流量（pps）Web、视频响应时延ICMP丢包率泄露攻击包数量0.95G110kpps30ms0100个备注：1.4.3混合攻击防御验证测试项目：抗拒绝服务系统混合攻击防护测试。安徽沐诚二级建造师挂靠测试目的：抗拒绝服务系统混合攻击防护功能、防护能力。测试设备：预置条件：3.以透明模式接入测试网络中。测试步骤：功能测试：1.定义抗拒绝服务系统TCP、UDPflood攻击防护策略2.通过攻击服务器1对目标服务器2发SYN、DNSquery、UDPflood等多种混合攻击包3.通过wireshark观察，服务器2上是否有攻击报文4.撤掉抗DDOS攻击设备，观察服务器2上是否有攻击报文。预期结果：1.能正常过滤各种攻击、并对正常流量给予放行、不影响正常业务流。测试结果：攻击流量（bps）包流量（pps）http访问成功率及时延域名解析成功虑（%）UDP服务成功率及时延泄露攻击包数量Synflood攻击流量DNSflood攻击流量SynfloodDNSflood0.5G0.45G74kpps56kpps30ms100%100%,30ms200个备注：安徽沐诚二级建造师挂靠设备具有强大的性能，建议部署在ISP出口处，作为外网入口处第一道网络屏障安徽沐诚二级建造师挂靠性能系统可靠性系统开发期间通过安全测试实验室压力对系统测试1000小时无故障运行，并支持双机热备，保障系统可7×24小时不间断运行。系统安全性整个系统通过直连部署在网络中，透明模式接入，设备将不被网络上层与网络下层设备所侦测接口，管理口采用审核加密访问模式，传输数据均使用加密传输，保障传输安全。3.2高效的DDoS防护功能网络卫士抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法，创造性地将算法实现在协议栈的最底层，避免了TCP/UDP/IP等高层系统网络堆栈的处理，使整个运算代价大大降低，并结合特有硬件加速运算，因此系统效率极高，对SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及连接耗尽这些常见的攻击行为能够有效识别，并通过集成的机制实时对这些攻击流量进行阻断。同时结合业界独创的攻击检测算法，所以能够针对海量DDoS进行防护。拦截数据保证了正常流量的顺畅通过。3.2.1阻止DoS攻击TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、BigPing、OOB等数百种。安徽沐诚二级建造师挂靠攻击原理利用操作系统漏洞，发一些特殊的数据包，造成操作系统协议堆栈接收到这些特殊数据包后，处理异常引起服务器操作系统蹦贵或者通过漏洞非法获取权限进行入侵。3.2.3防护原理设备有攻击特征库，会预置已发现的攻击特征码，通过攻击特征库的比对，从而拦截已知的各种攻击，设备的攻击特征库可以定义更新，从而防护最新的攻击。3.2.4抵御DDoS攻击SYNFlood、UDPFlood、DNSFlood、ICMPFlood、TCPFlood等所有流行的DDOS攻击。3.2.5攻击原理SYN/ACKFlood:发大量送伪造源IP的TCP协议的SYN包，或者ACK包，使被攻击的服务器的TCP协议栈处理这些虚假的请求耗尽系统资源，正常的请求由于得不到资源而不能连接，造成服务器TCP协议栈瘫痪甚至整个系统崩溃，如果攻击量非常大会造成服务器带宽堵塞。UDPFlood:发送大量的伪造源IP的UDP包，可能是大包或者小包，被攻击的服务器处理大量的UDP协议的时候耗尽系统资源，如果被攻击的服务器上有UDP的应用，会造成应用服务因为处理大量伪造的UDP数据包使CPU100%，如果包的数据量非常大，会造成带宽堵塞。DNSFlood:发送大量的伪造源IP的DNS请求，可以是随机的也可以是针对某个域名的伪造请求,被攻击服务器的DNS服务处理大量的DNS请求造成cpu100%系统资源耗尽，如果包的数据量非常大，会造成带宽堵塞。安徽沐诚二级建造师挂靠发送大量的伪造源IP的ICMP包，可能是大包或者小包，被攻击的服务器处理大量的ICMP协议的时候会耗尽系统资源，如果被攻击的服务器上有ICMP的应用，会造成应用服务因为处理大量伪造的ICMP数据包使CPU100%，如果包的数据量非常大，会造成带宽堵塞。TCPFlood:发送大量的伪造源IP的TCP协议数据包如ACK,RST,PUSH等包，被攻击的服务器处理大量的TCP协议的时候会耗尽系统资源，过来的每个伪造包系统都会通过TCP协议栈进行处理，会占用大量系统资源使CPU100%，如果包的数据量非常大，会造成带宽堵塞。3.2.6防护原理SYNFlood:设备收到一个SYN请求的时候,设备会模拟服务器代替连接，和客户端建立起连接后，在模拟客户端同服务器建立连接，然后做中转，从而可以完全拦截SYN虚假攻击UDPFlood:拦截此种攻击有三种方式：1．系统通过自动采样进来的UDP包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护。2．设备可以通过设置攻击包的特征码来拦截攻击包。3．设备提供有共第三方使用的接口，可以实现和用户的平台对接联动，让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上，从而实现更针对更有效的拦截。DNSFlood:拦截此种攻击有三种方式：1.系统自动采样进来的DNS包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护。2.系统有DNS智能防护模块，通过DNS协议的特性采用多重防护手段逐级过滤，来判断某个客户端IP是合法IP,让合法IP通过。3.系统可以通过设置攻击包的特征码来拦截攻击包。ICMPFlood:拦截此种攻击有两种方式：安徽沐诚二级建造师挂靠包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护。2．系统可以通过设置攻击包的特征码来拦截攻击包。TCPFlood:拦截此种攻击有三种方式：1.系统会记录正常建立的TCP连接，当收到ACK等一些伪造攻击包时，会检查伪造包有无建立合法的连接，如果没有就会丢弃从而实现防御。2.系统可以通过黑客攻击包的特征码来拦截攻击包。3.系统提供有共第三方使用的接口，可以实现与用户平台对接联动，让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上，从而实现更针对更有效的拦截。3.2.7拒绝TCP全连接攻击攻击原理:针对服务器的某个端口，用大量肉鸡进行连接，虽然从TCP协议层来说连接是合法的，但是由于连接数量太多，会让服务器端口资源耗尽，合法用户无法进行连接,从而造成服务器的网络服务瘫痪。防护原理:拦截此种攻击有两种方式：系统可以限制客户端的连接数量和连接频率，如果发现某个客户端连接请求异常就会把客户端加入黑名单，从而实现防护。针对具体协议比如HTTP协议系统会进行代理，所有的请求设备预先进行接管检查，比如会对连接异常的客户端返回验证页面，从而实现智能防护。3.2.8防止Script脚本攻击专业防范ASP、PHP、PERL、JSP等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。攻击原理安徽沐诚二级建造师挂靠，用大量肉鸡进行反复调用，脚本执行会造成数据库和CPU巨大的压力，从而让服务器资源耗尽，合法用户无法进行连接,造成服务器的网络服务瘫痪。防护原理拦截此种攻击有三种方式：1.针对HTTP协议设备会进行代理，所有的请求设备预先进行接管检查，比如会对连接异常的客户端返回验证页面，从而实现智能防护。2.针对被攻击服务器的应用协议定制规则，设置频率、连接次数、关键字匹配、包的大小等进行组合过滤，确保正常用户可以调用的情况下，对异常频繁的客户端IP进行拦截。3.系统提供有共第三方使用的接口，可以实现与用户平台对接联动，让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上，从而实现更针对更有效的拦截。3.2.9对付DDoS工具XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW、DDOSBINGDUN等数十种。攻击原理这些攻击工具都具备多种DDoS的攻击方法，可以同时使用多种攻击一起攻击对服务器造成更严重的损害。防护原理设备的各个防御模块可以根据服务器的流量，连接数等自动启动，通过规则策略执行模块，协调多级过滤，从而实现混合攻击的防护。3.2.10对付CC攻击攻击原理针对服务器的HTTP协议或者其他TCP协议的服务，用大量肉鸡进行反复连接，或者连接