抗拒绝服务系统测试报告.doc

安徽沐诚 二级建造师挂靠 第一章 测试方案1.1 测试目标抗拒绝服务系统功能验证、稳定性测试功能验证含：1. 管理功能验证，包括管理的集中结构测试、多级管理员工作方式测试、管理功能的测试、报警功能测试、抓包分析、日志审计功能测试等2. 业务功能验证： DDos 防御功能测试1.2 测试范围抗拒绝服务系统功能、性能、稳定性测试1.3 测试环境硬件构成设备名称 数量用途 性能要求抗拒绝服务系统（） 1 作为防护攻击测试主要对象服务器 1 模拟受保护服务器 普通 x86 服务器测试拓扑：1.4 测试报告预期结果：安徽沐诚 二级建造师挂靠 1.能正常过滤 DNS query flood 攻击、并对正常的 DNS query 流给予放行、不影响正常业务流测试结果：攻击流量（Gbps）包流量（pps）Web 视频响应时延Web、视频成功率验证合法地址的最大时延泄露攻击包数量0.95G 140kpps 100 个安徽沐诚 二级建造师挂靠 备注： 1.4.2 icmp flood 防御验证测试项目：抗拒绝服务系统 icmp flood 测试测试目的：抗拒绝服务系统 icmp flood 防护功能、防护能力。

测试设备：预置条件：2. 以透明模式接入测试网络中 测试步骤：功能测试：1.定义抗拒绝服务系统 ICMP flood 攻击防护策略2.通过攻击服务器 1 对目标服务器 2 发 ICMP flood 攻击包（ICMP flood 包长为 78 字节，ip 源地址为 A 类随即变化）3.通过 wireshark 观察，服务器 2 上是否有攻击报文4.撤掉抗 DDOS 攻击设备，观察服务器 2 上是否有攻击报文预期结果：1.能正常过滤 ICMO flood 攻击、并对正常的流量给予放行、不影响正常业务流测试结果： 攻击流（Gbps） 包流量（pps） Web、视频响应时延 ICMP 丢包率 泄露攻击包数量0.95G 110kpps <30ms 0 <100 个备注： 1.4.3 混合攻击防御验证测试项目：抗拒绝服务系统混合攻击防护测试安徽沐诚 二级建造师挂靠 测试目的：抗拒绝服务系统混合攻击防护功能、防护能力测试设备：预置条件：3. 以透明模式接入测试网络中 测试步骤：功能测试：1.定义抗拒绝服务系统 TCP 、UDP flood 攻击防护策略2.通过攻击服务器 1 对目标服务器 2 发 SYN 、DNS query、UDP flood 等多种混合攻击包3.通过 wireshark 观察，服务器 2 上是否有攻击报文4.撤掉抗 DDOS 攻击设备，观察服务器 2 上是否有攻击报文。

预期结果：1.能正常过滤各种攻击、并对正常流量给予放行、不影响正常业务流测试结果：攻击流量（bps）包流量（pps）Syn flood攻击流量DNS flood攻击流量Syn floodDNS floodhttp 访问成功率及时延域名解析成功虑（%）UDP 服务成功率及时延泄露攻击包数量0.5G 0.45G 74kpps 56kpps <30ms 100% 100%,<30ms <200 个备注： 安徽沐诚 二级建造师挂靠 1.5 部分测试截图接抗 DDOS 设备后未接抗 DDOS 设备时安徽沐诚 二级建造师挂靠 未接抗 DDOS 设备时连接监控攻击日志安徽沐诚 二级建造师挂靠 第二章 部署建议天融信抗 DDOS 设备具有强大的性能，建议部署在 ISP 出口处，作为外网入口处第一道网络屏障安徽沐诚 二级建造师挂靠 第三章 产品介绍3.1 性能 系统可靠性系统开发期间通过安全测试实验室压力对系统测试 1000 小时无故障运行，并支持双机热备，保障系统可 7×24 小时不间断运行  系统安全性整个系统通过直连部署在网络中，透明模式接入，设备将不被网络上层与网络下层设备所侦测接口，管理口采用审核加密访问模式，传输数据均使用加密传输，保障传输安全。

3.2 高效的 DDoS 防护功能网络卫士抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法，创造性地将算法实现在协议栈的最底层，避免了 TCP/UDP/IP 等高层系统网络堆栈的处理，使整个运算代价大大降低，并结合特有硬件加速运算，因此系统效率极高，对 SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood 以及连接耗尽这些常见的攻击行为能够有效识别，并通过集成的机制实时对这些攻击流量进行阻断同时结合业界独创的攻击检测算法，所以能够针对海量 DDoS 进行防护拦截数据保证了正常流量的顺畅通过3.2.1 阻止 DoS 攻击TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、Big Ping、OOB 等数百种安徽沐诚 二级建造师挂靠 3.2.2 攻击原理利用操作系统漏洞，发一些特殊的数据包，造成操作系统协议堆栈接收到这些特殊数据包后，处理异常引起服务器操作系统蹦贵或者通过漏洞非法获取权限进行入侵3.2.3 防护原理设备有攻击特征库，会预置已发现的攻击特征码，通过攻击特征库的比对，从而拦截已知的各种攻击，设备的攻击特征库可以定义更新，从而防护最新的攻击。

3.2.4 抵御 DDoS 攻击SYN Flood、 UDP Flood、 DNS Flood、 ICMP Flood、TCP Flood 等所有流行的 DDOS 攻击3.2.5 攻击原理SYN/ACK Flood: 发大量送伪造源 IP 的 TCP 协议的 SYN 包，或者 ACK包，使被攻击的服务器的 TCP 协议栈处理这些虚假的请求耗尽系统资源，正常的请求由于得不到资源而不能连接，造成服务器 TCP 协议栈瘫痪甚至整个系统崩溃，如果攻击量非常大会造成服务器带宽堵塞UDP Flood:发送大量的伪造源 IP 的 UDP 包，可能是大包或者小包，被攻击的服务器处理大量的 UDP 协议的时候耗尽系统资源，如果被攻击的服务器上有 UDP 的应用，会造成应用服务因为处理大量伪造的 UDP 数据包使CPU 100%， 如果包的数据量非常大，会造成带宽堵塞DNS Flood:发送大量的伪造源 IP 的 DNS 请求，可以是随机的也可以是针对某个域名的伪造请求,被攻击服务器的 DNS 服务处理大量的 DNS 请求造成 cpu100%系统资源耗尽，如果包的数据量非常大，会造成带宽堵塞安徽沐诚 二级建造师挂靠 ICMP Flood:发送大量的伪造源 IP 的 ICMP 包，可能是大包或者小包，被攻击的服务器处理大量的 ICMP 协议的时候会耗尽系统资源，如果被攻击的服务器上有 ICMP 的应用，会造成应用服务因为处理大量伪造的 ICMP 数据包使 CPU 100%， 如果包的数据量非常大，会造成带宽堵塞。

TCP Flood:发送大量的伪造源 IP 的 TCP 协议数据包如 ACK,RST,PUSH 等包，被攻击的服务器处理大量的 TCP 协议的时候会耗尽系统资源，过来的每个伪造包系统都会通过 TCP 协议栈进行处理， 会占用大量系统资源使CPU 100%， 如果包的数据量非常大，会造成带宽堵塞3.2.6 防护原理SYN Flood:设备收到一个 SYN 请求的时候,设备会模拟服务器代替连接，和客户端建立起连接后，在模拟客户端同服务器建立连接，然后做中转，从而可以完全拦截 SYN 虚假攻击UDP Flood:拦截此种攻击有三种方式：1．系统通过自动采样进来的 UDP 包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护2．设备可以通过设置攻击包的特征码来拦截攻击包3．设备提供有共第三方使用的接口，可以实现和用户的平台对接联动，让用户平台通过自己的手段判断出合法 IP 和非法 IP 后联动到设备上，从而实现更针对更有效的拦截DNS Flood:拦截此种攻击有三种方式：1.系统自动采样进来的 DNS 包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护。

2.系统有 DNS 智能防护模块，通过 DNS 协议的特性采用多重防护手段逐级过滤，来判断某个客户端 IP 是合法 IP ,让合法 IP 通过3.系统可以通过设置攻击包的特征码来拦截攻击包ICMP Flood:拦截此种攻击有两种方式：安徽沐诚 二级建造师挂靠 1.系统通过自动采样进来的 ICMP 包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护2．系统可以通过设置攻击包的特征码来拦截攻击包 TCP Flood:拦截此种攻击有三种方式：1.系统会记录正常建立的 TCP 连接，当收到 ACK 等一些伪造攻击包时，会检查伪造包有无建立合法的连接，如果没有就会丢弃从而实现防御2.系统可以通过黑客攻击包的特征码来拦截攻击包3.系统提供有共第三方使用的接口，可以实现与用户平台对接联动，让用户平台通过自己的手段判断出合法 IP 和非法 IP 后联动到设备上，从而实现更针对更有效的拦截3.2.7 拒绝 TCP 全连接攻击 攻击原理:针对服务器的某个端口，用大量肉鸡进行连接，虽然从 TCP 协议层来说连接是合法的，但是由于连接数量太多，会让服务器端口资源耗尽，合法用户无法进行连接,从而造成服务器的网络服务瘫痪。

防护原理:拦截此种攻击有两种方式：系统可以限制客户端的连接数量和连接频率，如果发现某个客户端连接请求异常就会把客户端加入黑名单，从而实现防护针对具体协议比如 HTTP 协议系统会进行代理，所有的请求设备预先进行接管检查，比如会对连接异常的客户端返回验证页面，从而实现智能防护3.2.8 防止 Script 脚本攻击 专业防范 ASP、PHP、PERL、JSP 等脚本程序的洪水式 Flood 调用导致数据库和 WEB 崩溃的拒绝服务攻击安徽沐诚 二级建造师挂靠 攻击原理针对服务器的 HTTP 协议的某些脚本 URL，用大量肉鸡进行反复调用，脚本执行会造成数据库和 CPU 巨大的压力，从而让服务器资源耗尽，合法用户无法进行连接,造成服务器的网络服务瘫痪防护原理拦截此种攻击有三种方式：1.针对 HTTP 协议设备会进行代理，所有的请求设备预先进行接管检查，比如会对连接异常的客户端返回验证页面，从而实现智能防护2.针对被攻击服务器的应用协议定制规则，设置频率、连接次数、关键字匹配、包的大小等进行组合过滤，确保正常用户可以调用的情况下，对异常频繁的客户端 IP 进行拦截3.系统提供有共第三方使用的接口，可以实现与用户平台对接联动，让用户平台通过自己的手段判断出合法 IP 和非法 IP 后联动到设备上，从而实现更针对更有效的拦截。

3.2.9 对付 DDoS 工具 XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW、DDOSBINGDUN 等数十种攻击原理这些攻击工具都具备多种 DDoS 的攻击方法，可以同时使用多种攻击一起攻击对服务器造成更严重的损害防护原理设备的各个防御模块可以根据服务器的流量，连接数等自动启动，通过规则策略执行模块，协调多级过滤，从而实现混合攻击的防护3.2.10 对付 CC 攻。