拒绝服务系统测试报告

1、第一章 测试方案1.1 测试目标抗拒绝服务系统功能验证、稳定性测试。功能验证含：1. 管理功能验证，包括管理的集中结构测试、多级管理员工作方式测试、管理功能的测试、报警功能测试、抓包分析、日志审计功能测试等。2. 业务功能验证： DDos防御功能测试。1.2 测试范围抗拒绝服务系统功能、性能、稳定性测试。1.3 测试环境硬件构成设备名称数量用途性能要求抗拒绝服务系统（）1作为防护攻击测试主要对象服务器1模拟受保护服务器普通x86服务器测试拓扑：1.4 测试报告预期结果： 1.能正常过滤DNS query flood 攻击、并对正常的DNS query 流给予放行、不影响正常业务流。测试结果：攻

2、击流量（Gbps）包流量（pps）Web视频响应时延Web、视频成功率验证合法地址的最大时延泄露攻击包数量 0.95G140kpps<20ms100%<30ms0备注： 1.4.1 udp flood 防御验证测试项目：抗拒绝服务系统udp flood 测试。测试目的：抗拒绝服务系统 udp flood 防护功能、防护能力。测试设备：预置条件：1. 以透明模式接入测试网络中。 测试步骤：功能测试：1.定义抗拒绝服务系统UDP flood攻击防范策略2.通过攻击服务器1对目标服务器2发UDP flood攻击包（UDP flood包长为64字节，ip源地址为A类随即变化）3.通过 wi

3、reshark 观察，服务器2上是否有攻击报文4.撤掉抗DDOS攻击设备，观察服务器2上是否有攻击报文。预期结果： 1.能正常过虑UDP flood 攻击、并对正常流量给予放行、不影响正常业务流测试结果：攻击流量（Gbps）包流量（pps）客户端可否正常访问UDP服务及时延ICMP丢包率泄露攻击包数量0.95140kpps<50ms0%>100个备注： 1.4.2 icmp flood 防御验证测试项目：抗拒绝服务系统icmp flood 测试。测试目的：抗拒绝服务系统 icmp flood 防护功能、防护能力。测试设备：预置条件：2. 以透明模式接入测试网络中。 测试步骤：功能测

4、试：1.定义抗拒绝服务系统ICMP flood攻击防护策略2.通过攻击服务器1对目标服务器2发ICMP flood攻击包（ICMP flood 包长为78字节，ip源地址为A类随即变化）3.通过 wireshark 观察，服务器2上是否有攻击报文4.撤掉抗DDOS攻击设备，观察服务器2上是否有攻击报文预期结果： 1.能正常过滤ICMO flood 攻击、并对正常的流量给予放行、不影响正常业务流。测试结果： 攻击流（Gbps）包流量（pps）Web、视频响应时延ICMP丢包率泄露攻击包数量0.95G110kpps<30ms0<100个备注： 1.4.3 混合攻击防御验证测试项目：抗拒

5、绝服务系统混合攻击防护测试。测试目的：抗拒绝服务系统混合攻击防护功能、防护能力。测试设备：预置条件：3. 以透明模式接入测试网络中。 测试步骤：功能测试：1.定义抗拒绝服务系统TCP 、UDP flood攻击防护策略2.通过攻击服务器1对目标服务器2发SYN 、DNS query、UDP flood等多种混合攻击包3.通过 wireshark 观察，服务器2上是否有攻击报文4.撤掉抗DDOS攻击设备，观察服务器2上是否有攻击报文。预期结果： 1.能正常过滤各种攻击、并对正常流量给予放行、不影响正常业务流。测试结果：攻击流量（bps）包流量（pps）http访问成功率及时延域名解析成功虑（%）U

6、DP服务成功率及时延泄露攻击包数量Syn flood攻击流量DNS flood攻击流量Syn floodDNS flood0.5G0.45G74kpps56kpps<30ms100%100%,<30ms<200个备注： 1.5 部分测试截图接抗DDOS设备后未接抗DDOS设备时未接抗DDOS设备时连接监控攻击日志第二章 部署建议天融信抗DDOS设备具有强大的性能，建议部署在ISP出口处，作为外网入口处第一道网络屏障第三章 产品介绍3.1 性能Ø 系统可靠性系统开发期间通过安全测试实验室压力对系统测试1000小时无故障运行，并支持双机热备，保障系统可7×24

7、小时不间断运行。 Ø 系统安全性整个系统通过直连部署在网络中，透明模式接入，设备将不被网络上层与网络下层设备所侦测接口，管理口采用审核加密访问模式，传输数据均使用加密传输，保障传输安全。3.2 高效的DDoS防护功能网络卫士抗拒绝服务系统应用了自主研发的抗拒绝服务攻击算法，创造性地将算法实现在协议栈的最底层，避免了TCP/UDP/IP等高层系统网络堆栈的处理，使整个运算代价大大降低，并结合特有硬件加速运算，因此系统效率极高，对SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Floo

8、d以及连接耗尽这些常见的攻击行为能够有效识别，并通过集成的机制实时对这些攻击流量进行阻断。同时结合业界独创的攻击检测算法，所以能够针对海量DDoS进行防护。拦截数据保证了正常流量的顺畅通过。3.2.1 阻止DoS攻击TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、Big Ping、OOB等数百种。3.2.2 攻击原理利用操作系统漏洞，发一些特殊的数据包，造成操作系统协议堆栈接收到这些特殊数据包后，处理异常引起服务器操作系统蹦贵或者通过漏洞非法获取权限进行入侵。3.2.3 防护原理设备有攻击特征库，会预置已发现的攻击特征码，通过攻击特征库的比对，从而

9、拦截已知的各种攻击，设备的攻击特征库可以定义更新，从而防护最新的攻击。3.2.4 抵御DDoS攻击SYN Flood、UDP Flood、DNS Flood、 ICMP Flood、TCP Flood等所有流行的DDOS 攻击。3.2.5 攻击原理SYN/ACK Flood: 发大量送伪造源IP的TCP协议的SYN包，或者ACK包，使被攻击的服务器的TCP协议栈处理这些虚假的请求耗尽系统资源，正常的请求由于得不到资源而不能连接，造成服务器TCP协议栈瘫痪甚至整个系统崩溃，如果攻击量非常大会造成服务器带宽堵塞。UDP Flood:发送大量的伪造源IP的UDP包，可能是大包或者小包，被攻击的服务器

10、处理大量的UDP协议的时候耗尽系统资源，如果被攻击的服务器上有UDP的应用，会造成应用服务因为处理大量伪造的UDP数据包使CPU 100%， 如果包的数据量非常大，会造成带宽堵塞。DNS Flood:发送大量的伪造源IP的DNS请求，可以是随机的也可以是针对某个域名的伪造请求,被攻击服务器的DNS服务处理大量的DNS请求造成cpu100%系统资源耗尽，如果包的数据量非常大，会造成带宽堵塞。ICMP Flood:发送大量的伪造源IP的ICMP包，可能是大包或者小包，被攻击的服务器处理大量的ICMP协议的时候会耗尽系统资源，如果被攻击的服务器上有ICMP的应用，会造成应用服务因为处理大量伪造的IC

11、MP数据包使CPU 100%， 如果包的数据量非常大，会造成带宽堵塞。TCP Flood:发送大量的伪造源IP的TCP协议数据包如ACK,RST,PUSH 等包，被攻击的服务器处理大量的TCP协议的时候会耗尽系统资源，过来的每个伪造包系统都会通过TCP协议栈进行处理， 会占用大量系统资源使CPU 100%， 如果包的数据量非常大，会造成带宽堵塞。3.2.6 防护原理SYN Flood:设备收到一个SYN请求的时候,设备会模拟服务器代替连接，和客户端建立起连接后，在模拟客户端同服务器建立连接，然后做中转，从而可以完全拦截SYN虚假攻击UDP Flood:拦截此种攻击有三种方式：1系统通过自动采样

12、进来的UDP包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护。2设备可以通过设置攻击包的特征码来拦截攻击包。3设备提供有共第三方使用的接口，可以实现和用户的平台对接联动，让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上，从而实现更针对更有效的拦截。DNS Flood:拦截此种攻击有三种方式：1.系统自动采样进来的DNS包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护。2.系统有DNS智能防护模块，通过DNS协议的特性采用多重防护手段逐级过滤，来判断某个客户端IP是合法IP ,让合法IP 通过。3.系统可以

13、通过设置攻击包的特征码来拦截攻击包。ICMP Flood:拦截此种攻击有两种方式：1.系统通过自动采样进来的ICMP包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护。2系统可以通过设置攻击包的特征码来拦截攻击包。 TCP Flood:拦截此种攻击有三种方式：1.系统会记录正常建立的TCP连接，当收到ACK等一些伪造攻击包时，会检查伪造包有无建立合法的连接，如果没有就会丢弃从而实现防御。2.系统可以通过黑客攻击包的特征码来拦截攻击包。3.系统提供有共第三方使用的接口，可以实现与用户平台对接联动，让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上，

14、从而实现更针对更有效的拦截。3.2.7 拒绝TCP全连接攻击 攻击原理:针对服务器的某个端口，用大量肉鸡进行连接，虽然从TCP协议层来说连接是合法的，但是由于连接数量太多，会让服务器端口资源耗尽，合法用户无法进行连接,从而造成服务器的网络服务瘫痪。防护原理:拦截此种攻击有两种方式：系统可以限制客户端的连接数量和连接频率，如果发现某个客户端连接请求异常就会把客户端加入黑名单，从而实现防护。针对具体协议比如HTTP协议系统会进行代理，所有的请求设备预先进行接管检查，比如会对连接异常的客户端返回验证页面，从而实现智能防护。3.2.8 防止Script脚本攻击 专业防范ASP、PHP、PERL、JSP

15、等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。攻击原理针对服务器的HTTP协议的某些脚本URL，用大量肉鸡进行反复调用，脚本执行会造成数据库和CPU巨大的压力，从而让服务器资源耗尽，合法用户无法进行连接,造成服务器的网络服务瘫痪。防护原理拦截此种攻击有三种方式：1.针对HTTP协议设备会进行代理，所有的请求设备预先进行接管检查，比如会对连接异常的客户端返回验证页面，从而实现智能防护。2.针对被攻击服务器的应用协议定制规则，设置频率、连接次数、关键字匹配、包的大小等进行组合过滤，确保正常用户可以调用的情况下，对异常频繁的客户端IP进行拦截。3.系统提供有共第三方使用的接口

16、，可以实现与用户平台对接联动，让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上，从而实现更针对更有效的拦截。3.2.9 对付DDoS工具 XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW、DDOSBINGDUN等数十种。攻击原理这些攻击工具都具备多种DDoS的攻击方法，可以同时使用多种攻击一起攻击对服务器造成更严重的损害。防护原理设备的各个防御模块可以根据服务器的流量，连接数等自动启动，通过规则策略执行模块，协调多级过滤，从而实现混合攻击的防护。3.2.10 对付CC攻击攻击原理 针对服务器

17、的HTTP协议或者其他TCP协议的服务，用大量肉鸡进行反复连接，或者连接后反复发送一些伪造的数据，造成服务器资源耗尽，从而让服务器资源耗尽，合法用户无法进行连接,造成服务器的网络服务瘫痪。防护原理针对HTTP协议系统会进行代理，所有的请求设备预先进行接管检查，比如会对连接异常的客户端返回验证页面，从而实现智能防护。针对被攻击服务器的应用协议定制规则，设置频率、连接次数、关键字匹配、包的大小等进行组合过滤，确保正常用户可以调用的情况下，对异常频繁的客户端IP进行拦截。设备提供有共第三方使用的接口，可以实现和用户的平台对接联动，让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上，从而实

18、现更针对更有效的拦截。3.2.11 过滤关键字攻击原理大量发送具备一些重复特征的伪造源IP的多种协议的攻击包，造成服务器带宽堵塞，系统资源耗尽。防护原理1.系统通过自动采样进来的数据包，经过智能对比，来过滤出攻击样本，然后通过比对样本的频率以及样本的数据组合来进行防护。2.系统可以通过设置攻击包的特征码来拦截攻击包。3.系统提供有共第三方使用的接口，可以实现与用户平台对接联动，让用户平台通过自己的手段判断出合法IP和非法IP后联动到设备上，从而实现更针对更有效的拦截。3.2.12 支持大规模部署和集群管理系统支持旁路群集部署，用户可根据需求增加或减少群集中设备。系统在群集中部署将区分控制中心与

19、受控机，控制中心会同步所有受控机的数据，同步交换机负责数据防御规则同步、规则下发，使他们在一个集群内协同工作，完全服从管理平台的管理。3.2.13 支持连接状态监控通过查看连接状态可快速分析被保护区域内是否存在被攻击服务器IP3.2.14 支持SSL3.0 1024位加密系统在B/S架构数据传输中采用SSL3.0 1024位加密，保障数据的安全性，避免数据被黑客截取，得到系统管理权限从而对网络破坏，SSL加密最大程度的提供了网络管理便携性与安全性的整体解决方案。3.2.15 完善的用户管理系统具备完善的用户管理规模，支持多用户多权限分配，支持用户所有操作记录日志。同时支持用户组，管理员可将不同区域用户加入用户组，并通过对用户组赋予权限使得组内用户得到相应权限。同时系统支持生成一次性登录权限用户，该权限便于管理员授权给临时或特殊人员使用，该用户由系统随机生成，生成可登录系统一次，退出将永久无法登录。最大程度上方便管理员运维管理。3.2.16 支持 radius ,syslog, snmp系统具备支持radius、syslog、snmp等远程日志认证服务器与管理服务器相关协议与接口，同时网络卫士抗拒绝服务系统可根据用户需求或市场需