中新金盾防火墙测试方案NEW.doc

抗拒绝服务攻击设备测试方案 前言 随着Internet网络带宽的增加和多种DDoS黑客工具的不断发布，DDoS拒绝服务攻击的实施越来越容易，并且随着各种各样网络应用的产生，DDOS攻击事件正在呈逐步上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC机房、商业站点、游戏服务器等网络应用长期以来一直受DDoS攻击所困扰。更为严重的是，伴随DDoS攻击而来的是服务质量下降、客户投诉、法律纠纷、商业损失等一系列问题，因此，DDoS攻击与抗DDoS攻击之间的斗争可谓是生死之战，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。 那么什么是拒绝服务攻击（DoS）呢？所谓拒绝服务攻击，简单地讲，就是利用网络协议存在的固有漏洞，伪造合理的服务请求，消耗有限的网络带宽或占用过多的服务资源，使网络或者服务无法响应用户的正常请求，造成网络服务瘫痪。早期的拒绝服务攻击一般是一对一式的，只有针对那些带宽较窄，CPU、内存 等性能较差的目标主机发动攻击时效果明显。但是后来随着计算机硬件性能的提升和网络技术的发展，目标主机对恶意攻击包的处理能力大大提高，这就在一定程度上加大了DOS攻击的难度。比如，你每秒发送3000个攻击数据包，我的目标主机每秒却能处理10000个攻击包，这样，攻击的效果就微乎其微了。这时，分布式拒绝服务攻击――DDoS就应运而生了。DDoS并不是一种全新的攻击方式，而是建立在原来的DoS攻击基础上的。比如计算机与网络的处理攻击性能增强了10倍，用一台攻击机不行，我就用分布在网络上的10台、100台，或者更多的僵尸主机，肯定就会达到使目标主机瘫痪的目的。这样，黑客只要在控制分布在网络中一定数量的僵尸主机，同时向目标主机发动大规模的攻击，就可以达到瘫痪目标主机的目的。 由于拒绝服务攻击发起越来越容易，而且攻击效果非常明显，单靠系统策略或者单一的防护手段很难对其防护，所以危害极大。这种攻击方式也就成为了目前最流行的攻击方式(常见攻击类型的有SYN Flood、UDP Flood、CC Proxy Flood、Connection Exhausted、M2等攻击方式)。因此，采用专业的防护设备来对抗DDoS攻击势在必行。 一、测试目标 针对市场上品牌繁多、性能各异的抗拒绝服务攻击设备，如何才能选择一款性能可靠、防护效果明显的防火墙呢？通常，对厂家提供的一些性能参数，只能作为一个选型的参考，具体能不能达到这些参数，还需要经受实际测试使用来检验。下面我们就提供一些方案来对抗拒绝服务设备进行性能测试（仅供测试人员参考）。 二、测试环境的搭建 我们知道，拒绝服务攻击要达成使目标主机网络服务瘫痪的目的，一般有两种实现手段： 一、采用占用带宽型攻击，堵塞网络带宽。通过发送海量虚假的服务请求数据包，造成目标服务器所分配的带宽被大量占用，正常的服务请求无法到达服务器。如：SYN Flood、UDP Flood、TFN等攻击类型。 二、采用消耗系统资源型攻击，耗尽系统资源。通过利用网络协议存在的一些固有漏洞或缺陷，发送恶意连接请求持续占用有限的系统资源，如CPU、内存资源，直至耗尽这些资源，达到使目标服务器无法响应正常用户的访问请求。如：CC、HTTP Half Open、HTTP Error、Land Attack等。 无论采取那种方式，攻击者只有一个目的，那就是使目标主机的网络服务瘫痪。 了解了拒绝服务攻击的实现手段，我们就可以采用这两种手段搭建出测试抗拒绝务设备的测试环境。 在搭建测试环境之前，我们还要了解一下测试抗拒绝服务设备的常用的两种方式： 一、是使用专业的测试仪器。如使用思博伦通信公司（Spirent Communication）的SmartBits测试仪、IXIA公司的IXIA网络性能测试仪。采用这种方式的优点是只需使用一台仪器就可以模拟出复杂的网络应用、背景流量和攻击方式，同时还提供了此类设备测试通行的一些测试项目。不过此类专业测试仪器往往价格非常昂贵，测试代价太高，一般用户很难采用，仅供具备条件的专业用户采用。另外，采用这类设备进行性能测试，厂商都会提供更为详细、专业的测试说明。因此，我们就不在此对这种方式作更多的说明。 二、是使用一些攻击工具进行测试。如XDOS攻击器、ChallengeCollapsar DDOS、 M2攻击器、CC攻击器、丑丑导弹攻击器等等，这类攻击工具具有很强的针对性，攻击带来的危害也比较大，而且这类攻击工具很多都是免费下载，新的攻击工具也源源不断地出现，因此这种方式实现起来十分方便，并且我们目前网络中常见的攻击事件都是采用攻击工具发动的，所以采用这种测试方法具有最接近真实的攻击效果，最能考验实际环境中防火墙的处理性能以及对各类网络应用的兼容程度。因此我们就把它作为首选的测试方案。 采用工具