对于安全性测试,为了能够对防火墙产品在抗DoS 能力上有一个比较好的量化,因此本次测试采用了Smartbits 6000B 的Websuite2.6 测试组件,该组件能够对Syn flood、 Smurf attack、 Ping of death、 Teardrop attack、 Land-based attack、 Ping sweep、 Ping flood、udp flood、tcp 扫描、arp攻击以及jolt2 攻击等进行抵抗测试。在测试方法上,利用SmartBits模拟实际攻击流量通过内网口向防火墙发送上述类型的数据包,检测外网口收到的数据,以此来判断防火墙是否可以挡住DoS 攻击。 为了使得模拟攻击更接近于实际,我们在选择攻击流量时分别选择了10%和20%的攻击压力,因为100%的流量压力攻击在实际网络中并不存在。同时,在一些攻击量选择上我们也选择了只发送固定数量的攻击数据包,以确定实际能穿透防火墙的个数。总体来说,对防火墙抵抗攻击测试上,选择不同负载测试抗攻击能力能从一定程度上能够检测出防火墙的安全性。 syn flood: 攻击的测试原理是向防火墙发送大量伪装连接的请求包,这些请求包的发起地址设置为目标不可到达的地址,这样对被攻击对象的第二次握手没有主机响应,造成被攻击对象主机内部存在大量的半开连接,以至于新的正常连接不能进入从而造成服务的停顿甚至死机。 ping of death 攻击:向被攻击主机发送大量的碎片包,使这些碎片组装起来后构成一个超出最大限制的ping 请求包从而造成被攻击主机的缓冲区溢出。 land 攻击:向防火墙发送源地址和目标地址相同的tcp 数据包,利用Smartbits 的攻击包发生器产生该攻击流量从外部网攻击防火墙,考察系统的运行情况是否正常。 Tear Drop 攻击:利用了IP 数据片断重组上的弱点。IP 数据包在Internet 上传递时,数据包可以分成更小的片断。每个片断看起来都象原来的IP 数据包,不同之处在于,每个片断里都包含一个偏移字段。Teardrop 程序可以生成一系列IP 片断,这些IP 片断的偏移字段彼此重叠。当这些IP 片断到达目标主机,进行重组的时候,某些系统就会崩溃、挂起或重启动。 ping flood 攻击:该攻击在短时间内向目的主机发送大量ping 包,造成网络堵塞或主机资源耗尽。 Smurf 攻击:一种强力攻击,针对的是IP 标准的一个功能-叫做直接广播寻址。Smurf 攻击向路由器发送大量的ICMP( Internet 控制信息协议) echo 请求数据包(大量的ping)。因为每个包的目标IP 地址都是网络的广播地址,所以路由器会把ICMP...
