对于安全性测试,为了能够对防火墙产品在抗DoS 能力上有一个比较好的量化,因此本次测试采用了Smartbits 6000B 的Websuite2
6 测试组件,该组件能够对Syn flood、 Smurf attack、 Ping of death、 Teardrop attack、 Land-based attack、 Ping sweep、 Ping flood、udp flood、tcp 扫描、arp攻击以及jolt2 攻击等进行抵抗测试
在测试方法上,利用SmartBits模拟实际攻击流量通过内网口向防火墙发送上述类型的数据包,检测外网口收到的数据,以此来判断防火墙是否可以挡住DoS 攻击
为了使得模拟攻击更接近于实际,我们在选择攻击流量时分别选择了10%和20%的攻击压力,因为100%的流量压力攻击在实际网络中并不存在
同时,在一些攻击量选择上我们也选择了只发送固定数量的攻击数据包,以确定实际能穿透防火墙的个数
总体来说,对防火墙抵抗攻击测试上,选择不同负载测试抗攻击能力能从一定程度上能够检测出防火墙的安全性
syn flood: 攻击的测试原理是向防火墙发送大量伪装连接的请求包,这些请求包的发起地址设置为目标不可到达的地址,这样对被攻击对象的第二次握手没有主机响应,造成被攻击对象主机内部存在大量的半开连接,以至于新的正常连接不能进入从而造成服务的停顿甚至死机
ping of death 攻击:向被攻击主机发送大量的碎片包,使这些碎片组装起来后构成一个超出最大限制的ping 请求包从而造成被攻击主机的缓冲区溢出
land 攻击:向防火墙发送源地址和目标地址相同的tcp 数据包,利用Smartbits 的攻击包发生器产生该攻击流量从外部网攻击防火墙,考察系统的运行情况是否正常
Tear Drop 攻击:利用了IP 数据片断重组上的弱点
IP 数据包在Int
