如何使用二三层仪表模拟无状态的DDOS攻击测试
关于网络安全现状,在前面的文章中已有介绍,感兴趣的小伙伴可以翻看往期的文章(信而泰测试方案,助力客户打造网络安全防护“金钟罩”),今天要和大家聊一聊众多网络攻击其中最常见的一种:DDOS攻击,以及如何使用二三层仪表模拟无状态的DDOS攻击测试。
什么是DDOS攻击
分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)是指通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。
大量虚假的用户占用网络资源,把资源耗尽,导致正常用户无法使用,好比高速公路全部被大量的恶意车辆占用,产生拥堵,妨碍常规车辆抵达预定目的地。
DDOS攻击的类型
DDOS攻击有多种类型,如:SYN Flood、UDP Reflection、TCP Reflection、UDP Flood、UDP Fragment Flood、ACK Flood 、FIN/RST Flood 、UDP Replay 、ICMP Flood 、UDP Malformed 、TCP Fragment Flood 、TCP Connection Flood 、HTTP Flood、HTTP异常会话、HTTPS Flood、other。SYN Flood、UDP反射是网络层攻击的主要方式,其次就是应用层的泛洪攻击。何为无状态的DDOS攻击,不需要与被攻击方进行TCP三次握手等动态交互,只需发送固定字段的请求,把被攻击方的资源耗尽。
DDOS攻击态势
现如今大流量攻击已成常态化,在2022年监测到超800Gbps攻击达7次之多,均发生在6月份,攻击次数是 2021年的4倍,而在对被攻击的行业统计中,游戏依然是受攻击最严重的行业,游戏行业内部激烈竞争导致针对游戏的攻击频率猛增。
注:数据摘自全球DDos现状与趋势分析
检测设备抗DDOS攻击能力
在面对DDOS攻击时,运营商有着相应的云清洗服务,即使这样企业在采用网络基础设备时,还是要检测设备的抗DDOS攻击能力,通过软硬结合的方式来进行防护。专业硬件提供高效“硬防”抵御大流量网络层攻击;CPU提供AI 加持的多层级“软防”,精细化过滤小流量应用层攻击,且“软防”需提供实时分析和提取攻击特征、智能调度“硬防”的能力,从而快速阻断混合攻击,有效提升防御效率。所以在对设备做测试的时候,不止要测设备的性能,还要测试设备的抗攻击能力。
仪表模拟DDOS攻击流量
网络测试仪表可以构造DDOS复杂大流量攻击,来检验设备的DDOS攻击能力。本期我们要说的就是如何使用2-3层仪表模拟无状态的DDOS流量攻击。信而泰BigTao系列、DarYu系列及Darpeng系列网络测试仪表,均可模拟DDOS攻击测试。
图示:抗DDOS攻击测试拓扑
Part 01
构造网络层及传输层DDOS攻击流量
1、仪表在测试的端口上增加raw流来构造攻击流量;
2、根据攻击类型选择相应的报头封装,以UDP Flood为例,即选择以太帧+IPv4帧+UDP报头;
3、接着修改流量里面的内容,来达到攻击的目的。
(1)目的MAC需要填充仪表该接口直连接口的mac地址;
(2)源IP可根据需要进行递增递减或随机的方式来进行跳变,从而达到模拟大量源IP不同用户的场景,目的IP则填充被攻击设备的IP;
(3)UDP源目端口选择随机跳变,来模拟真实UDP Flood的场景;
4、一个模拟UDP Flood的攻击流量就创建好了,设置好需要发送带宽的大小后,即可测试设备的抗DDOS能力;其他的网络层及传输层的DDOS,同理,根据每种攻击的特性不同,将报文里的相应字段置位来达到攻击的目的,如 SYN Flood,需要将TCP报头里的syn置1。
Part 02
模拟应用层DDOS攻击流量
关于应用层的攻击,相应的应用层报头在二三层仪表上无法添加,可以通过导入Custom来实现,具体方式如下:
1、将需要模拟应用层报文抓出来,通过wireshark打开,把传输层及应用层报头对应的二进制导出来;
2、仪表创建raw流,增加以太帧+IPv4头,以及再添加一个custom自定义报头,以太帧和IPv4头的跳变设置同上,在custom里把刚刚导出的二进制数导入,这样就完成了一个应用层报文构造。
Part 03
查看设备抗DDOS测试结果
1、仪表向被测设备发送DDOS攻击,若被测设备无法识别DDOS攻击,并处理了相应的攻击流量,如ARP攻击,则被测设备会将ARP攻击报文上送CPU处理,大量上送CPU处理的报文将会使得被测设备的CPU利用率高达100%,可通过查看被测设备的CPU利用率来判断。
2、仪表与被测设备连接观察端口,通过在仪表端口统计视图上查看观察端口的接收带标签报文数量来判断被测设备抗DDOS攻击效果。
