4/23/2023，光纖在線訊，關于網(wǎng)絡安全現(xiàn)狀，在前面的文章中已有介紹，感興趣的小伙伴可以翻看往期的文章（信而泰測試方案，助力客戶打造網(wǎng)絡安全防護“金鐘罩”），今天要和大家聊一聊眾多網(wǎng)絡攻擊其中最常見的一種：DDOS攻擊，以及如何使用二三層儀表模擬無狀態(tài)的DDOS攻擊測試。

什么是DDOS攻擊

     分布式拒絕服務攻擊(Distributed Denial of Service，簡稱DDoS)是指通過大規(guī)模互聯(lián)網(wǎng)流量淹沒目標服務器或其周邊基礎設施，以破壞目標服務器、服務或網(wǎng)絡正常流量的惡意行為。

     大量虛假的用戶占用網(wǎng)絡資源，把資源耗盡，導致正常用戶無法使用，好比高速公路全部被大量的惡意車輛占用，產(chǎn)生擁堵，妨礙常規(guī)車輛抵達預定目的地。

DDOS攻擊的類型

     DDOS攻擊有多種類型，如：SYN Flood、UDP Reflection、TCP Reflection、UDP Flood、UDP Fragment Flood、ACK Flood 、FIN/RST Flood 、UDP Replay 、ICMP Flood 、UDP Malformed 、TCP Fragment Flood 、TCP Connection Flood 、HTTP Flood、HTTP異常會話、HTTPS Flood、other。SYN Flood、UDP反射是網(wǎng)絡層攻擊的主要方式，其次就是應用層的泛洪攻擊。何為無狀態(tài)的DDOS攻擊，不需要與被攻擊方進行TCP三次握手等動態(tài)交互，只需發(fā)送固定字段的請求，把被攻擊方的資源耗盡。

DDOS攻擊態(tài)勢

     現(xiàn)如今大流量攻擊已成常態(tài)化，在2022年監(jiān)測到超800Gbps攻擊達7次之多，均發(fā)生在6月份，攻擊次數(shù)是 2021年的4倍，而在對被攻擊的行業(yè)統(tǒng)計中，游戲依然是受攻擊最嚴重的行業(yè)，游戲行業(yè)內(nèi)部激烈競爭導致針對游戲的攻擊頻率猛增。


注：數(shù)據(jù)摘自全球DDos現(xiàn)狀與趨勢分析

檢測設備抗DDOS攻擊能力

     在面對DDOS攻擊時，運營商有著相應的云清洗服務，即使這樣企業(yè)在采用網(wǎng)絡基礎設備時，還是要檢測設備的抗DDOS攻擊能力，通過軟硬結(jié)合的方式來進行防護。專業(yè)硬件提供高效“硬防”抵御大流量網(wǎng)絡層攻擊；CPU提供AI 加持的多層級“軟防”，精細化過濾小流量應用層攻擊，且“軟防”需提供實時分析和提取攻擊特征、智能調(diào)度“硬防”的能力，從而快速阻斷混合攻擊，有效提升防御效率。所以在對設備做測試的時候，不止要測設備的性能，還要測試設備的抗攻擊能力。

儀表模擬DDOS攻擊流量

     網(wǎng)絡測試儀表可以構造DDOS復雜大流量攻擊，來檢驗設備的DDOS攻擊能力。本期我們要說的就是如何使用2-3層儀表模擬無狀態(tài)的DDOS流量攻擊。信而泰BigTao系列、DarYu系列及Darpeng系列網(wǎng)絡測試儀表，均可模擬DDOS攻擊測試。、


圖示：抗DDOS攻擊測試拓撲

Part 01.構造網(wǎng)絡層及傳輸層DDOS攻擊流量
1、儀表在測試的端口上增加raw流來構造攻擊流量；



2、根據(jù)攻擊類型選擇相應的報頭封裝，以UDP Flood為例，即選擇以太幀+IPv4幀+UDP報頭；



3、接著修改流量里面的內(nèi)容，來達到攻擊的目的。
（1）目的MAC需要填充儀表該接口直連接口的mac地址；



（2）源IP可根據(jù)需要進行遞增遞減或隨機的方式來進行跳變，從而達到模擬大量源IP不同用戶的場景，目的IP則填充被攻擊設備的IP；



（3）UDP源目端口選擇隨機跳變，來模擬真實UDP Flood的場景；



4、一個模擬UDP Flood的攻擊流量就創(chuàng)建好了，設置好需要發(fā)送帶寬的大小后，即可測試設備的抗DDOS能力；其他的網(wǎng)絡層及傳輸層的DDOS，同理，根據(jù)每種攻擊的特性不同，將報文里的相應字段置位來達到攻擊的目的，如 SYN Flood，需要將TCP報頭里的syn置1。

Part 02.模擬應用層DDOS攻擊流量

關于應用層的攻擊，相應的應用層報頭在二三層儀表上無法添加，可以通過導入Custom來實現(xiàn)，具體方式如下：
1、將需要模擬應用層報文抓出來，通過wireshark打開，把傳輸層及應用層報頭對應的二進制導出來；



2、儀表創(chuàng)建raw流，增加以太幀+IPv4頭，以及再添加一個custom自定義報頭，以太幀和IPv4頭的跳變設置同上，在custom里把剛剛導出的二進制數(shù)導入，這樣就完成了一個應用層報文構造。



Part 03.查看設備抗DDOS測試結(jié)果



1、儀表向被測設備發(fā)送DDOS攻擊，若被測設備無法識別DDOS攻擊，并處理了相應的攻擊流量，如ARP攻擊，則被測設備會將ARP攻擊報文上送CPU處理，大量上送CPU處理的報文將會使得被測設備的CPU利用率高達100%，可通過查看被測設備的CPU利用率來判斷。



2、儀表與被測設備連接觀察端口，通過在儀表端口統(tǒng)計視圖上查看觀察端口的接收帶標簽報文數(shù)量來判斷被測設備抗DDOS攻擊效果。