很多對安全裝置的測試只關注對安全裝置本身的保護,比如是否有足夠的漏洞和惡意攻擊可以防禦,是否能抵禦大流量的L23層DDoS或應用層DDoS攻擊,而不考慮是否防禦攻擊,阻斷正常的業務流量。 例如,為了防禦DDoS攻擊,乙個源IP位址只允許10個TCP連線,如果內網提供的應用服務需要10個以上的連線到同乙個IP位址怎麼辦?
為了避免這種情況,我們需要乙個可以同時產生混合應用流量、DDoS 攻擊、漏洞攻擊和惡意攻擊的網路安全測試工具。
基於PCT架構的新一代網路應用安全測試平台ALPS(Application Layer Protocol Simulator)支援實際應用。
層流量**,如應用層協議:HTTP、FTP、TCP、DNS等; 語音:VOIP SIP >P等 *rtsp/rtp、multicast、video
codec(h.261、h.262/mpeg-2、h.263、h.264、h.265、MPEG-TS、MPEG-1、MPEG-4)等;同時,它可以是最真實的攻擊流量(DDoS 攻擊、殭屍網路攻擊、自定義攻擊等)、惡意流量和病毒流量。 結合基於下一代X86架構的達鵬2000E硬體平台,可以更好地對安全裝置或安全系統進行全面評估。
我們以乙個簡單的混合應用攻擊流量配置為例,我們來看看如何在ALPS中配置它。
並新增元件,ALPS有8種不同型別的元件,每個元件可以進行不同的測試,這次我們需要使用以下四個(如果儀表目前支援的應用協議不包括在內,可以新增乙個回放元件,通過回放產生流量):
應用模擬器:應用流量**,支援HTTP、FTP、SMTP、SIP等混合流量,在同一元件中同時發出。
DDoS攻擊:DDoS攻擊,如常見的TCP SYN Flood、UDP Flood等,也可以作為應用層DDoS攻擊,如慢速攻擊等,並且儀表支援TCP和DNS輔助認證,可以更好地改善真實客戶端和DDoS攻擊源的不同行為。
安全性:**漏洞攻擊,目前支援7000多種攻擊,並且每個月不斷更新。
惡意軟體:病毒和惡意檔案,目前支援超過35,000種檔案,並且每個月都在不斷更新。
我們根據需要選擇需要的流量,並設定流量比,流量比可以根據頻寬或流量進行設定,可以直觀地看到每個流量占用的頻寬,應用流量佔流量總數的比例,以及是否需要進行丟包、亂序等損壞可以為單個流或所有流啟用減值
與混合應用流類似,也可以新增多個 DDoS 攻擊,然後設定不同 DDoS 攻擊流量的佔比,權重也可以通過頻寬或流來調整。
不同的DDoS攻擊也可以調整不同的引數,比如TCP ACK Flood和HTTP Slowloris攻擊的內容長度。
另外,為了更好的測試,我們一般會在應用的後台流量達到穩定水平時發出DDoS攻擊,所以這裡我們需要做乙個延遲啟動的DDoS攻擊,比如說應用流量設定為穩定20秒後,DDoS的延遲啟動可以設定為20秒。
新增漏洞攻擊行為,在配置中新增需要的漏洞攻擊,左側會直觀顯示當前漏洞攻擊包含哪些協議以及緊急程度。
為了做出更逼真的實時網路攻擊,還可以新增逃逸行為,目前ALPS支援TCP、HTTP、FTP等協議相關的逃逸配置。
新增惡意**和病毒後,左側會顯示關聯的協議和緊急程度。
惡意軟體元件也支援轉義設定,目前支援多層壓縮(最多100層)和多種壓縮方式,如下圖所示,設定RAR壓縮8次,再設定TAR壓縮9次,以此類推。
我們可以設定測試合格條件,這樣儀器測試完成後,我們就可以自動判斷測試是否符合要求。 如果後台流只有TCP流量,我們可以將客戶端的TCP連線嘗試次數設定為等於伺服器端建立的TCP次數,或者將客戶端的失敗次數設定為0。 如果存在 UDP 流量,則可以將 UDP 設定為平均接收和傳送資料包。
對於DDoS,攻擊包攔截率必須高於98%,並設定以下條件:
對於安全和惡意軟體,要求阻斷率高於90%(共新增漏洞攻擊100次,惡意病毒100次),可設定如下:
儀表根據預設條件自動確定測試是否通過。
我們可以根據提示找到對應的流量,檢查狀態,比如混合應用流中的某個流是否連線異常,排除是否被中間裝置誤截,調整傳送速率,再試。 同樣,DDoS 攻擊流也可以確認某種型別的 DDoS 攻擊是否不受保護。
對於漏洞攻擊,我們可以檢視攻擊結果和五元組資訊,並與被測裝置的日誌進行對比確認。
對於惡意病毒,我們可以檢視攻擊結果和對應的MD5等資訊,並與被測裝置的日誌進行對比確認。
經過混合攻擊流量測試後,我們可以對系統的整體安全性有乙個整體的了解,並能更好地確認後續的優化方向,從而將系統的安全性提高到更高的水平。