4/23/2023，光纖在線訊，關(guān)于網(wǎng)絡(luò)安全現(xiàn)狀，在前面的文章中已有介紹，感興趣的小伙伴可以翻看往期的文章（信而泰測試方案，助力客戶打造網(wǎng)絡(luò)安全防護(hù)“金鐘罩”），今天要和大家聊一聊眾多網(wǎng)絡(luò)攻擊其中最常見的一種：DDOS攻擊，以及如何使用二三層儀表模擬無狀態(tài)的DDOS攻擊測試。

什么是DDOS攻擊

     分布式拒絕服務(wù)攻擊(Distributed Denial of Service，簡稱DDoS)是指通過大規(guī)�；ヂ�(lián)網(wǎng)流量淹沒目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，以破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常流量的惡意行為。

     大量虛假的用戶占用網(wǎng)絡(luò)資源，把資源耗盡，導(dǎo)致正常用戶無法使用，好比高速公路全部被大量的惡意車輛占用，產(chǎn)生擁堵，妨礙常規(guī)車輛抵達(dá)預(yù)定目的地。

DDOS攻擊的類型

     DDOS攻擊有多種類型，如：SYN Flood、UDP Reflection、TCP Reflection、UDP Flood、UDP Fragment Flood、ACK Flood 、FIN/RST Flood 、UDP Replay 、ICMP Flood 、UDP Malformed 、TCP Fragment Flood 、TCP Connection Flood 、HTTP Flood、HTTP異常會話、HTTPS Flood、other。SYN Flood、UDP反射是網(wǎng)絡(luò)層攻擊的主要方式，其次就是應(yīng)用層的泛洪攻擊。何為無狀態(tài)的DDOS攻擊，不需要與被攻擊方進(jìn)行TCP三次握手等動態(tài)交互，只需發(fā)送固定字段的請求，把被攻擊方的資源耗盡。

DDOS攻擊態(tài)勢

     現(xiàn)如今大流量攻擊已成常態(tài)化，在2022年監(jiān)測到超800Gbps攻擊達(dá)7次之多，均發(fā)生在6月份，攻擊次數(shù)是 2021年的4倍，而在對被攻擊的行業(yè)統(tǒng)計(jì)中，游戲依然是受攻擊最嚴(yán)重的行業(yè)，游戲行業(yè)內(nèi)部激烈競爭導(dǎo)致針對游戲的攻擊頻率猛增。


注：數(shù)據(jù)摘自全球DDos現(xiàn)狀與趨勢分析

檢測設(shè)備抗DDOS攻擊能力

     在面對DDOS攻擊時(shí)，運(yùn)營商有著相應(yīng)的云清洗服務(wù)，即使這樣企業(yè)在采用網(wǎng)絡(luò)基礎(chǔ)設(shè)備時(shí)，還是要檢測設(shè)備的抗DDOS攻擊能力，通過軟硬結(jié)合的方式來進(jìn)行防護(hù)。專業(yè)硬件提供高效“硬防”抵御大流量網(wǎng)絡(luò)層攻擊；CPU提供AI 加持的多層級“軟防”，精細(xì)化過濾小流量應(yīng)用層攻擊，且“軟防”需提供實(shí)時(shí)分析和提取攻擊特征、智能調(diào)度“硬防”的能力，從而快速阻斷混合攻擊，有效提升防御效率。所以在對設(shè)備做測試的時(shí)候，不止要測設(shè)備的性能，還要測試設(shè)備的抗攻擊能力。

儀表模擬DDOS攻擊流量

     網(wǎng)絡(luò)測試儀表可以構(gòu)造DDOS復(fù)雜大流量攻擊，來檢驗(yàn)設(shè)備的DDOS攻擊能力。本期我們要說的就是如何使用2-3層儀表模擬無狀態(tài)的DDOS流量攻擊。信而泰BigTao系列、DarYu系列及Darpeng系列網(wǎng)絡(luò)測試儀表，均可模擬DDOS攻擊測試。、


圖示：抗DDOS攻擊測試拓?fù)?/center>

Part 01.構(gòu)造網(wǎng)絡(luò)層及傳輸層DDOS攻擊流量
1、儀表在測試的端口上增加raw流來構(gòu)造攻擊流量；

2、根據(jù)攻擊類型選擇相應(yīng)的報(bào)頭封裝，以UDP Flood為例，即選擇以太幀+IPv4幀+UDP報(bào)頭；

3、接著修改流量里面的內(nèi)容，來達(dá)到攻擊的目的。
（1）目的MAC需要填充儀表該接口直連接口的mac地址；

（2）源IP可根據(jù)需要進(jìn)行遞增遞減或隨機(jī)的方式來進(jìn)行跳變，從而達(dá)到模擬大量源IP不同用戶的場景，目的IP則填充被攻擊設(shè)備的IP；

（3）UDP源目端口選擇隨機(jī)跳變，來模擬真實(shí)UDP Flood的場景；

4、一個(gè)模擬UDP Flood的攻擊流量就創(chuàng)建好了，設(shè)置好需要發(fā)送帶寬的大小后，即可測試設(shè)備的抗DDOS能力；其他的網(wǎng)絡(luò)層及傳輸層的DDOS，同理，根據(jù)每種攻擊的特性不同，將報(bào)文里的相應(yīng)字段置位來達(dá)到攻擊的目的，如 SYN Flood，需要將TCP報(bào)頭里的syn置1。

Part 02.模擬應(yīng)用層DDOS攻擊流量

關(guān)于應(yīng)用層的攻擊，相應(yīng)的應(yīng)用層報(bào)頭在二三層儀表上無法添加，可以通過導(dǎo)入Custom來實(shí)現(xiàn)，具體方式如下：
1、將需要模擬應(yīng)用層報(bào)文抓出來，通過wireshark打開，把傳輸層及應(yīng)用層報(bào)頭對應(yīng)的二進(jìn)制導(dǎo)出來；

2、儀表創(chuàng)建raw流，增加以太幀+IPv4頭，以及再添加一個(gè)custom自定義報(bào)頭，以太幀和IPv4頭的跳變設(shè)置同上，在custom里把剛剛導(dǎo)出的二進(jìn)制數(shù)導(dǎo)入，這樣就完成了一個(gè)應(yīng)用層報(bào)文構(gòu)造。

Part 03.查看設(shè)備抗DDOS測試結(jié)果

1、儀表向被測設(shè)備發(fā)送DDOS攻擊，若被測設(shè)備無法識別DDOS攻擊，并處理了相應(yīng)的攻擊流量，如ARP攻擊，則被測設(shè)備會將ARP攻擊報(bào)文上送CPU處理，大量上送CPU處理的報(bào)文將會使得被測設(shè)備的CPU利用率高達(dá)100%，可通過查看被測設(shè)備的CPU利用率來判斷。

2、儀表與被測設(shè)備連接觀察端口，通過在儀表端口統(tǒng)計(jì)視圖上查看觀察端口的接收帶標(biāo)簽報(bào)文數(shù)量來判斷被測設(shè)備抗DDOS攻擊效果。