混合攻击流量对系统安全性的综合评估

标签：攻击恶意代码对系统流量 DDoS TCP 设置安全性

很多针对安全设备的测试仅仅针对安全设备本身的防护，比如防御的漏洞攻击行为、恶意代码是否足够多，能否抵御大流量的L23层DDoS或者应用层的DDoS攻击，却没有考虑是否防御攻击时，一并阻止了正常的业务流量。以下图为例，当为了防御DDoS攻击，限制了某个源IP地址最多只允许10个TCP连接，假如内网提供的应用服务正好需要10个以上的连接到同一个IP地址呢？

为了避免这种情况发生，我们需要一款能够同时生成混合应用流量、DDoS攻击、漏洞攻击、恶意代码的网络安全测试仪表。

信而泰基于PCT架构的新一代基于B/S架构的网络应用安全测试平台ALPS（ Application Layer Protocol Simulator ），支持真实的应用
层流量仿真，如应用层协议：HTTP/FTP/TCP/DNS等；语音：VoIP SIP&RTP等；视频：RTSP/RTP、Multicast、Video
Codec（H.261、H.262/MPEG-2、H.263、H.264、H.265、MPEG-TS、MPEG-1、MPEG-4）等；同时可以仿真真实的攻击流量（DDoS攻击/僵尸网络/自定义攻击等）、恶意流量、病毒流量。配合基于新一代x86架构打造DarPeng2000E硬件平台，能够对安全设备或安全系统更好的进行综合评估。

现在以一个简单的混合应用攻击流量配置为例，我们来看看怎么在ALPS进行配置。

新建一个测试例，并添加组件，ALPS有8种不同类型的组件，每种组件可以进行不同测试，这次我们需要用到的是以下四种（如果仪表当前支持的应用协议未包含，可以添加回放组件通过回放的方式来产生流量）：

Application Simulator：应用流量仿真，支持混合流量，如HTTP、FTP、SMTP、SIP等多种应用流量在同一组件同时发出
DDoS Attack：仿真DDoS攻击，如常见的TCP syn flood、UDP flood等，还能仿真应用层DDoS攻击，如慢速攻击等，同时仪表支持TCP、DNS辅助认证，能更好的仿真真实客户端和DDoS攻击源的不同行为
Security：仿真漏洞攻击行为，目前共支持7000多种，每月不断更新中
Malware：仿真病毒、恶意代码文件，目前支持35000多种，且每月在不断更新

2. 混合应用流，我们根据需要挑选所需要的流量，并进行流量比例设置，流量比例可以基于带宽或者流来进行设置，设置时可以直观的看到每条流占用的带宽、应用流占总流数的比例，另外，如果需要进行如丢包、乱序等损伤，可以针对单条流或者所有流开启损伤功能

3. DDoS攻击流量，和混合应用流类似，同样可以添加多种DDoS攻击，然后设置不同DDoS攻击流量的比例，权重也支持通过带宽或者流来调整。

不同的DDoS攻击还能调整不同的参数，如TCP ACK Flood可以调整攻击目的端口和攻击报文长度，慢速攻击HTTP SlowLoris Attack则能调整Content Length等多种HTTP相关参数。

此外，为了更好的进行测试，我们一般会在应用背景流量达到稳定时再发出DDoS攻击，所以这里我们需要将DDoS攻击做一个延时启动，例如，应用流量设置在20秒后达到稳定，DDoS的延时启动可以设置为20秒。

4. 通过security组件添加漏洞攻击行为，在配置中添加所需要的漏洞攻击，左侧会直观的显示出当前漏洞攻击包含了哪些协议以及紧急程度。

为了更真实的仿真现网攻击，还可以添加逃逸行为，目前ALPS支持TCP、HTTP、FTP等协议相关的逃逸配置

5. 通过malware组件添加恶意代码、病毒等，同样的添加相关恶意代码、病毒后，左侧会显示关联的协议和紧急程度。

malware组件同样支持逃逸设置，目前支持多层压缩（最高100层）和多种压缩方式，如下图设置rar压缩8次，然后tar压缩9次，依此类推。

6. 组件配置完成后，我们可以设置测试通过条件，让仪表测试完成后自动判断本次测试是否达到要求。如背景流只有TCP流量，我们可以设置client侧的TCP尝试连接次数和server侧的TCP established次数相等，或者设置client的failed count为0；如果有UDP流量，可以设置UDP接收报文和发送报文相等。