首页 > 其他分享 >混合攻击流量对系统安全性的综合评估

混合攻击流量对系统安全性的综合评估

时间:2024-02-02 10:35:24浏览次数:27  
标签:攻击 恶意代码 对系统 流量 DDoS TCP 设置 安全性

很多针对安全设备的测试仅仅针对安全设备本身的防护,比如防御的漏洞攻击行为、恶意代码是否足够多,能否抵御大流量的L23层DDoS或者应用层的DDoS攻击,却没有考虑是否防御攻击时,一并阻止了正常的业务流量。以下图为例,当为了防御DDoS攻击,限制了某个源IP地址最多只允许10个TCP连接,假如内网提供的应用服务正好需要10个以上的连接到同一个IP地址呢?

image

为了避免这种情况发生,我们需要一款能够同时生成混合应用流量、DDoS攻击、漏洞攻击、恶意代码的网络安全测试仪表。

信而泰基于PCT架构的新一代基于B/S架构的网络应用安全测试平台ALPS( Application Layer Protocol Simulator ),支持真实的应用
层流量仿真,如应用层协议:HTTP/FTP/TCP/DNS等;语音:VoIP SIP&RTP等; 视频:RTSP/RTP、Multicast、Video
Codec(H.261、H.262/MPEG-2、H.263、H.264、H.265、MPEG-TS、MPEG-1、MPEG-4)等;同时可以仿真真实的攻击流量(DDoS攻击/僵尸网络/自定义攻击等)、恶意流量、病毒流量。配合基于新一代x86架构打造DarPeng2000E硬件平台,能够对安全设备或安全系统更好的进行综合评估。

现在以一个简单的混合应用攻击流量配置为例,我们来看看怎么在ALPS进行配置。

  1. 新建一个测试例,并添加组件,ALPS有8种不同类型的组件,每种组件可以进行不同测试,这次我们需要用到的是以下四种(如果仪表当前支持的应用协议未包含,可以添加回放组件通过回放的方式来产生流量):
  • Application Simulator:应用流量仿真,支持混合流量,如HTTP、FTP、SMTP、SIP等多种应用流量在同一组件同时发出
  • DDoS Attack:仿真DDoS攻击,如常见的TCP syn flood、UDP flood等,还能仿真应用层DDoS攻击,如慢速攻击等,同时仪表支持TCP、DNS辅助认证,能更好的仿真真实客户端和DDoS攻击源的不同行为
  • Security:仿真漏洞攻击行为,目前共支持7000多种,每月不断更新中
  • Malware:仿真病毒、恶意代码文件,目前支持35000多种,且每月在不断更新​image

2. 混合应用流,我们根据需要挑选所需要的流量,并进行流量比例设置,流量比例可以基于带宽或者流来进行设置,设置时可以直观的看到每条流占用的带宽、应用流占总流数的比例,另外,如果需要进行如丢包、乱序等损伤,可以针对单条流或者所有流开启损伤功能

image

3. DDoS攻击流量,和混合应用流类似,同样可以添加多种DDoS攻击,然后设置不同DDoS攻击流量的比例,权重也支持通过带宽或者流来调整。

image

  • 不同的DDoS攻击还能调整不同的参数,如TCP ACK Flood可以调整攻击目的端口和攻击报文长度,慢速攻击HTTP SlowLoris Attack则能调整Content Length等多种HTTP相关参数。

imageimage

  • 此外,为了更好的进行测试,我们一般会在应用背景流量达到稳定时再发出DDoS攻击,所以这里我们需要将DDoS攻击做一个延时启动,例如,应用流量设置在20秒后达到稳定,DDoS的延时启动可以设置为20秒。

image​​​​

4. 通过security组件添加漏洞攻击行为,在配置中添加所需要的漏洞攻击,左侧会直观的显示出当前漏洞攻击包含了哪些协议以及紧急程度。

image

  • 为了更真实的仿真现网攻击,还可以添加逃逸行为,目前ALPS支持TCP、HTTP、FTP等协议相关的逃逸配置

5. 通过malware组件添加恶意代码、病毒等,同样的添加相关恶意代码、病毒后,左侧会显示关联的协议和紧急程度。

image

  • malware组件同样支持逃逸设置,目前支持多层压缩(最高100层)和多种压缩方式,如下图设置rar压缩8次,然后tar压缩9次,依此类推。

​​image​​

6. 组件配置完成后,我们可以设置测试通过条件,让仪表测试完成后自动判断本次测试是否达到要求。如背景流只有TCP流量,我们可以设置client侧的TCP尝试连接次数和server侧的TCP established次数相等,或者设置client的failed count为0;如果有UDP流量,可以设置UDP接收报文和发送报文相等。

image

image

对于DDoS,要求攻击报文拦截率高于98%,可以设置如下条件:image

  • 对于security和malware,要求拦截率高于90%(总共添加了100个漏洞攻击、100个恶意代码病毒),可以设置如下:

image

image

7. 测试完成时,仪表会根据预置条件自动判断测试是否通过

image

8. 如果测试不通过,我们可以根据提示找到对应的流量,查看状态,如混合应用流中是否某条流连接不正常,排除是否被中间设备误拦截、调整发送速率后再次尝试。同样DDoS攻击流也可以确认是否某种类型DDoS攻击未能防护。

imageimage​​

  • 对于漏洞攻击,我们可以查看攻击的结果和五元组信息,和被测设备日志进行比对确认。

image

  • 对于恶意代码、病毒,我们可以查看攻击结果和相应的MD5等信息,和被测设备日志比对确认。

image

经过混合攻击流量测试,我们能对系统的整体安全性有整体的认识,能够更好的确认后续优化方向,从而使系统安全性更上一层楼。

标签:攻击,恶意代码,对系统,流量,DDoS,TCP,设置,安全性
From: https://www.cnblogs.com/xinertel/p/18002647

相关文章

  • 单节点多集群流量转发方法
    引言在实验环境(裸机)中部署多个有雀CRC集群(CRC介绍请看 容器云平台本地集群UCCPSCRC介绍),导致集群间抢占宿主机80、443端口情况,本文用外部负载均衡方案解决端口冲突问题。当然本方法也对裸机搭建的Kubernete的Ingress或者gatewayAPI也有效。本方案适用于根据域名转发流量的......
  • 网络流量分析 | AnaTraf 网络故障排除万用表教程更新: 如何抓取两个 MAC / IP 地址之
    AnaTraf致力于提供国产化网络流量分析、网络可视化、网络故障排除解决方案。AnaTraf网络万用表是一款实时的网络测量、流量分析工具,用于网络流量监控、识别网络性能瓶颈、快速排查网络问题。万用表的B站频道已经更新最新一期的教程。如何使用AnaTraf网络万用表抓取两个M......
  • U盘分区加密功能如何确保数据的安全性?
    在这个信息高度化、电子化的时代,数据的安全性是每个企业乃至个人都备受关注的问题。随着移动设备及其携带的数据量的增长,我们越来越需要一种安全、便捷的数据携带和传输方式。华企盾分区加密系统的U盘分区加密功能正是为此而生。其强大而灵活的加密技术,确保了我们在享受便携式设备......
  • [90G] 以太网交换机 VSC7549-V/5CC、VSC7549TSN-V/5CC-VAO、VSC7549TSN-V/5CC 提供差
    1、VSC7549-V/5CC 90GEnterpriseSwitch概述VSC7549SPARX-5-90是一款90GbpsSMB/SME以太网交换机,支持1G、2.5G、5G和10G以太网端口组合。该设备提供了一组丰富的企业以太网交换功能。它使用多级多功能内容感知处理器(VCAP)技术,提供VLAN和QoS处理,通过智能帧处理和灵活的帧操作......
  • 可视化技术:提升空间站管理的效率与安全性
    随着科技的飞速发展,人类在太空探索的道路上越走越远。空间站作为人类在太空中的“家”,其管理变得尤为重要。可视化技术作为现代科技的代表,正在为空间站管理带来革命性的变革。 如图是山海鲸可视化搭建的空间站管理可视化大屏↓↓↓  一、可视化技术的优势可视化技术能够......
  • 如何提升企业文件加密的效率和安全性?
    在当今数据驱动的商业环境中,信息资产的保护显得尤为关键。提升企业文件加密的效率和安全性,不仅需要技术的支撑,更需要策略和管理的结合。加密是一项不可或缺的技术,它能够确保数据的完整性,防止数据流失,并保护企业的重要信息。企业往往会面临如何提升文件加密的效率和安全性这样的问......
  • 什么是DDOS流量攻击,DDoS防护安全方案
    随着互联网的发展普及,云计算+AI+5G成新趋势,人们对生活方式逐渐发生改变的同时,随之而来的网络安全威胁也日益严重!DDoS攻击是目前最为常见的攻击手段,而且随着技术发展,现在的DDoS攻击势头更为猛烈,造成的影响也越来越大。在网络安全上,德迅云安全多年积累DDOS攻防经验,今天就来简单讲解下......
  • 【独立开发案例分享】我们如何通过开源来获得流量增长?
    【案例背景】本案例的作者是【NevoDavid】,他目前在Novu公司负责业务增长。Novu本来是一家B2B的SaaS公司,但是创业初期,没有获得多少客户。后来,由于偶然的因素,他们打算把项目开源,发布到GitHub,然后,不可思议的事情发生了。他们项目在4天内,获得了2000个Star,并且一......
  • VMware Aria Automation Config 8.16 - Aria Automation 的软件配置管理与安全性
    VMwareAriaAutomationConfig8.16-AriaAutomation的软件配置管理与安全性请访问原文链接:https://sysin.org/blog/vmware-aria-automation-config/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgAriaAutomation的软件配置管理与安全性AriaAutomationConfi......
  • burpsuite抓取修改http和https流量(proxy模块的简单应用)
    一、操作环境目标机:DVWA网站操作机:BurpSuite Prov2.1;FireFox浏览器二、操作步骤1.设置BP代理服务端口代理--选项--监听器(选项卡) 为什么不用8080?因为Tomcat默认端口和BP的默认监听端口一致,同时打开会导致端口冲突。2.设置Fir......