防火墙抗拒绝服务模块测试报告.PDF

防火墙抗拒绝服务模块测试报告 DoS （Denial of Service 拒绝服务）和 DDoS （Distributed Denial of Service 分布式拒绝服 务）攻击是大型网站和网络服务器的安全威胁之一。而防火墙是现今解决拒绝服务攻击的唯 一办法，可是这种技术目前之掌握在个大防火墙安全厂商手中。 SYN Flood 利用 TCP 协议缺陷，发送了大量伪造的 TCP 连接请求，使得被攻击方资源 耗尽，无法及时回应或处理正常的服务请求。一个正常的 TCP 连接需要三次握手，首先客 户端发送一个包含 SYN 标志的数据包，其后服务器返回一个 SYN/ACK 的应答包，表示客 户端的请求被接受，最后客户端再返回一个确认包 ACK ，这样才完成 TCP 连接。在服务器 端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保 存在一个空间有限的缓存队列中；如果大量的 SYN 包发到服务器端后没有应答，就会使服 务器端的 TCP 资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。 针对这个特点我们通过反复大量的试验，依靠 Linux2.6 内核独立开发出一套用于防护 拒绝服务的构架系统，该程序整合与 Linux 系统内核最底层，随内核工作而工作，真正的做 到了内核级防护物理驱动接口级防护的效果。针对开发的特点我们对为优化前的模块进行了 如下的抗拒绝服务攻击的测试： 实验环境结构图如下： 测试试验硬件配置： （1） 号计算机 CPU ：P4 1.5G 内存：512MB DDR 266 （Attack ） （2 ） 号计算机 CPU ：P4 1.6G 内存：1024MB DDR 266 （Attack ） （3 ） 号计算机 CPU ：P4 2.8G 内存：512 MB DDR 400 （Attack ） （4 ） 号计算机 联想 旭日 150 笔记本 CPU ：讯弛 1.5 内存：512MB DDR333 （正常请求） （5 ） 号计算机 CPU ：P4 1.6G 内存：256MB DDR266 （正常请求） （6 ） 号计算机 DELL 笔记本 CPU ：讯弛 1.5 内存：512MB DDR333 (sniffer) （7 ） 号计算机 DELL 品牌 CPU ：P4 2.8G 内存：256MB DDR400 （webserver ） （8 ） 号防火墙设备 标配 1U 机箱 CPU ：AMD 2200+ 内存：512 DDR266 网卡：eth0 主板集成 VIA 10/100MB eht1 D-Link 530T 10/100/1000MB （9 ） 号交换机 型号 D-Link 1218F 智能型 16 口二层交换机 10/100MB 交换机 （10） 号交换机 型号 TP-Link 8 口 智能型 普通 10/100MB 交换机 （11） 所有测试环境为纯 100MB 以太网络结构 测试所用操作系统 ： 1－3 号攻击计算机均为 windows2000server sp4 4 －6 号计算机为 windows XP sp2 7 号 webserver 计算机为 windows2003server sp1 8 号防火墙设备 Linux2.6.10-11 内核 攻击软件： Xdos 下载地址为：/down/show.php?id=2706 Hgod 下载地址为：/down/show.php?id=3318 测试顺序及使用工具： 3 号机发包 （Syn flood）全线程 XDOS 2 号机发包 （Syn flood）全线程 XDOS 1 号机发包 （Syn flood）全线程 XDOS 3 号机发包 （Syn flood）全线程 HGOD + 消耗 200MB 带宽 2 号机发包 （Syn flood）全线程 HGOD + 消耗 200MB 带宽 1 号机