CN111541706B - 一种系统抗DDoS性能的检测方法 - Google Patents
一种系统抗DDoS性能的检测方法 Download PDFInfo
- Publication number
- CN111541706B CN111541706B CN202010361103.6A CN202010361103A CN111541706B CN 111541706 B CN111541706 B CN 111541706B CN 202010361103 A CN202010361103 A CN 202010361103A CN 111541706 B CN111541706 B CN 111541706B
- Authority
- CN
- China
- Prior art keywords
- tested
- program
- ddos
- statistical
- sending
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Abstract
本发明提供一种系统抗DDoS性能的检测方法,通过在局域网中模拟DDoS攻击并通过统计信息对系统的抗DDoS性能进行检测,具体检测利用多个发包程序构造不同的多条数据连接,使数据流向目标服务发起访问请求,利用Linux的network namespace技术对网络进行隔离,实现在局域网内模拟数千发包客户端;同时利用非本地IP绑定技术,实现每个发包客户端可模拟数千不同的源IP地址,从而模拟百万级IP的DDoS攻击对系统的抗DDoS进行压力测试。本方面通过上述方法解决传统漏洞扫描设备不能对系统的抗DDoS性能进行检测的问题,实现了模拟百万级不同IP地址的真实DDoS攻击行为。
Description
技术领域
本发明属于计算机安全领域,具体地说,涉及一种系统抗DDoS性能的检测方法。
背景技术
随着网络技术的发展,越来越多的服务暴露在网络上,各种针对网络服务的攻击层出不穷。为了应对各种各样的网络攻击,出现了网络防火墙,专用于网站防护的Web应用防火墙等安全设备。很多特征比较明显的攻击得到了有效的防护,但是攻击请求跟正常请求几乎没有差异的DDoS攻击却因为难以识别而难以防护。随着IPv6与物联网的发展,可以用于DDoS攻击的设备更是大规模增长,使得系统的抵抗DDoS攻击的能力变得更加困难和重要。理论上,抗DDoS系统或设备需要具有高于攻击者所有攻击机器性能之和的处理能力,才可能防护住所有的DDoS攻击。所述DoS是指Denial of Service,拒绝服务攻击;而DDoS是指:Distributed Denial of Service分布式拒绝服务攻击。
即使系统部署了网络安全防护设备,服务商往往还是不能放心。近年来,很多采取了大量网络安全措施的系统仍出现了很多安全问题,其中很多是DDoS攻击引起的安全问题。部署的安全设备为何没起到应有的安全作用,很多时候是因为安全设备的针对性和性能不足。只有对现有系统的漏洞和性能进行充分检测评估,才能采取足够有效的安全措施。为了对系统潜在的安全问题进行评估,出现了很多漏洞扫描设备与软件。对系统的用户鉴权问题、内存泄漏、SQL注入潜在问题进行检测。但是漏洞扫描设备往往难以覆盖需要大量不同请求IP地址的抗DDoS模拟和检测。
网络服务的设计者和运营商都迫切需要一种对系统抵抗DDoS攻击的能力进行有效检测的手段。以获得对系统抵抗DDoS攻击的能力的有效检测,并以此为依据,部署防护能力足够的抗D设备或软件。
DDoS攻击是当前各种网络服务系统面临的主要问题之一。很多网络服务系统在设计之初就考虑到尽量提高性能并进行用户身份检测,以应对可能的DDoS攻击。而且,市场上也出现了很多对DDoS攻击进行防护的专用设备和带DDoS功能的防火墙。但是,对于网络服务系统本身或专用抗DDoS设备的抗DDoS能力是否足够,目前还缺少简单有效的检测手段。购买或租用大量主机模拟DDoS攻击成本很高,原因是租用的主机比较分散很难部署实施。而传统的漏洞扫描设备又很难覆盖系统抵抗DDoS攻击的能力的检测。本方案提供一种局域网内对系统的抵抗DDoS攻击的能力进行检测的方法,使得系统设计者在设计时可以方便的对系统的抵抗DDoS攻击的能力进行评估,系统构建者也可以方便的对选购的抗D设备进行测试。保证系统具有足够的抵抗DDoS攻击的能力。
现有的技术中主要是使用各种软硬件发包测试系统;而对于各种软硬件发包测试系统进行的性能测试,具有以下缺陷:
1)硬件测试仪可以构造大量源IP地址不同的数据包,但是难以在此基础上做到模拟真实的TCP流或者HTTP请求。而各种TCP或者HTTP性能测试软件,虽然很多可以模拟真实的TCP连接或者HTTP请求,但是难以在此基础上模拟大量的不同的源IP地址。总之,两者都不能模拟真实的DDoS攻击行为;
2)在启用多个模拟测试客户端对待测设备进行压力测试时,多个客户端很难协调配置与发包,各个客户端分散的统计数据难以自动汇总;总之,缺乏一种多客户端叠加扩展机制。
除了软硬件发包测试软件外,现有技术还有一种如专利申请号为US15501863的专利申请,记载了一种抗DDoS性能的检测,但对比的申请专利也有着下述缺点:
1)发起DDoS请求攻击的设备在Internet上,需要的设备和带宽成本高,并且难于部署;对于本身抗DDoS性能非常强的系统,在Internet上找到足够多的攻击请求设备对其发起海量模拟攻击的成本非常高;
2)只能对部署在虚拟服务之间的抗D设备进行检测,在没有中间的抗D设备时,缺乏直接对服务系统本身抵抗DDoS攻击的能力进行检测的机制;
3)客户端叠加扩展问题,不能做到百万级客户端源IP地址同时模拟DDoS攻击。
发明内容
本发明针对现有技术上述问题,提出了一种系统抗DDoS性能的检测方法,通过设置一个总控与统计程序与多个模拟客户端发包程序,在低成本的情况下,实现了百万级数量的不同客户端IP地址的真实DDoS攻击,同时可以直接对服务系统本身进行测试,并对多个客户端可轻松叠加协调。
本发明具体实现内容如下:
本发明提出了一种系统抗DDoS性能的检测方法,在待测系统所处的局域网中,设置一个总控与统计程序和多个模拟客户端发包程序;通过模拟客户端发包程序构造多个源IP地址不同且类型不同的数据流,并将数据流发送给待测系统;由总控与统计程序控制模拟客户端发包程序的运行,并对待测系统的健康情况进行检查,同时,总控与统计程序还对模拟客户端发包程序的收发统计数据进行汇总。
为了更好地实现本发明,进一步地,所述总控与统计程序具体的工作流程如下:
流程一:首先对模拟客户端发包程序的模拟发包参数进行统一配置;
流程二:启动模拟客户端发包程序对待测系统进行DDoS测试;
流程三:在模拟客户端发包程序对待测系统发送数据流进行测试的时候,总控与统计程序对待测系统健康状况进行检查;
流程四:若待测系统的健康状况检测为不健康,则不再让模拟客户端发包程序对待测系统发送数据流;并由总控与统计程序汇总每个模拟客户端发包程序的收发包数据进行统计汇总;
若待测系统的健康状况检测为健康,则判断模拟客户端发包程序对待测系统的测试时间是否达到测试时长;若没有达到测试时长,则重新对待测系统进行流程三所述的健康状况进行检查;若达到了测试时长,则不再让模拟客户端发包程序对待测系统发送数据流,并对每个模拟客户端发包程序的收发包数据进行统计汇总。
为了更好地实现本发明,进一步地,在待测系统中没有健康检查和告警的组件时,所述总控与统计程序对待测系统的健康状况进行检查的方式为侵入式检查:在待测系统上部署健康监测程序来检测待测系统的CPU和网络状态。
为了更好地实现本发明,进一步地,所述侵入式检查的具体操作为:通过总控与统计程序周期性地触发健康监测程序的执行,调用读取接口来读取每一项待测系统资源的使用率;当某一项待测系统资源的使用率持续达到100%时,总控与统计程序判定待测系统已经达到抗DDoS性能的极限,认定待测系统健康状态为不健康,并结束测试输出统计报告。
为了更好地实现本发明,进一步地,在待测系统中存在有健康检查和告警的组件时,所述总控与统计程序对待测系统的健康状况进行检查的方式为非侵入式检查:由待测系统主动上报健康情况。
为了更好地实现本发明,进一步地,其特征在于,所述非侵入式检查的具体操作为:利用待测系统中已有的健康检查和告警组件,由待测系统将达到抗DDoS性能极限的消息主动发送到总控与统计程序中,并由总控与统计程序结束模拟客户端发包程序对待测系统的测试;同时对于心跳信息的封装采用与待测系统类似的封装方式,便于对接。
为了更好地实现本发明,进一步地,所述模拟客户端发包程序工作流程如下:
流程1:模拟DDoS数据流对待测系统发起请求;
流程2:接收待测系统的响应,并进行内部统计;
流程3:持续对待测系统进行测试,直到总控与统计程序反馈待测系统达到了抗DDoS性能达到极限;
流程4:结束对待测系统的测试。
为了更好地实现本发明,进一步地,所述模拟客户端发包程序对待测系统发送的数据流类型包括:SYN Flood数据、TCP负载泛洪,HTTP POST泛洪,HTTP GET泛洪。
为了更好地实现本发明,进一步地,所述总控与统计程序收发统计的数据包括收发包时长,收发包数量,连接数,新建连接速度,平均响应时间;且事先让用户设置对收发包时长,收发包数量,连接数,新建连接速度,平均响应时间的预期值,在统计了收发包时长,收发包数量,连接数,新建连接速度,平均响应时间后,与预期值进行比较,根据与预期值比较的偏差得到所有指标的评分,达到或超出预期值的,则评为满分,负偏差越大的,得分越低。
为了更好地实现本发明,进一步地,所述通过模拟客户端发包程序构造多个源IP地址的数据流的具体操作为:通过Linux协议栈Socket可以绑定非本地IP地址的特性,构造多个源IP地址不同的数据流。
本发明与现有技术相比具有以下优点及有益效果:
(1)可制造百万级数量的不同客户端IP地址;
(2)可模拟真实的DDoS攻击;
(3)可以直接对服务系统本身进行测试;也可通过抗DDoS设备后再对服务系统进行测试;
(4)可对多个客户端叠加进行测试,也能轻松实现多个客户端之间的协调;
(5)成本低。
附图说明
图1为本发明总控与统计程序、模拟客户端发包程序和待测系统之间的运作示意图;
图2为本发明总控与统计程序运作流程图;
图3为本发明模拟客户端发包程序运作流程图。
具体实施方式
为了更清楚地说明本发明实施例的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,应当理解,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例,因此不应被看作是对保护范围的限定。基于本发明中的实施例,本领域普通技术工作人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
本发明提出了一种系统抗DDoS性能的检测方法,如图1所示,在待测系统所处的局域网中,设置一个总控与统计程序和多个模拟客户端发包程序;通过模拟客户端发包程序构造多个源IP地址不同且类型不同的数据流,并将数据流发送给待测系统;由总控与统计程序控制模拟客户端发包程序的运行,并对待测系统的健康情况进行检查,同时,总控与统计程序还对模拟客户端发包程序的收发统计数据进行汇总。
工作原理:整个DDoS模拟测试系统由“总控与统计程序”和“模拟客户端发包程序”两部分组成,与待测系统处于同一局域网中。其中总控与统计程序只有一个,模拟客户端发包程序有一个或多个,最多可达上千。总控与统计程序主要功能是统一配置与下发各个发包程序的模拟发包参数,对待测系统的健康情况进行检查,以及对发包程序的收发统计数据进行汇总。
实施例2:
本发明在上述实施例1的基础上,如图2所示,所述总控与统计程序具体的工作流程如下:
流程一:首先对模拟客户端发包程序的模拟发包参数进行统一配置。
流程二:启动模拟客户端发包程序对待测系统进行DDoS测试。
流程三:在模拟客户端发包程序对待测系统发送数据流进行测试的时候,总控与统计程序对待测系统健康状况进行检查;其中对于待测系统的检测也根据待测系统中是否有健康检查和告警的组件分为两种处理情况:
(1)在待测系统中没有健康检查和告警的组件时,所述总控与统计程序对待测系统的健康状况进行检查的方式为侵入式检查:在待测系统上部署健康监测程序来检测待测系统的CPU和网络状态;所述侵入式检查的具体操作为:通过总控与统计程序周期性地触发健康监测程序的执行,调用读取接口来读取每一项待测系统资源的使用率;当某一项待测系统资源的使用率持续达到100%时,总控与统计程序判定待测系统已经达到抗DDoS性能的极限,认定待测系统健康状态为不健康,并结束测试输出统计报告;
(2)在待测系统中存在有健康检查和告警的组件时,所述总控与统计程序对待测系统的健康状况进行检查的方式为非侵入式检查:由待测系统主动上报健康情况;所述非侵入式检查的具体操作为:利用待测系统中已有的健康检查和告警组件,由待测系统将达到抗DDoS性能极限的消息主动发送到总控与统计程序中,并由总控与统计程序结束模拟客户端发包程序对待测系统的测试;同时对于心跳信息的封装采用与待测系统类似的封装方式,便于对接。
流程四:若待测系统的健康状况检测为不健康,则不再让模拟客户端发包程序对待测系统发送数据流;并由总控与统计程序汇总每个模拟客户端发包程序的收发包数据进行统计汇总;
若待测系统的健康状况检测为健康,则判断模拟客户端发包程序对待测系统的测试时间是否达到测试时长;若没有达到测试时长,则重新对待测系统进行流程三所述的健康状况进行检查;若达到了测试时长,则不再让模拟客户端发包程序对待测系统发送数据流,并对每个模拟客户端发包程序的收发包数据进行统计汇总;
所述总控与统计程序收发统计的数据包括收发包时长,收发包数量,连接数,新建连接速度,平均响应时间;且事先让用户设置对收发包时长,收发包数量,连接数,新建连接速度,平均响应时间的预期值,在统计了收发包时长,收发包数量,连接数,新建连接速度,平均响应时间后,与预期值进行比较,根据与预期值比较的偏差得到所有指标的评分,达到或超出预期值的,则评为满分,负偏差越大的,得分越低。
工作原理:发包测试过程中,客户端发包程序与待测系统之间进行双向数据交互,控制与统计程序不对数据流进行干涉,只是周期性采集统计与健康信息。
侵入式指的是测试程序侵入业务系统,需要在待测系统上部署健康检查程序。这种健康检查方式不检查具体的业务,仅对通用的处理器,内存,网络吞吐这几个系统指标进行监控。监控方式为,总控程序周期性的触发健康检查程序的执行, 调用操作系统提供的读取接口,读取每一项系统资源的使用率。当某项系统资源使用率持续达到100%时,总控程序判定待测设备已经达到性能极限,结束测试并输出报告。
非侵入式指的是测试程序不入侵业务系统,由业务系统主动上报自己的健康情况。这种方式主要应用与业务系统本身已经存在健康检查和告警组件的场景。利用已有的告警机制,业务系统将达到性能极限的消息主动通知到测试主控程序,结束测试。
心跳消息的封装采用与业务系统类似的封装,便于业务系统对接。假如测试系统是一个Web站点,则心跳消息是一个http post报文。当待测系统达到抗DDoS的极限时,系统告警或崩溃,此时控制与统计程序会汇总发包程序的收发包统计。统计信息包括收发包时长,收发包数量,连接数,新建连接速度,平均响应时间等。根据汇总的信息生成待测系统的抗D性能检测报告。对DDoS设备或软件性能打分评估的具体标准:抗D性能主要有以下几个指标参数:
报文吞吐率:吞吐率由收发包的总数量除以发包时长计算得到。业务系统的吞吐率越高表明抵抗DDoS攻击的能力越强;
总连接数: 测试过程中,随着多个TCP连接的建立,被测设备的内存表项会逐渐被消耗,当连接数达到业务系统处理极限时,即达到性能极限。测试客户端和待测系统建立的总连接数越多,抗D性能越强;
新建连接速度: 新建连接速度越快,待测系统的处理能力越强,抗D性能越高;
平均响应时间: 客户端从发出报文到收到回复的时间即待测系统的响应时间,整个周期内所有请求的响应时间取平均值,就是平均响应时间。对于有回复的待测系统,平均响应时间是重要的性能指标。响应时间越小,抗D性能越强。
本实施例的其他部分与上述实施例1相同,故不再赘述。
实施例3:
本发明在上述实施例1-2任一项的基础上,如图3所示,所述模拟客户端发包程序工作流程如下:
流程1:模拟DDoS数据流对待测系统发起请求;
流程2:接收待测系统的响应,并进行内部统计;
流程3:持续对待测系统进行测试,直到总控与统计程序反馈待测系统达到了抗DDoS性能达到极限;
流程4:结束对待测系统的测试。
其中,所述模拟客户端发包程序对待测系统发送的数据流类型包括:SYN Flood数据、TCP负载泛洪,HTTP POST泛洪,HTTP GET泛洪。
工作原理:本发明的配置项如下表1所示:
| 配置项 | 说明 |
| 模拟客户端数量 | 大于等于1,小于1000的整数 |
| 运行模拟客户端的主机数量 | 大于等于1的整数 |
| 模拟客户端模拟的源IP数量 | 大于1,小于10000的整数 |
| 每个模拟客户端模拟的源IP范围 | 任意合法的IP单播地址段 |
| 每个IP关联的TCP连接数 | 大于等于1的整数 |
| 连接建立间隔与发包间隔 | 单位为微秒 |
| TCP与HTTP负载 | 根据模版自定义TCP和HTTP发包负载 |
| 预期性能参数 | 期望系统达到的抗D参数指标,包括: 吞吐率,最大连接数,新建连接速率,平均响应时间 |
| 总测试时长 | 抗D测试的总时长,打到该时间后主动结束测试 |
表1
发包模拟程序部署在一台或多台Linux主机上,一台主机上的多个发包程序使用Linux网络namespace进行隔离,以便使用不同的虚拟网卡发包。一个客户端发包程序,使用Linux协议栈Socket可以bind非本地IP地址的特性,可以构造数千级别以上的源IP地址不同的数据流。DDoS数据流类型包括SYN Flood数据、TCP负载泛洪,HTTP POST泛洪,HTTP GET泛洪等多种DDoS攻击种类。为了充分适应待测系统的业务,还可以对数据流的网络服务类型、数据和时序进行定制。构造Mac/IP/Port/Payload不同类型的多条数据连接,具体实现方式如下:
(1)不同Mac地址构造方式,在不同的linux 网络 namespace中创建虚拟网卡,虚拟网卡上配置不同的物理地址,不同虚拟网卡发出的包源Mac地址不同;
(2)不同IP地址构造方式,设置Linux Socket的绑定非本地IP选项,发包时根据配置的源IP地址范围构造不同的源IP地址发包;
(3)不同TCP/UDP 端口(Port)的构造方式: 有连接的TCP创建多条源端口不同的连接,无连接的UDP直接发送源Port不同的报文;
(4)不同Payload的构造方式: 根据不同的IP协议类型的Payload模版,填写Payload内容,构造业务测试报文。
例如,对于应用层的HTTP协议,模版包括如下字段:
1)请求的URL;
2)请求的 header;
3)请求的 Body;
对HTTP报文字段的定制,可以满足WEB系统的测试需求。
本实施例的其他部分与上述实施例1-2任一项相同,故不再赘述。
实施例4:
本发明在上述实施例1-3任一项的基础上,本发明可以针对待测系统拥有抗D设备和没有抗D设备进行不同的处理:
当专用的抗D设备存在:当抗D设备检测到系统的请求数量过大时,会主动丢包,以缓和大量数据报文对业务系统的冲击,避免业务系统崩溃,丧失业务处理能力。因此,尽管业务系统的业务处理能力相比原来没有提升,但可能不会出现负载过大系统崩溃且响应能力变为0的情况。这种场景下,测试系统的健康检查模块的不会检查到业务系统出现异常。测试系统需要根据设置的测试时长按时主动结束测试输出报告或者人工结束测试输出报告。
当专用抗D设备不存在:没有专用抗D设备的保护,业务系统极限业务处理能力就是系统的抵抗DDoS攻击的能力。随着测试系统的大量客户端持续加压,业务系统的资源被逐渐消耗,可能出现某种资源耗尽响应能力变为0的情况。这种场景下,健康检查模块会探测到业务系统出现异常,主动上报主控程序停止测试并输出测试报告。当然,没有专用抗D设备的场景也可以设置测试时长或人工主动结束测试。
本实施例的其他部分与上述实施例1-3任一项相同,故不再赘述。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (9)
1.一种系统抗DDoS性能的检测方法,其特征在于,在待测系统所处的局域网中,设置一个总控与统计程序和多个模拟客户端发包程序;通过模拟客户端发包程序构造多个源IP地址不同且类型不同的数据流,并将数据流发送给待测系统;由总控与统计程序控制模拟客户端发包程序的运行,并对待测系统的健康情况进行检查,同时,总控与统计程序还对模拟客户端发包程序的收发统计数据进行汇总;
所述模拟客户端发包程序部署在一台或多台Linux主机上,一台Linux主机上的多个模拟客户端发包程序使用Linux网络的namespace技术进行隔离;
所述通过模拟客户端发包程序构造多个源IP地址的数据流的具体操作为:通过Linux协议栈Socket可以绑定非本地IP地址的特性,构造多个源IP地址不同的数据流。
2.如权利要求1所述的一种系统抗DDoS性能的检测方法,其特征在于,所述总控与统计程序具体的工作流程如下:
流程一:首先对模拟客户端发包程序的模拟发包参数进行统一配置;
流程二:启动模拟客户端发包程序对待测系统进行DDoS测试;
流程三:在模拟客户端发包程序对待测系统发送数据流进行测试的时候,总控与统计程序对待测系统健康状况进行检查;
流程四:若待测系统的健康状况检测为不健康,则不再让模拟客户端发包程序对待测系统发送数据流;并由总控与统计程序汇总每个模拟客户端发包程序的收发包数据进行统计汇总;
若待测系统的健康状况检测为健康,则判断模拟客户端发包程序对待测系统的测试时间是否达到测试时长;若没有达到测试时长,则重新对待测系统进行流程三所述的健康状况进行检查;若达到了测试时长,则不再让模拟客户端发包程序对待测系统发送数据流,并对每个模拟客户端发包程序的收发包数据进行统计汇总。
3.如权利要求2所述的一种系统抗DDoS性能的检测方法,其特征在于,在待测系统中没有健康检查和告警的组件时,所述总控与统计程序对待测系统的健康状况进行检查的方式为侵入式检查:在待测系统上部署健康监测程序来检测待测系统的CPU和网络状态。
4.如权利要求3所述的一种系统抗DDoS性能的检测方法,其特征在于,所述侵入式检查的具体操作为:通过总控与统计程序周期性地触发健康监测程序的执行,调用读取接口来读取每一项待测系统资源的使用率;当某一项待测系统资源的使用率持续达到100%时,总控与统计程序判定待测系统已经达到抗DDoS性能的极限,认定待测系统健康状态为不健康,并结束测试输出统计报告。
5.如权利要求2所述的一种系统抗DDoS性能的检测方法,其特征在于,在待测系统中存在有健康检查和告警的组件时,所述总控与统计程序对待测系统的健康状况进行检查的方式为非侵入式检查:由待测系统主动上报健康情况。
6.如权利要求5所述的一种系统抗DDoS性能的检测方法,其特征在于,所述非侵入式检查的具体操作为:利用待测系统中已有的健康检查和告警组件,由待测系统将达到抗DDoS性能极限的消息主动发送到总控与统计程序中,并由总控与统计程序结束模拟客户端发包程序对待测系统的测试;同时对于心跳信息的封装采用与待测系统类似的封装方式,便于对接。
7.如权利要求1所述的一种系统抗DDoS性能的检测方法,其特征在于,所述模拟客户端发包程序工作流程如下:
流程1:模拟DDoS数据流对待测系统发起请求;
流程2:接收待测系统的响应,并进行内部统计;
流程3:持续对待测系统进行测试,直到总控与统计程序反馈待测系统达到了抗DDoS性能达到极限;
流程4:结束对待测系统的测试。
8.如权利要求7所述的一种系统抗DDoS性能的检测方法,其特征在于,所述模拟客户端发包程序对待测系统发送的数据流类型包括:SYN Flood数据、TCP负载泛洪,HTTP POST泛洪,HTTP GET泛洪。
9.如权利要求1所述的一种系统抗DDoS性能的检测方法,其特征在于,所述总控与统计程序收发统计的数据包括收发包时长,收发包数量,连接数,新建连接速度,平均响应时间;且事先让用户设置对收发包时长,收发包数量,连接数,新建连接速度,平均响应时间的预期值,在统计了收发包时长,收发包数量,连接数,新建连接速度,平均响应时间后,与预期值进行比较,根据与预期值比较的偏差得到所有指标的评分,达到或超出预期值的,则评为满分,负偏差越大的,得分越低。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010361103.6A CN111541706B (zh) | 2020-04-30 | 2020-04-30 | 一种系统抗DDoS性能的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010361103.6A CN111541706B (zh) | 2020-04-30 | 2020-04-30 | 一种系统抗DDoS性能的检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111541706A CN111541706A (zh) | 2020-08-14 |
| CN111541706B true CN111541706B (zh) | 2022-05-27 |
Family
ID=71977393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010361103.6A Active CN111541706B (zh) | 2020-04-30 | 2020-04-30 | 一种系统抗DDoS性能的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111541706B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113569120A (zh) * | 2021-08-04 | 2021-10-29 | 成都安恒信息技术有限公司 | 一种通过原始数据来实现网页不可抵赖性的系统和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043384A (zh) * | 2006-05-25 | 2007-09-26 | 华为技术有限公司 | 一种网络测试的系统和方法 |
| CN109040086A (zh) * | 2018-08-15 | 2018-12-18 | 广东电网有限责任公司 | 一种工业控制系统ddos攻击仿真方法及装置 |
| CN110430096A (zh) * | 2019-08-06 | 2019-11-08 | 深圳市同维通信技术有限公司 | 一种网关设备测试方法及设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10509909B2 (en) * | 2014-09-06 | 2019-12-17 | Mazebolt Technologies Ltd. | Non-disruptive DDoS testing |
| CN104601542A (zh) * | 2014-12-05 | 2015-05-06 | 国云科技股份有限公司 | 一种适用于虚拟机的ddos主动防护方法 |
| WO2019213835A1 (zh) * | 2018-05-08 | 2019-11-14 | 深圳前海达闼云端智能科技有限公司 | 客户操作系统唤醒方法、装置、电子设备及可读介质 |
| CN109522114A (zh) * | 2018-09-30 | 2019-03-26 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 虚拟化框架的雷达数据高速通信处理模块 |
-
2020
- 2020-04-30 CN CN202010361103.6A patent/CN111541706B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043384A (zh) * | 2006-05-25 | 2007-09-26 | 华为技术有限公司 | 一种网络测试的系统和方法 |
| CN109040086A (zh) * | 2018-08-15 | 2018-12-18 | 广东电网有限责任公司 | 一种工业控制系统ddos攻击仿真方法及装置 |
| CN110430096A (zh) * | 2019-08-06 | 2019-11-08 | 深圳市同维通信技术有限公司 | 一种网关设备测试方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111541706A (zh) | 2020-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10257224B2 (en) | Method and apparatus for providing forensic visibility into systems and networks | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CN109951500A (zh) | 网络攻击检测方法及装置 | |
| CN102210133B (zh) | 网络入侵保护 | |
| Mirkovic et al. | Towards user-centric metrics for denial-of-service measurement | |
| Garrett et al. | Monitoring network neutrality: A survey on traffic differentiation detection | |
| US9350758B1 (en) | Distributed denial of service (DDoS) honeypots | |
| Ricciulli et al. | TCP SYN flooding defense | |
| Ensafi et al. | Idle port scanning and non-interference analysis of network protocol stacks using model checking | |
| CN111970261B (zh) | 网络攻击的识别方法、装置及设备 | |
| CN109561051A (zh) | 内容分发网络安全检测方法及系统 | |
| CN109040128B (zh) | 一种基于离线pcap流量包的WAF反向代理检测方法 | |
| CN108769016B (zh) | 一种业务报文的处理方法及装置 | |
| Buchanan et al. | A methodology to evaluate rate-based intrusion prevention system against distributed denial-of-service (DDoS). | |
| CN107968765A (zh) | 一种网络入侵检测方法及服务器 | |
| CN111541706B (zh) | 一种系统抗DDoS性能的检测方法 | |
| Behal et al. | Measuring the impact of DDoS attacks on web services-a realtime experimentation | |
| Dar et al. | Experimental analysis of DDoS attack and it's detection in Eucalyptus private cloud platform | |
| Liu et al. | Real-time detection of covert channels in highly virtualized environments | |
| Gad et al. | Hierarchical events for efficient distributed network analysis and surveillance | |
| Choudhary et al. | Usage of netflow in security and monitoring of computer networks | |
| Catillo et al. | A case study on the representativeness of public DoS network traffic data for cybersecurity research | |
| CN111835719A (zh) | 基于多终端检验的计算机网络防火墙系统及其工作方法 | |
| Eid et al. | Secure double-layered defense against HTTP-DDoS attacks | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |