CN112073419B - 一种网络解决方案攻击防御可靠性测试系统 - Google Patents
一种网络解决方案攻击防御可靠性测试系统 Download PDFInfo
- Publication number
- CN112073419B CN112073419B CN202010953869.3A CN202010953869A CN112073419B CN 112073419 B CN112073419 B CN 112073419B CN 202010953869 A CN202010953869 A CN 202010953869A CN 112073419 B CN112073419 B CN 112073419B
- Authority
- CN
- China
- Prior art keywords
- wireless
- network
- test
- attack
- tested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种网络解决方案攻击防御可靠性测试系统,包括分别与待测无线设备相连的广域网攻击防御测试子系统、局域网攻击防御测试子系统及无线网络可靠性测试子系统,所述广域网防御测试子系统包括设置在待测无线设备第一WAN口的泛洪攻击客户端,设置在所述待测无线设备第一LAN口的压力访问客户端;所述局域网攻击防御测试子系统包括若干个局域网通信节点,每个局域网通信节点均连接有1个以上的客户端;所述无线网络可靠性测试子系统包括与待测无线设备相连的关联解关联测试客户端及无线连接泛洪攻击测试客户端。本发明能够全面的进行安全测试、压力测试、可靠性和体验测试。
Description
技术领域
本发明涉及无线通信领域,尤其涉及一种网络解决方案攻击防御可靠性测试系统。
背景技术
现在网络解决方案可靠性的测试方法市面上很少,一般是通过购买仪器,比如TestCenter/信而泰BigTao220可以模拟多用户压力跑流,仪器制造大量的数据流量从而验证路由器的稳定性。
上述测试方式的缺陷:
1、仅能验证多用户固定协议流量的稳定性;
2、对于解决方案中的无线攻击防御没有考虑;
3、对于广域网中安全攻击没有考虑。
发明内容
为解决现有技术中的问题,本发明提供一种网络解决方案攻击防御可靠性测试系统。
本发明包括分别与待测无线设备相连的广域网攻击防御测试子系统、局域网攻击防御测试子系统及无线网络可靠性测试子系统,其中,
所述广域网防御测试子系统包括设置在待测无线设备第一WAN口的泛洪攻击客户端,设置在所述待测无线设备第一LAN口的压力访问客户端,所述广域网由与待测无线设备第二WAN口相连的Internet服务供应商提供;
所述局域网攻击防御测试子系统包括若干个分别与待测无线设备相连的局域网通信节点,每个局域网通信节点均连接有1个以上的客户端,所述局域网通信节点通过所述待测的无线设备与外网相连;
所述无线网络可靠性测试子系统包括与待测无线设备相连的关联解关联测试客户端及无线连接泛洪攻击测试客户端。
本发明作进一步改进,所述局域网攻击防御测试子系统还包括与所述待测的无线设备相连,用于对局域网进行ARP攻击的ARP攻击客户端。
本发明作进一步改进,所述ARP攻击客户端用于发送ARP广播报文。
本发明作进一步改进,所述局域网中的通信节点设有若干个客户端,用于实现正常的无线终端业务。
本发明作进一步改进,所述无线终端业务包括但不限于视频、直播、游戏和/或下载业务,每种无线终端业务通过不同的客户端实现。
本发明作进一步改进,所述泛洪攻击客户端设有DDOS泛洪攻击工具,能够基于不同的协议发送DDOS泛洪攻击报文,模拟真实广域网中遭受的安全攻击。
本发明作进一步改进,所述压力访问客户端采用压力测试工具Jmeter定时的大量快速访问真实网址,用于提供DNS解析压力和真实外网数据流量。
本发明作进一步改进,所述无线关联解关联测试客户端、无线连接泛洪攻击测试客户端均设置在同一局域网内,所述无线关联解关联测试客户端、无线连接泛洪攻击测试客户端通过通信节点与待测的无线设备相连。
本发明作进一步改进,所述无线关联解关联测试的实现方法为:
(1)使用自动化工具驱动网卡一直去连接待测无线终端,
(2)连接成功后,主动ping待测无线设备网关,然后,主动修改自身的mac地址,再连接待测无线终端,如此反复,从而达到模拟成百上千的用户一直去连接无线网络;
(3)根据总共连接的次数及连接成功的次数,判断连接成功率。
本发明作进一步改进,所述无线连接泛洪攻击测试的处理方法为:
(1)使用抓包软件直接在空口中找到需要攻击的无线网络的信道和该无线网络的无线mac地址,
(2)设置无线网卡发送源地址为00:00:00:00:00:00,目的地址为得到的需要攻击的无线mac地址,然后发送构造报文;
(3)判断待测的无线设备的mac地址在接收报文时的影响程度,如果不会被这些影响能够正常无线网络连接和使用,系统也没有异常则测试通过,如果出现无线网络连接不上或者内存溢出、重启现象则测试不通过。
与现有技术相比,本发明的有益效果是:整个测试环境在网络角度覆盖了广域网、局域网和无线;能够全面的进行安全测试、压力测试、可靠性和体验测试;在业务模型匹配了用户真实涉及的网络应用;提供了一整套网络解决方案的攻击防御可靠性的测试方法;测试环境固定后效率可以提升50%以上。
附图说明
图1为本发明工作测试拓扑图;
图2为本发明测试系统组网图。
具体实施方式
下面结合附图和实施例对本发明做进一步详细说明。
如图1所示,作为本发明的一个实施例,本例的待测的无线设备为路由器,通过与路由器无线连接的本地PC测试端测试待测的路由器的性能。也可以为交换机、无线接入点等无线设备。
如图2所示,本发明提供了一种网络解决方案攻击防御可靠性测试系统,包括广域网、局域网、无线端的稳定性和可靠性验证。其中,
广域网攻击防御测试子系统:
①使用LINUX系统PC构建泛洪攻击报文,Hping3安装在PC客户端中可以基于不同的协议发送DDOS泛洪攻击报文,该PC放置在解决方案环境的WAN侧的第一WAN口发送报文,模拟真实广域网中遭受的安全攻击,所述广域网由与待测无线设备第二WAN口相连的ISP(Internet服务供应商)提供。
②在所述待测无线设备LAN侧的第一LAN口设置压力访问客户端,使用Jmeter长时间大量快速访问真实网址,可以提供DNS(域名系统)解析压力和真实外网数据流量。
无线网络可靠性测试子系统:
①考虑无线连接过程的报文交互,使用Python语言写一个脚本驱动无线网卡一直对DUT(待测设备)的无线SSID进行连接/断开的循环操作,验证解决方案中无线的可靠性;
②从容错角度考虑无线连接的过程,存在不安全用户进行无线连接攻击,使用Python驱动网卡一直对DUT的无线BSSID发送错误的扫描/认证/关联报文,验证解决方案中无线的安全攻击防御。
局域网攻击防御测试子系统:
①因为是解决方案环境,所以环境中网络设备和终端设备都不在少数,需要考虑ARP泛洪,所以在局域网角度放置一台PC客户端专门发送ARP广播报文,用于验证解决方案中防御ARP攻击的稳定性;
②解决方案环境中挂载真实的大量终端设备,有线进行BT下载,文件传输;无线进行视频播放,直播视频;真实高带机、高吞吐环境使用,验证网络解决方案的高带机量稳定性。
以下对各个子系统的实现方式进行详细说明。
应当注意,该测试方法所描述的具体实施仅用以解释,并不用于限定此应用。
1.Hping3是一款TCP/IP数据包编辑器/分析器。它支持TCP,UDP,ICMP和RAW-IP协议,具有跟踪路由模式,在覆盖通道之间发送文件的功能以及许多其他功能;在本例测试环境中是使用Hping3作为泛洪报文发送源,Hping3工具一般安装在广域网端,最终Hping3工具会安装在一台LINUX系统的电脑中,组网位置为图2中的WAN1连接。
2.本例的测试系统需要使用一根500M或者千兆的外网,如图2中的WAN2连接,因为后续有实际的用户做外网业务访问,并且后续的Jmeter访问都是真实的外网地址,必须足够的外网带宽才能保证瓶颈不在测试环境,利于验证DUT的NAT性能。
3.Apache Jmeter是Apache组织开发的基于Java的压力测试工具,可以用于对静态的和动态的资源(文件,Servlet,Perl脚本,java对象,数据库和查询,FTP服务器等等)的性能进行测试;首先:提取尽可能多的用户使用网址,然后模拟真实用户进行网址访问,就像非常多用户在进行外网网址访问动作一样,可以检验路由器的DNS解析能力和转发性能,并于此同时这种级别的访问量对WAN口吞吐也是极大的压力要求。
4.不同的解决方案环境,相同点都是网络设备多,终端用户多,必然导致局域网ARP广播报文多;针对这一点本例采用龙卷风工具发送ARP广播报文进行模拟,验证网络报文拥塞的情况下对解决方案环境稳定性,同时对主路由CPU能力和报文处理机制的考验。
5.无线关联解关联测试,是专门验证无线待测物的,对于真实的终端客户,主要关注点之一就是客户端输入正确的无线密码后能快速的连接上无线网络,客户不会理解待测物工作了多久,处理了多少客户的连接,所以本测试系统就是使用自动化工具驱动网卡一直去连接这个无线网络,且每次连接后都会修改自己的mac地址,这一点更贴近于真实的用户场景,因为这样就可以模拟成百上千的用户一直去连接无线网络一样;连接上之后会有网卡去ping待测物网关的动作,这样可以使这次连接存在些许的流量,更真实这个连接的过程;只要不手动停止脚本就可以一直去连接,然后查看总共连接的次数再匹配连接成功的次数,就可以很简单的判断出连接成功率,要求成功率要100%。
6.无线报文泛洪攻击测试,这个测试项目的想法来自于客户端与无线待测物之间的无线交互,客户端想要连接上无线待测物从而达到上网的目的,必须经过扫描-认证-关联这些基础的无线连接过程,然而这些过程都是暴露在无线空口中的,很简单被人为的操作,本发明中就主要说明的是认证的过程,使用omnipeek抓包软件直接在空口中找到我们需要攻击的无线网络的信道和该无线网络的无线mac地址,这是比较简单获取的,获取到这些信息后,使用linux系统再搭配一张monitor模式的无线网卡,再在linux系统中使用python脚本驱动无线网卡发送源地址为00:00:00:00:00:00,目的地址为我们之前使用omnipeek得到的需要攻击的无线mac地址,构造的报文直接就这么发出去了,只要待测物的这个射频mac地址一直在接收报文就会被我的linux发包系统影响,影响程度就是我们需要验证的测试点,如果待测设备不会被这些影响可以正常无线网络连接和使用,系统也没有异常则pass,如果待测物会出现无线网络连接不上或者内存溢出、重启现象则定义为不通过。
7.根据以上的测试工具安装和解决方案环境搭建,再加入实际的无线终端业务(视频,直播,游戏等等)这样整体网络解决方案的攻击防御测试系统就构建完成。
本例的测试判断标准如下:
1:DUT在解决方案环境中,CPU、内存正常剩余20%以上;整机无死机重启问题;
2:解决方案环境中组网拓扑无异常,如mesh组网链路正常,无掉线节点;如果是AC+AP环境则要求AP都正常在线,无离线现象;
3:无线关联解关联测试由自动化脚本做测试过程统计,要求每次重新连接都能正常连接成功;
4:真实无线终端连接正常,无线业务使用正常(网页5s内加载完成,720P视频播放流畅,游戏体验稳定)。
备注:对于测试标准可以基于后期的不同解决方案场景可以在此基础上再新增或者筛选,如企业解决方案会有无线打印业务;智能校园场景存在电子书包等等。
本发明具有以下突出的优势:
1、整个测试系统在网络角度覆盖了广域网、局域网和无线;在测试方面覆盖了安全测试、压力测试、可靠性和体验测试;在业务模型匹配了用户真实涉及的网络应用;提供了一整套网络解决方案的攻击防御可靠性的测试技术方案;
2、测试手段自动化率超过80%,手动部分只需要进行实际业务体验,测试环境固定后效率可以提升50%以上;
3、针对各种解决方案环境使用,不仅可以测试家用型无线路由器,还可以验证MESH组网或者AC+AP这种稍大型和巨大型网络。
以上所述之具体实施方式为本发明的较佳实施方式,并非以此限定本发明的具体实施范围,本发明的范围包括并不限于本具体实施方式,凡依照本发明所作的等效变化均在本发明的保护范围内。
Claims (8)
1.一种网络解决方案攻击防御可靠性测试系统,其特征在于:包括分别与待测无线设备相连的广域网攻击防御测试子系统、局域网攻击防御测试子系统及无线网络可靠性测试子系统,其中,
所述广域网防御测试子系统包括设置在待测无线设备第一WAN口的泛洪攻击客户端,设置在所述待测无线设备第一LAN口的压力访问客户端,所述广域网由与待测无线设备第二WAN口相连的Internet服务供应商提供;
所述局域网攻击防御测试子系统包括若干个分别与待测无线设备相连的局域网通信节点,每个局域网通信节点均连接有1个以上的客户端,所述局域网通信节点通过所述待测的无线设备与外网相连;
所述无线网络可靠性测试子系统包括与待测无线设备相连的关联解关联测试客户端及无线连接泛洪攻击测试客户端,
所述关联解关联测试的实现方法为:
(1)使用自动化工具驱动网卡一直去连接待测无线终端,
(2)连接成功后,主动ping待测无线设备网关,然后,主动修改自身的mac地址,再连接待测无线终端,如此反复,从而达到模拟成百上千的用户一直去连接无线网络;
(3)根据总共连接的次数及连接成功的次数,判断连接成功率;
所述无线连接泛洪攻击测试的处理方法为:
(1)使用抓包软件直接在空口中找到需要攻击的无线网络的信道和该无线网络的无线mac地址,
(2)设置无线网卡发送源地址为00:00:00:00:00:00,目的地址为得到的需要攻击的无线mac地址,然后发送构造报文;
(3)判断待测的无线设备的mac地址在接收报文时的影响程度,如果不会被这些影响能够正常无线网络连接和使用,系统也没有异常则测试通过,如果出现无线网络连接不上或者内存溢出、重启现象则测试不通过。
2.根据权利要求1所述的网络解决方案攻击防御可靠性测试系统,其特征在于:所述局域网攻击防御测试子系统还包括与所述待测的无线设备相连,用于对局域网进行ARP攻击的ARP攻击客户端。
3.根据权利要求2所述的网络解决方案攻击防御可靠性测试系统,其特征在于:所述ARP攻击客户端用于发送ARP广播报文。
4.根据权利要求3所述的网络解决方案攻击防御可靠性测试系统,其特征在于:所述局域网中的通信节点设有若干个客户端,用于实现正常的无线终端业务。
5.根据权利要求4所述的网络解决方案攻击防御可靠性测试系统,其特征在于:所述无线终端业务包括但不限于视频、直播、游戏和/或下载业务,每种无线终端业务通过不同的客户端实现。
6.根据权利要求1-5任一项所述的网络解决方案攻击防御可靠性测试系统,其特征在于:所述泛洪攻击客户端设有DDOS泛洪攻击工具,能够基于不同的协议发送DDOS泛洪攻击报文,模拟真实广域网中遭受的安全攻击。
7.根据权利要求6所述的网络解决方案攻击防御可靠性测试系统,其特征在于:所述压力访问客户端采用压力测试工具Jmeter定时的大量快速访问真实网址,用于提供DNS解析压力和真实外网数据流量。
8.根据权利要求1-5任一项所述的网络解决方案攻击防御可靠性测试系统,其特征在于:所述关联解关联测试客户端、无线连接泛洪攻击测试客户端均设置在同一局域网内,所述关联解关联测试客户端、无线连接泛洪攻击测试客户端通过通信节点与待测的无线设备相连。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010953869.3A CN112073419B (zh) | 2020-09-11 | 2020-09-11 | 一种网络解决方案攻击防御可靠性测试系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010953869.3A CN112073419B (zh) | 2020-09-11 | 2020-09-11 | 一种网络解决方案攻击防御可靠性测试系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112073419A CN112073419A (zh) | 2020-12-11 |
CN112073419B true CN112073419B (zh) | 2022-10-04 |
Family
ID=73695789
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010953869.3A Active CN112073419B (zh) | 2020-09-11 | 2020-09-11 | 一种网络解决方案攻击防御可靠性测试系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112073419B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124477B (zh) * | 2021-11-05 | 2024-04-05 | 深圳市联软科技股份有限公司 | 一种业务服务系统及方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
CN109379761A (zh) * | 2018-12-29 | 2019-02-22 | 杭州迪普科技股份有限公司 | 多无线终端的模拟方法、装置及计算机设备 |
CN110430096A (zh) * | 2019-08-06 | 2019-11-08 | 深圳市同维通信技术有限公司 | 一种网关设备测试方法及设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7882349B2 (en) * | 2003-10-16 | 2011-02-01 | Cisco Technology, Inc. | Insider attack defense for network client validation of network management frames |
CN105119908B (zh) * | 2015-07-22 | 2018-07-27 | 上海迈外迪网络科技有限公司 | 无线网络安全控制方法、装置和无线路由器 |
CN105516189B (zh) * | 2016-01-08 | 2018-06-15 | 四川大学 | 基于大数据平台的网络安全实施系统及方法 |
CN106027549A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 局域网内的arp泛洪攻击的预警方法及装置 |
-
2020
- 2020-09-11 CN CN202010953869.3A patent/CN112073419B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
CN109379761A (zh) * | 2018-12-29 | 2019-02-22 | 杭州迪普科技股份有限公司 | 多无线终端的模拟方法、装置及计算机设备 |
CN110430096A (zh) * | 2019-08-06 | 2019-11-08 | 深圳市同维通信技术有限公司 | 一种网关设备测试方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112073419A (zh) | 2020-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Provos | A Virtual Honeypot Framework. | |
Botta et al. | A tool for the generation of realistic network workload for emerging networking scenarios | |
Provos | Honeyd-a virtual honeypot daemon | |
Izhikevich et al. | {LZR}: Identifying unexpected internet services | |
CN107819649B (zh) | 一种基于海量终端的卫星通信网络的私有协议测试方法 | |
US7620989B1 (en) | Network testing methods and systems | |
Hong et al. | On interactive internet traffic replay | |
Lin et al. | Low-storage capture and loss recovery selective replay of real flows | |
CN112073419B (zh) | 一种网络解决方案攻击防御可靠性测试系统 | |
CN212992342U (zh) | 一种网络解决方案攻击防御可靠性测试系统 | |
Schutijser | Towards automated DDoS abuse protection using MUD device profiles | |
Amponis et al. | Towards securing next-generation networks: Attacking 5g core/ran testbed | |
US20220014457A1 (en) | Methods, systems and computer readable media for stateless service traffic generation | |
Kokkonen et al. | Analysis of approaches to internet traffic generation for cyber security research and exercise | |
Rontti et al. | Preventing DoS attacks in NGN networks with proactive specification-based fuzzing | |
György et al. | Attacking IEC 60870-5-104 protocol | |
US20120246292A1 (en) | Verifying Availability and Reachability Through a Network Device | |
Dumitru-Guzu et al. | Analysis of potential threats in nextgen 5g core | |
CN107579862B (zh) | 一种测量设备网络通信能力的方法 | |
Albadri | Development of a network packet sniffing tool for internet protocol generations | |
Roslan | A Comparative Performance of Port Scanning Techniques | |
Xu et al. | Performance evaluations of Cisco ASA and linux IPTables firewall solutions | |
Bradatsch et al. | A Testing Framework for High-Speed Network and Security Devices | |
Brooks et al. | DDoS Research: Traffic | |
KAUR et al. | Security evaluation for sdn based networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |