CN112398781B - 一种攻击测试方法、主机服务器及控制服务器 - Google Patents
一种攻击测试方法、主机服务器及控制服务器 Download PDFInfo
- Publication number
- CN112398781B CN112398781B CN201910749235.3A CN201910749235A CN112398781B CN 112398781 B CN112398781 B CN 112398781B CN 201910749235 A CN201910749235 A CN 201910749235A CN 112398781 B CN112398781 B CN 112398781B
- Authority
- CN
- China
- Prior art keywords
- attack
- test
- control information
- test control
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种攻击测试方法、主机服务器及控制服务器,解决如何对核心网业务面进行攻击测试的问题。本发明的方法包括:在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;根据所述第一测试控制信息,生成攻击流量;将所述攻击流量发送给业务面网元。由于本发明实施例中虚拟主机是受控制服务器控制的,因此,能够安全的、有效地模拟大规模DDoS攻击,而无需考虑后门程序的扩散威胁、以及僵尸网络带来的危害。
Description
技术领域
本发明涉及通信应用的技术领域,尤其涉及一种攻击测试方法、主机服务器及控制服务器。
背景技术
随着第五代移动通信技术(5th-Generation,5G)商用脚步的来临,5G的网络安全问题也越来越重要;针对其增强移动宽带、低功耗大连接、低时延高可靠三大应用场景,5G不仅仅是速率变得更高、时延更低、同时它将渗透到万物互联的各个领域,如远程医疗、工业控制、智慧交通等紧密结合在一起,云和移动基础设施逐渐成为僵尸网络活动的一个新平台。因此网络安全就变得尤为重要;
为了测试5G网络基础设施的网络安全性能、带宽、负载能力,尤其是验证5G网络业务面防分布式拒绝服务Anti-DDOS攻击的能力就显得很重要,需要能模拟接入网(RadioAccess Network,RAN)侧和互联网侧的分布式拒绝服务攻击(Distributed denial ofservice attack,DDoS)攻击流量。目前绝大多数DDoS压测方案主要针对固网、互联网应用安全,5G核心网方向则没有相应的压测方案。
发明内容
本发明的目的在于提供一种攻击测试方法、主机服务器及主控服务器,用以解决如何对核心网业务面进行攻击测试的问题。
为了实现上述目的,本发明提供了一种攻击测试方法,应用于主机服务器,所述主机服务器包括虚拟主机,该方法包括:
在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
根据所述第一测试控制信息,生成攻击流量;
将所述攻击流量发送给业务面网元。
其中,所述获取第一测试控制信息之前,还包括:
接收控制服务器发送的第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
根据所述第二测试控制信息,向控制服务器发送所述虚拟主机的属性信息,所述属性信息包括互联网协议IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项。
其中,根据所述第一测试控制信息,生成攻击流量,包括:
在所述第一测试控制信息中的命令类型为开始攻击的情况下,对所述测试控制信息进行解析处理,得到攻击参数,所述攻击参数包括:被测攻击对象的IP、创建的线程数、攻击时长、攻击模式、攻击流量的类型和构造的攻击流量的方向中的至少一项;
根据所述攻击参数,生成攻击流量。
其中,根据所述攻击参数,生成攻击流量,包括:
根据所述攻击参数,调用python的Scapy库构造攻击数据包;
基于Linux协议栈、开放虚拟交换机OVS和数据平面开发DPDK套件,对所述攻击数据包进行处理,生成攻击流量。
其中,获取第一测试控制信息,包括:
通过超文本传输HTTP交互协议获取第一测试控制信息。
其中,在所述攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
为了实现上述目的,本发明实施例还提供了一种攻击测试方法,应用于控制服务器,所述控制服务器与至少一个虚拟主机通信连接,包括:
确定测试类型;
在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元。
其中,所述第一测试控制信息包括以下至少一项:
攻击模式、命令类型、被测攻击对象的IP、攻击流量的类型、创建的线程数、攻击时长、接收测试控制信息的虚拟主机的ID和构造的攻击流量方向。
其中,所述攻击类型通过攻击向量对应的值表示。
其中,向虚拟主机发送第一测试控制信息,包括:
通过超文本传输HTTP交互协议向虚拟主机发送第一测试控制信息。
其中,向虚拟主机发送第一测试控制信息,包括:
向虚拟主机发送第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
获取虚拟主机发送的属性信息,所述属性信息包括IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项;
根据所述属性信息,向虚拟主机发送第一测试控制信息。
为了实现上述目的,本发明实施例还提供了一种主机服务器,所述主机服务器包括虚拟主机,还包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现以下步骤:
在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
根据所述第一测试控制信息,生成攻击流量;
将所述攻击流量发送给业务面网元。
其中,所述处理器执行获取第一测试控制信息的程序的步骤之前,还用于执行:
接收控制服务器发送的第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
根据所述第二测试控制信息,向控制服务器发送所述虚拟主机的属性信息,所述属性信息包括互联网协议IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项。
其中,所述处理器执行根据所述第一测试控制信息,生成攻击流量的程序的步骤包括:
在所述第一测试控制信息中的命令类型为开始攻击的情况下,对所述测试控制信息进行解析处理,得到攻击参数,所述攻击参数包括:被测攻击对象的IP、创建的线程数、攻击时长、攻击模式、攻击流量的类型和构造的攻击流量的方向中的至少一项;
根据所述攻击参数,生成攻击流量。
其中,所述处理器执行根据所述攻击参数,生成攻击流量的程序的步骤包括:
根据所述攻击参数,调用python的Scapy库构造攻击数据包;
基于Linux协议栈、开放虚拟交换机OVS和数据平面开发DPDK套件,对所述攻击数据包进行处理,生成攻击流量。
其中,所述处理器执行获取第一测试控制信息的程序的步骤包括:
通过超文本传输HTTP交互协议获取第一测试控制信息。
其中,在所述攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
为了实现上述目的,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上所述应用于主机服务器的攻击测试方法的步骤。
为了实现上述目的,本发明实施例还提供了一种控制服务器,所述控制服务器与至少一个虚拟主机通信连接,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现以下步骤:
确定测试类型;
在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元。
其中,所述第一测试控制信息包括以下至少一项:
攻击模式、命令类型、被测攻击对象的IP、攻击流量的类型、创建的线程数、攻击时长、接收测试控制信息的虚拟主机的ID和构造的攻击流量方向。
其中,所述攻击类型通过攻击向量对应的值表示。
其中,所述处理器执行向虚拟主机发送第一测试控制信息的程序的步骤包括:
通过超文本传输HTTP交互协议向虚拟主机发送第一测试控制信息。
其中,所述处理器执行向虚拟主机发送第一测试控制信息的程序的步骤包括:
向虚拟主机发送第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
获取虚拟主机发送的属性信息,所述属性信息包括IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项;
根据所述属性信息,向虚拟主机发送第一测试控制信息。
为了实现上述目的,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上所述应用于控制服务器的攻击测试方法的步骤。
为了实现上述目的,本发明实施例还提供了一种主机服务器,所述主机服务器包括虚拟主机,还包括:
第一获取模块,用于在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
生成模块,用于根据所述第一测试控制信息,生成攻击流量;
第一发送模块,用于将所述攻击流量发送给业务面网元。
为了实现上述目的,本发明实施例还提供了一种控制服务器,所述控制服务器与至少一个虚拟主机通信连接,包括:
确定模块,用于确定测试类型;
第二发送模块,用于在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
第三发送模块,用于在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元。
本发明实施例具有以下有益效果:
本发明实施例的上述技术方案,在进行分布式拒绝服务DDoS测试时,获取测试控制信息;根据所述测试控制信息,生成攻击流量;将所述攻击流量发送给业务面网元。由于本发明实施例中虚拟主机是受控制服务器控制的,因此,能够安全的、有效地模拟大规模DDoS攻击,而无需考虑后门程序的扩散威胁、以及僵尸网络带来的危害。
附图说明
图1为本发明实施例的攻击测试方法的流程示意图之一;
图2为本发明实施例的测试框架示意图之一;
图3为本发明实施例的测试框架示意图之二;
图4为本发明实施例的虚拟主机的框架示意图;
图5为本发明实施例中虚拟主机的工作流程示意图;
图6为本发明实施例的攻击测试方法的流程示意图之二;
图7为本发明实施例中主机服务器的结构框图;
图8为本发明实施例中主机服务器的模块示意图;
图9为本发明实施例中控制服务器的模块示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。说明书以及权利要求中“和/或”表示所连接对象的至少其中之一。
以下描述提供示例而并非限定权利要求中阐述的范围、适用性或者配置。可以对所讨论的要素的功能和布置作出改变而不会脱离本公开的精神和范围。各种示例可恰适地省略、替代、或添加各种规程或组件。例如,可以按不同于所描述的次序来执行所描述的方法,并且可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
为使本领域技术人员能够更好地理解本发明实施例的攻击测试方法,先进行如下说明。
拒绝服务(Denial Of Service,DoS)攻击,采用的是一对一的方式攻击目标服务器、网络服务。分布式拒绝服务(Distributed Denial of Service,DDoS),是在DoS基础上发展的,通过控制成百上千的客户主机(肉鸡),采用集群式攻击,属于多对一方式。
DDoS攻击从种类和形式上多种多样,从最初的针对系统漏洞型的DoS攻击(如Pingof Death),发展到现在的流量型DDoS攻击(如SYN Flood、UDP Flood、ICMP Flood、ACKFlood等),以及越来越频繁出现的针对应用层的DoS攻击(如Http Get Flood、连接耗尽、CC等),越上层协议上发动的DDoS攻击越难以防御,因为协议越上层,与业务关联越大,防御系统面临的情况越复杂。攻击方式从正面攻击,演变出各种反射攻击,即分布式反射拒绝服务(Distributed Reflection Denial of Service,DRDoS)分布式反射拒绝服务(如域名系统(Domain Name System,DNS)反射、网络时间协议(Network Time Protocol,NTP)反射攻击等);攻击者并不直接攻击目标服务IP,而是利用互联网的某些特殊服务开放的服务器,通过伪造被攻击者的IP地址、向有开放服务的服务器发送构造的请求报文,该服务器会将数倍于请求报文的回复数据发送到被攻击IP,从而对后者间接形成DDoS攻击。
DDoS具体表现有以下几个方面:
1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信,如Internet控制报文协议洪水攻击(ICMP Flood)和流量型攻击(UDPFlood)。
2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求,例如Slowloris攻击、哈希Hash冲突攻击等,需要特定环境机缘巧合下才能出现。
3)既利用了协议、系统的缺陷,又具备了海量的流量;利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,通过反复发送畸形的攻击数据,诱导被攻击对象错误的分配大量系统资源,使被攻击主机、服务器或网络带宽资源耗尽,从而引发系统停止响应甚至瘫痪,无法提供正常的服务或资源访问;例如拒绝服务攻击(SYN Flood)、DNS查询攻击(DNS Query Flood),是当前的主流攻击方式。
大规模DDoS攻击对骨干网、城域网核心网络的影响主要表现在如下方面:
1)核心网络的通信链路被DDoS攻击流量占用;
2)DDoS攻击造成链路中网络设备的负载过高;
3)客户业务受DDoS影响服务质量(Quality of Service,QoS)急剧下降。
虽然DDoS攻击方式灵活、种类千变万化,但其实质还是通过大流量冲击、或利用网络通信协议自身漏洞和特点,而发起网络带宽攻击和连通性攻击,使目标计算机或网络无法提供正常服务。
为了模拟DDoS攻击流量,传统的DDoS压测工具多采用专业仪表,如Spirent的Avalanche来模拟,虽然性能稳定强劲,测试精度高,但存在购买、租赁设备费用高、配置难度高、操作繁琐等问题;或者通过第三方在线性能压测平台进行测试,虽然可通过服务商内容分发网络(Content Delivery Network,CDN)节点模拟高并发压测流量,但存在测试场景不灵活、租赁服务时间短、套餐价格昂贵等问题。或者通过租赁虚拟专用服务器(VirtualPrivate Server,VPS)、专属互联网数据中心(Internet Data Center,IDC)托管服务器,手工搭建诸如Trafgen、Hping3、LOIC等类似开源工具来模拟,此方法存在互联网协议(Internet Protocol,IP)资源数受限、压测流量小等问题。或者通过暗网、灰产渠道购买、租赁Web页端DDoS服务,但存在高法律风险和交易风险、流量稳定性和IP资源数难以保证。
目前绝大多数DDoS压测方案主要针对固网、互联网应用安全,5G核心网方向则没有相应的压测方案。
本发明实施例提供了一种攻击测试方法,应用于主机服务器,所述主机服务器包括虚拟主机,该虚拟主机是在主机服务器上通过应用容器引擎Docker虚拟出来的,如图1所示,该方法包括:
步骤101:在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息。
具体的,通过超文本传输(HTTP)交互协议获取第一测试控制信息。
在进行DDOS测试时,虚拟主机获取控制服务器发送的第一测试控制信息,该第一测试控制信息包括以下至少一项:
攻击模式、命令类型、被测攻击对象的IP、攻击流量的类型、创建的线程数、攻击时长、接收测试控制信息的虚拟主机的身份标识号(Identity document,ID)和构造的攻击流量方向。
其中,上述攻击模式包括DDoS攻击或DRDoS攻击;命令类型包括开始攻击、停止攻击或获取虚拟主机信息,该第一测试控制信息中的命令类型具体为开始攻击;攻击流量的类型包括syn flood、tcp flood、ack flood和http flood;构造的攻击流量方向包括上行攻击流量或下行攻击流量。
在所述攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
如表1所示,上述测试控制信息采用Key-Value形式,通过HTTP封装,并下发到唯一ID的虚拟主机中。
表1
如表2所示,上述攻击流量的类型由攻击向量的值决定,每种类型所需参数由控制服务器统一下发。
| 攻击向量 | 协议值 |
| Sync Flood | 0x21 |
| Tcp Flood | 0x22 |
| Ack Flood | 0x23 |
| Http Flood | 0x24 |
| Udp Flood | 0x25 |
| Cc Flood | 0x26 |
| Gre Flood | 0x27 |
表2
步骤102:根据所述第一测试控制信息,生成攻击流量。
该攻击流量为流向业务面网元N3或N6口的攻击流量。
步骤103:将所述攻击流量发送给业务面网元。
在本发明的具体实施例中,如图2所示,压测平台(虚拟主机和控制服务器)可模拟基站(如gNB)或公网(Public Data Network,PDN),分别产生通往5G核心网业务面网元N3、N6口的上下行DDoS攻击流量,对被测设备或Anti-DDoS系统(被测试设备DUT或被测试系统SUT)进行双向压力测试。模拟经过gNB的上行用户设备(User Equipment,UE)流量,通过对业务面安防系统加压,经业务面网元(user plane function,UPF)转发到PDN网络。下行则可模拟互联网数据,经IDC或电信云安防系统过滤,流量透传UPF,报文加隧道消息后发送给5G基站(gNB)。压测平台在流量方面,可以模拟单一的DDoS攻击流量,或模拟混合真实安全流量和DDoS流量;从而对安防设备清洗能力、业务面流量承载能力进行测试。其中,图2中的WAF为Web应用防火墙(Web Application Firewall),IDS为入侵检测系统(IntrusionDetection Systems),IPS为入侵预防系统(Intrusion Prevention System)。
本发明实施例的攻击测试方法,在进行分布式拒绝服务DDoS测试时,获取测试控制信息;根据所述测试控制信息,生成攻击流量;将所述攻击流量发送给业务面网元。由于本发明实施例中虚拟主机是受控制服务器控制的,因此,能够安全的、有效地模拟大规模DDoS攻击,而无需考虑后门程序的扩散威胁、以及僵尸网络带来的危害。
进一步地,所述获取第一测试控制信息之前,还包括:
接收控制服务器发送的第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息。
该第二测试控制信息包括命令类型,该命令类型具体为获取信息。
根据所述第二测试控制信息,向控制服务器发送所述虚拟主机的属性信息,所述属性信息包括互联网协议IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项。
这里,虚拟主机将属性信息发送给控制服务器,以便于控制服务器根据虚拟主机的属性信息,确定第一测试控制信息。
进一步地,根据所述第一测试控制信息,生成攻击流量,包括:
在所述第一测试控制信息中的命令类型为开始攻击的情况下,对所述测试控制信息进行解析处理,得到攻击参数,所述攻击参数包括:被测攻击对象的IP、创建的线程数、攻击时长、攻击模式、攻击流量的类型和构造的攻击流量的方向中的至少一项;
根据所述攻击参数,生成攻击流量。
具体的,根据所述攻击参数,调用python的Scapy库构造攻击数据包;基于Linux协议栈、开放虚拟交换机OVS和数据平面开发DPDK套件,对所述攻击数据包进行处理,生成攻击流量。
在本发明的具体实施例中,需要先构造僵尸网络(BotNet),僵尸网络是指黑客利用攻陷的机器(肉鸡或僵尸电脑)组成的一个个控制节点,通过控制服务器(C&C Commandand Control Server)对各个分布式节点操控,组成一个具有一定规模的僵尸网络,可发送伪造数据包或垃圾数据包,使预定攻击目标瘫痪并拒绝服务。BotNet一般通过被动和主动两种方式生成,被动方式多采用垃圾邮件、破解软件、植入木马、捆绑传播、恶意网站脚本、伪装共享文件等形式入侵主机、植入后门,自动尝试下载恶意代码;主动方式为攻击者使用安全扫描渗透工具,或者系统、软件、溢出漏洞等,通过暴力入侵方式,如结构化查询语言(Structured Query Language,SQL)注入、或通过专用工具hydra、Nmap、Medusa等,配合用户名/密码字典进行ssh、Telnet“爆破”(暴力破解),成功入侵受害者主机后上传后门程序。多用于网络报复、加密货币挖矿等领域。
上述攻击流量的生成主要根据上述BotNet来实现,采用C/S模式构造僵尸网络,并取消虚拟主机Botnet的传播与感染性,仅局限在单台虚拟主机Docker中部署不带传染性的后台程序(Malware),且虚拟主机之间进行安全隔离,测试人员通过C&C服务器(BotMaster)下发测试任务,可选择正向DDoS测试或反射DRDoS测试。具体的框架图的如图3所示。
当进行DDoS测试时,可通过控制服务器Web控制台配置好攻击方式、攻击带宽、测试时长等参数,参数将转换为命令控制字,通过HTTP交互协议推送push给僵尸网络中的每一台虚拟主机;随后虚拟主机可发起针对N3的上行攻击流量,会针对N6口的下行攻击流量。
当进行DRDoS测试时,则无需依托僵尸网络进行集群式攻击,可通过控制服务器直接模拟DNS/NTP/SSDP等业务请求,在构造服务请求报文时可将源IP(Src_IP)构造为被攻击者IP(如UPF N6口IP),业务服务器收到请求后,会对IP地址源做大量回应消息而生成DDoS攻击,该方式下利用各种协议漏洞来放大攻击效果。
在测试过程中,控制服务器通过每台虚拟主机的信息获取模块,实时获取(pull方式)IP地址、操作系统类型、CPU信息、内存信息、网卡负载、状态信息等。
BotNet中的每台虚拟主机,是在Host主机(主机服务器)中通过Docker容器虚拟化出来的,因此可以模拟大量主机。如图4所示,每台虚拟主机所承载的Malware包括以下模块:
信息获取模块:用于获取、上报虚拟主机的系统状态、运行信息等;
更新模块,用于在控制服务器端批量升级僵尸网络;
通信模块,用于与控制服务器通过443/80等开放接口交互,解析主控BotMaster发送来的命令控制字;
主控模块用于协调程序间进程、线程的创建、管理;
攻击模块用于配置目的IP地址、端口、线程数、攻击包大小、攻击时长、是否伪造源IP、采用哪种攻击模式等,确定流量上下行方向,并在底层调用python的Scapy库进行攻击数据包构造,配合Linux协议栈及OVS+DPDK套件,进行真实攻击流量的生成、发送。
通过Scapy模块组包,可生成任何流量,任何报文字段可修改,发包规则灵活;采用DPDK+OVS方案,可以确保各个Bot主机通过单网络接口控制器(network interfacecontroller,NIC)后,流量叠加后的总带宽、连接数、性能效率最高,具有可靠的有效性和稳定性。
下面结合图4具体说明虚拟主机的工作流程。
如图5所示,该工作流程包括:
步骤501:添加自启动项目。
步骤502:生成多子进程。
步骤503:创建后门线程。
步骤504:线程SendInfo发送被感染主机信息并发送心跳信息。
该心跳信息用于监测虚拟主机是否正常工作。
步骤505:通信模块等待控制服务器的命令控制字。
步骤506:通信模块接收主控信息。
该主控信息中包含有命令控制字。
步骤507:进行消息或指令解密处理,解析DDOS攻击参数。
步骤508:确定攻击任务为即时攻击任务或定时攻击任务。
步骤509:Scapy组包模块对攻击流量进行组包。
步骤510:执行模式开始攻击或停止统计。
在本发明的具体实施例中,对于针对UPF的上下行攻击流量,则需按5G核心网业务面协议规范定制,在信令面打通之后,可以按照参照以下封装格式构造Scapy攻击流,其中,UE_IP、隧道端点标识符Teid、QFI、gNB_IP、UPF_IP、GTPu协议版本号等,需从核心网网管获取填入。
当压测平台的BotNet模拟gNB发起多个上行攻击流量时,外层Src_IP为gNB_IP,目的IP为UPF_IP,通过gtpu协议封装后,内层Src_IP为UE_IP、Dst_IP为PDN_IP。这样确保攻击流量经UF后,拆掉GTP头后,顺利抵达PDN侧。
下行攻击时,BotNet模拟PDN,因此Src_IP为PDN,Dst_IP为UE终端,并按照如下格式封装。
业务面停止攻击消息格式如下所示:
Docker虚机中的Bot主机间采用隔离方式,每个Bot主机任务由BotMaster下发。每个Bot主机利用数据平面开发(Data Plane Development Kit,DPDK)的多核多队列技术,确保独占host主机物理CPU核和大页内存;在Host主机中采用openvswitch(OVS)将容器与NIC解耦,这样保障每个Bot主机构造的攻击流叠加性能达到最优,发包效率最高。
如图6所示,本发明实施例还提供了一种攻击测试方法,应用于控制服务器,该控制服务器与至少一个虚拟主机通信连接,该方法包括:
步骤601:确定测试类型。
该测试类型包括DDoS测试或DRDoS。
步骤602:在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息。
所述第一测试控制信息包括以下至少一项:
攻击模式、命令类型、被测攻击对象的IP、攻击流量的类型、创建的线程数、攻击时长、接收测试控制信息的虚拟主机的ID和构造的攻击流量方向。所述攻击类型通过攻击向量对应的值表示。具体见表1和表2.
步骤603:在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务集群器根据所述服务请求报文产生请求回应消息并发送给业务面网元。
该目标服务器集群可具体为第三方公网服务器集群(DNS/NTP/SSDP/Memcached/Chargen)。
如图3所示,当进行DDoS测试时,可通过控制服务器Web控制台配置好攻击方式、攻击带宽、测试时长等参数,参数将转换为命令控制字,通过HTTP交互协议推送push给僵尸网络中的每一台虚拟主机;随后虚拟主机可发起针对N3的上行攻击流量,会针对N6口的下行攻击流量。
当进行DRDoS测试时,则无需依托僵尸网络进行集群式攻击,可通过控制服务器直接模拟DNS/NTP/SSDP等业务请求,在构造服务请求报文时可将源IP(Src_IP)构造为被攻击者IP(如UPF N6口IP),业务服务器收到请求后,会对IP地址源做大量回应消息而生成DDoS攻击,该方式下利用各种协议漏洞来放大攻击效果。
进一步地,向虚拟主机发送第一测试控制信息,包括:
通过超文本传输HTTP交互协议向虚拟主机发送第一测试控制信息。
进一步地,向虚拟主机发送第一测试控制信息,包括:
向虚拟主机发送第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
获取虚拟主机发送的属性信息,所述属性信息包括IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项;
根据所述属性信息,向虚拟主机发送第一测试控制信息。
该控制服务器与虚拟主机的具体交互过程已在上述应用于虚拟主机的攻击测试方式中进行详细描述,此处不再赘述。
本发明实施例中,确定测试类型;在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务集群器根据所述服务请求报文产生请求回应消息并发送给业务面网元。本发明实施例可以针对DRDDos或DDoS攻击流量进行单一暴力测试,也可同时针对正常业务流量和攻击流量的混合型流量,进行Anti-DDoS安全压力测试。
本发明实施例的攻击测试方法,总体成本低,只需要控制服务器、通用X86服务器、千兆/万兆网卡及光纤若干,配合Docker虚拟化方案,即可模拟成百上千个僵尸主机,形成DDoS攻击集群。
如图7所示,本发明的实施例还提供了一种主机服务器,包括虚拟主机,还包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
根据所述第一测试控制信息,生成攻击流量;
将所述攻击流量发送给业务面网元。
其中,在图7中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器700代表的一个或多个处理器和存储器720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机710可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器700负责管理总线架构和通常的处理,存储器720可以存储处理器700在执行操作时所使用的数据。
可选的,所述处理器700执行获取第一测试控制信息的程序的步骤之前,还用于执行:
接收控制服务器发送的第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
根据所述第二测试控制信息,向控制服务器发送所述虚拟主机的属性信息,所述属性信息包括互联网协议IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项。
可选的,所述处理器700执行根据所述第一测试控制信息,生成攻击流量的程序的步骤包括:
在所述第一测试控制信息中的命令类型为开始攻击的情况下,对所述测试控制信息进行解析处理,得到攻击参数,所述攻击参数包括:被测攻击对象的IP、创建的线程数、攻击时长、攻击模式、攻击流量的类型和构造的攻击流量的方向中的至少一项;
根据所述攻击参数,生成攻击流量。
可选的,所述处理器700执行根据所述攻击参数,生成攻击流量的程序的步骤包括:
根据所述攻击参数,调用python的Scapy库构造攻击数据包;
基于Linux协议栈、开放虚拟交换机OVS和数据平面开发DPDK套件,对所述攻击数据包进行处理,生成攻击流量。
可选的,所述处理器700执行获取第一测试控制信息的程序的步骤包括:
通过超文本传输HTTP交互协议获取第一测试控制信息。
可选的,在所述攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
本发明实施例的主机服务器,在进行分布式拒绝服务DDoS测试时,获取测试控制信息;根据所述测试控制信息,生成攻击流量;将所述攻击流量发送给业务面网元。由于本发明实施例中虚拟主机是受控制服务器控制的,因此,能够安全的、有效地模拟大规模DDoS攻击,而无需考虑后门程序的扩散威胁、以及僵尸网络带来的危害。
本发明实施例的主机服务器能实现上述应用于主机服务器侧的攻击测试方法实施例中的所有实现方式,且能达到相同的技术效果,为避免重复,此处不再赘述。
在本发明的一些实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
根据所述第一测试控制信息,生成攻击流量;
将所述攻击流量发送给业务面网元。
该程序被处理器执行时能实现上述应用于虚拟主机侧的攻击测试方法实施例中的所有实现方式,且能达到相同的技术效果,为避免重复,此处不再赘述。
如图8所示,本发明的实施例还提供了一种主机服务器,所述主机服务器包括虚拟主机,还包括:
第一获取模块801,用于在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
生成模块802,用于根据所述第一测试控制信息,生成攻击流量;
第一发送模块803,用于将所述攻击流量发送给业务面网元。
本发明实施例的主机服务器,还包括:
接收模块,用于第一获取模块获取第一测试控制信息之前,接收控制服务器发送的第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
第四发送模块,用于根据所述第二测试控制信息,向控制服务器发送所述虚拟主机的属性信息,所述属性信息包括互联网协议IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项。
本发明实施例的主机服务器,所述生成模块包括:
第一获取子模块,用于在所述第一测试控制信息中的命令类型为开始攻击的情况下,对所述测试控制信息进行解析处理,得到攻击参数,所述攻击参数包括:被测攻击对象的IP、创建的线程数、攻击时长、攻击模式、攻击流量的类型和构造的攻击流量的方向中的至少一项;
生成子模块,用于根据所述攻击参数,生成攻击流量。
本发明实施例的主机服务器,所述生成子模块包括:
调用单元,用于根据所述攻击参数,调用python的Scapy库构造攻击数据包;
生成单元,用于基于Linux协议栈、开放虚拟交换机OVS和数据平面开发DPDK套件,对所述攻击数据包进行处理,生成攻击流量。
本发明实施例的主机服务器,所述第一获取模块用于通过超文本传输HTTP交互协议获取第一测试控制信息。
本发明实施例的主机服务器,在所述攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
本发明实施例的主机服务器,在进行分布式拒绝服务DDoS测试时,获取测试控制信息;根据所述测试控制信息,生成攻击流量;将所述攻击流量发送给业务面网元。由于本发明实施例中虚拟主机是受控制服务器控制的,因此,能够安全的、有效地模拟大规模DDoS攻击,而无需考虑后门程序的扩散威胁、以及僵尸网络带来的危害。
本发明实施例的主机服务器能实现上述应用于主机服务器侧的攻击测试方法实施例中的所有实现方式,且能达到相同的技术效果,为避免重复,此处不再赘述。
本发明的实施例还提供了一种控制服务器,所述控制服务器与至少一个虚拟主机通信连接,该控制服务器的结构与图7所示的主机服务器的结构相同,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现以下步骤:
确定测试类型;
在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元。
其中,在图7中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器700代表的一个或多个处理器和存储器720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机710可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器700负责管理总线架构和通常的处理,存储器720可以存储处理器700在执行操作时所使用的数据。
可选的,所述第一测试控制信息包括以下至少一项:
攻击模式、命令类型、被测攻击对象的IP、攻击流量的类型、创建的线程数、攻击时长、接收测试控制信息的虚拟主机的ID和构造的攻击流量方向。
可选的,所述攻击类型通过攻击向量对应的值表示。
可选的,所述处理器700执行向虚拟主机发送第一测试控制信息的程序的步骤包括:
通过超文本传输HTTP交互协议向虚拟主机发送第一测试控制信息。
可选的,所述处理器700执行向虚拟主机发送第一测试控制信息的程序的步骤包括:
向虚拟主机发送第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
获取虚拟主机发送的属性信息,所述属性信息包括IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项;
根据所述属性信息,向虚拟主机发送第一测试控制信息。
本发明实施例的控制服务器,可以针对DRDDos或DDoS攻击流量进行单一暴力测试,也可同时针对正常业务流量和攻击流量的混合型流量,进行Anti-DDoS安全压力测试。
本发明实施例的控制服务器能够实现上述应用于控制服务器侧的攻击测试方法实施例中的所有实现方式,且能达到相同的技术效果,为避免重复,此处不再赘述。
在本发明的一些实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
确定测试类型;
在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元。
该程序被处理器执行时能实现上述应用于控制服务器侧的攻击测试方法实施例中的所有实现方式,且能达到相同的技术效果,为避免重复,此处不再赘述。
如图9所示,本发明的实施例还提供了一种控制服务器,所述控制服务器与至少一个虚拟主机通信连接,包括:
确定模块901,用于确定测试类型;
第二发送模块902,用于在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试指示信息为用于指示进行攻击测试的信息;
第三发送模块903,用于在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元。
本发明实施例的控制服务器,所述第一测试控制信息包括以下至少一项:
攻击模式、命令类型、被测攻击对象的IP、攻击流量的类型、创建的线程数、攻击时长、接收测试控制信息的虚拟主机的ID和构造的攻击流量方向。
本发明实施例的控制服务器,所述攻击类型通过攻击向量对应的值表示。
本发明实施例的控制服务器,所述第二发送模块用于通过超文本传输HTTP交互协议向虚拟主机发送第一测试控制信息。
本发明实施例的控制服务器,所述第二发送模块包括:
第一发送子模块,用于向虚拟主机发送第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
第二获取子模块,用于获取虚拟主机发送的属性信息,所述属性信息包括IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项;
第二发送子模块,用于根据所述属性信息,向虚拟主机发送第一测试控制信息。
本发明实施例的控制服务器,可以针对DRDDos或DDoS攻击流量进行单一暴力测试,也可同时针对正常业务流量和攻击流量的混合型流量,进行Anti-DDoS安全压力测试。
本发明实施例的控制服务器能实现上述应用于控制服务器侧的攻击测试方法实施例中的所有实现方式,且能达到相同的技术效果,为避免重复,此处不再赘述。
在本发明的各种实施例中,应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (24)
1.一种攻击测试方法,应用于主机服务器,所述主机服务器包括虚拟主机,其特征在于,所述方法包括:
在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试控制信息为用于指示进行攻击测试的信息;
根据所述第一测试控制信息,生成攻击流量;
将所述攻击流量发送给业务面网元;
在所述攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
2.根据权利要求1所述的方法,其特征在于,所述获取第一测试控制信息之前,还包括:
接收控制服务器发送的第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
根据所述第二测试控制信息,向控制服务器发送所述虚拟主机的属性信息,所述属性信息包括互联网协议IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项。
3.根据权利要求1所述的方法,其特征在于,根据所述第一测试控制信息,生成攻击流量,包括:
在所述第一测试控制信息中的命令类型为开始攻击的情况下,对所述测试控制信息进行解析处理,得到攻击参数,所述攻击参数包括:被测攻击对象的IP、创建的线程数、攻击时长、攻击模式、攻击流量的类型和构造的攻击流量的方向中的至少一项;
根据所述攻击参数,生成攻击流量。
4.根据权利要求3所述的方法,其特征在于,根据所述攻击参数,生成攻击流量,包括:
根据所述攻击参数,调用python的Scapy库构造攻击数据包;
基于Linux协议栈、开放虚拟交换机OVS和数据平面开发DPDK套件,对所述攻击数据包进行处理,生成攻击流量。
5.根据权利要求1所述的方法,其特征在于,获取第一测试控制信息,包括:
通过超文本传输HTTP交互协议获取第一测试控制信息。
6.一种攻击测试方法,应用于控制服务器,所述控制服务器与至少一个虚拟主机通信连接,其特征在于,包括:
确定测试类型;
在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试控制信息为用于指示进行攻击测试的信息;
在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元;
其中,在所述攻击测试对应的攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击测试对应的攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
7.根据权利要求6所述的方法,其特征在于,所述第一测试控制信息包括以下至少一项:
攻击模式、命令类型、被测攻击对象的IP、攻击流量的类型、创建的线程数、攻击时长、接收测试控制信息的虚拟主机的ID和构造的攻击流量方向。
8.根据权利要求7所述的方法,其特征在于,所述攻击流量的类型通过攻击向量对应的值表示。
9.根据权利要求6所述的方法,其特征在于,向虚拟主机发送第一测试控制信息,包括:
通过超文本传输HTTP交互协议向虚拟主机发送第一测试控制信息。
10.根据权利要求6所述的方法,其特征在于,向虚拟主机发送第一测试控制信息,包括:
向虚拟主机发送第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
获取虚拟主机发送的属性信息,所述属性信息包括IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项;
根据所述属性信息,向虚拟主机发送第一测试控制信息。
11.一种主机服务器,所述主机服务器包括虚拟主机,还包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试控制信息为用于指示进行攻击测试的信息;
根据所述第一测试控制信息,生成攻击流量;
将所述攻击流量发送给业务面网元;
在所述攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
12.根据权利要求11所述的主机服务器,其特征在于,所述处理器执行获取第一测试控制信息的程序的步骤之前,还用于执行:
接收控制服务器发送的第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
根据所述第二测试控制信息,向控制服务器发送所述虚拟主机的属性信息,所述属性信息包括互联网协议IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项。
13.根据权利要求11所述的主机服务器,其特征在于,所述处理器执行根据所述第一测试控制信息,生成攻击流量的程序的步骤包括:
在所述第一测试控制信息中的命令类型为开始攻击的情况下,对所述测试控制信息进行解析处理,得到攻击参数,所述攻击参数包括:被测攻击对象的IP、创建的线程数、攻击时长、攻击模式、攻击流量的类型和构造的攻击流量的方向中的至少一项;
根据所述攻击参数,生成攻击流量。
14.根据权利要求13所述的主机服务器,其特征在于,所述处理器执行根据所述攻击参数,生成攻击流量的程序的步骤包括:
根据所述攻击参数,调用python的Scapy库构造攻击数据包;
基于Linux协议栈、开放虚拟交换机OVS和数据平面开发DPDK套件,对所述攻击数据包进行处理,生成攻击流量。
15.根据权利要求11所述的主机服务器,其特征在于,所述处理器执行获取第一测试控制信息的程序的步骤包括:
通过超文本传输HTTP交互协议获取第一测试控制信息。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5中任一项所述攻击测试方法的步骤。
17.一种控制服务器,所述控制服务器与至少一个虚拟主机通信连接,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
确定测试类型;
在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试控制信息为用于指示进行攻击测试的信息;
在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元;
其中,在所述攻击测试对应的攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击测试对应的攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
18.根据权利要求17所述的控制服务器,其特征在于,所述第一测试控制信息包括以下至少一项:
攻击模式、命令类型、被测攻击对象的IP、攻击流量的类型、创建的线程数、攻击时长、接收测试控制信息的虚拟主机的ID和构造的攻击流量方向。
19.根据权利要求18所述的控制服务器,其特征在于,所述攻击流量的类型通过攻击向量对应的值表示。
20.根据权利要求17所述的控制服务器,其特征在于,所述处理器执行向虚拟主机发送第一测试控制信息的程序的步骤包括:
通过超文本传输HTTP交互协议向虚拟主机发送第一测试控制信息。
21.根据权利要求17所述的控制服务器,其特征在于,所述处理器执行向虚拟主机发送第一测试控制信息的程序的步骤包括:
向虚拟主机发送第二测试控制信息,所述第二测试控制信息用于请求获取虚拟主机的属性信息;
获取虚拟主机发送的属性信息,所述属性信息包括IP地址、操作系统类型、中央处理器CPU信息、内存信息、网卡负载、系统状态信息中的至少一项;
根据所述属性信息,向虚拟主机发送第一测试控制信息。
22.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求6至10中任一项所述攻击测试方法的步骤。
23.一种主机服务器,所述主机服务器包括虚拟主机,其特征在于,还包括:
第一获取模块,用于在进行分布式拒绝服务DDoS测试时,获取第一测试控制信息,所述第一测试控制信息为用于指示进行攻击测试的信息;
生成模块,用于根据所述第一测试控制信息,生成攻击流量;
第一发送模块,用于将所述攻击流量发送给业务面网元;
在所述攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
24.一种控制服务器,所述控制服务器与至少一个虚拟主机通信连接,其特征在于,包括:
确定模块,用于确定测试类型;
第二发送模块,用于在所述测试类型为分布式拒绝服务DDoS测试时,向虚拟主机发送第一测试控制信息,所述第一测试控制信息为用于指示进行攻击测试的信息;
第三发送模块,用于在所述测试类型为分布式反射拒绝服务DRDoS测试时,向目标服务器集群发送服务请求报文,由所述目标服务器集群根据所述服务请求报文产生请求回应消息并发送给业务面网元;
其中,在所述攻击测试对应的攻击流量为上行攻击流量时,所述攻击流量中的外层源IP为基站IP,目的IP为业务面网元的N3口IP,经过封装用户数据GTP-U协议封装后,所述攻击流量中的内层源IP为终端IP,目的IP为公网IP;
在所述攻击测试对应的攻击流量为下行攻击流量时,所述攻击流量中的源IP为公网IP,目的IP为终端IP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910749235.3A CN112398781B (zh) | 2019-08-14 | 2019-08-14 | 一种攻击测试方法、主机服务器及控制服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910749235.3A CN112398781B (zh) | 2019-08-14 | 2019-08-14 | 一种攻击测试方法、主机服务器及控制服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112398781A CN112398781A (zh) | 2021-02-23 |
| CN112398781B true CN112398781B (zh) | 2022-04-08 |
Family
ID=74601353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910749235.3A Active CN112398781B (zh) | 2019-08-14 | 2019-08-14 | 一种攻击测试方法、主机服务器及控制服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398781B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132349A (zh) * | 2021-03-12 | 2021-07-16 | 中国科学院信息工程研究所 | 一种免代理云平台虚拟流量入侵检测方法及装置 |
| CN112714138B (zh) * | 2021-03-29 | 2021-06-29 | 北京网测科技有限公司 | 基于攻击流量的测试方法、装置、设备及存储介质 |
| CN113542029A (zh) * | 2021-07-19 | 2021-10-22 | 凌云天博光电科技股份有限公司 | 一种网络设备的业务稳定性测试方法、系统及工具 |
| CN114301640B (zh) * | 2021-12-15 | 2023-09-01 | 中电信数智科技有限公司 | 一种基于SRv6网络协议进行的攻防演练的方法及系统 |
| CN115589335B (zh) * | 2022-11-25 | 2023-04-21 | 北京微步在线科技有限公司 | 一种ntp分布式拒绝服务攻击的处理方法及系统 |
| CN115604147A (zh) * | 2022-12-01 | 2023-01-13 | 北京安帝科技有限公司(Cn) | 基于工控网络的主机测试方法、装置、设备与计算机介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043384A (zh) * | 2006-05-25 | 2007-09-26 | 华为技术有限公司 | 一种网络测试的系统和方法 |
| CN101488890A (zh) * | 2009-01-14 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 网络攻击测试的方法和系统 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
| CN104618895A (zh) * | 2014-12-29 | 2015-05-13 | 京信通信系统(中国)有限公司 | 基于微基站的安全通信系统 |
| CN106561016A (zh) * | 2015-11-19 | 2017-04-12 | 国网智能电网研究院 | 一种基于熵的SDN控制器DDoS攻击检测装置和方法 |
| CN106921612A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 发现DDoS攻击的方法及装置 |
| CN109995714A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
-
2019
- 2019-08-14 CN CN201910749235.3A patent/CN112398781B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043384A (zh) * | 2006-05-25 | 2007-09-26 | 华为技术有限公司 | 一种网络测试的系统和方法 |
| CN101488890A (zh) * | 2009-01-14 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 网络攻击测试的方法和系统 |
| CN103997489A (zh) * | 2014-05-09 | 2014-08-20 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别DDoS僵尸网络通信协议的方法及装置 |
| CN104618895A (zh) * | 2014-12-29 | 2015-05-13 | 京信通信系统(中国)有限公司 | 基于微基站的安全通信系统 |
| CN106561016A (zh) * | 2015-11-19 | 2017-04-12 | 国网智能电网研究院 | 一种基于熵的SDN控制器DDoS攻击检测装置和方法 |
| CN106921612A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 发现DDoS攻击的方法及装置 |
| CN109995714A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112398781A (zh) | 2021-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112398781B (zh) | 一种攻击测试方法、主机服务器及控制服务器 | |
| Li et al. | Securing SDN infrastructure of IoT–fog networks from MitM attacks | |
| EP3577589B1 (en) | Prevention of malicious automation attacks on a web service | |
| Provos | A Virtual Honeypot Framework. | |
| US20190364067A1 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| US9491189B2 (en) | Revival and redirection of blocked connections for intention inspection in computer networks | |
| US10165004B1 (en) | Passive detection of forged web browsers | |
| CN109347881B (zh) | 基于网络欺骗的网络防护方法、装置、设备及存储介质 | |
| EP3171572A1 (en) | Network security protection method and device | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| CN117378174A (zh) | 保护容器化应用 | |
| US9749354B1 (en) | Establishing and transferring connections | |
| CN107800723A (zh) | Cc攻击防护方法及设备 | |
| WO2023193513A1 (zh) | 蜜罐网络运行方法、装置、设备及存储介质 | |
| CN108400955A (zh) | 一种网络攻击的防护方法及系统 | |
| CN105518693A (zh) | 一种安全防护方法,及装置 | |
| Dumitru-Guzu et al. | Analysis of potential threats in nextgen 5g core | |
| US11943250B2 (en) | Test device | |
| US10931713B1 (en) | Passive detection of genuine web browsers based on security parameters | |
| Cika et al. | Stress tester and network emulator in Apache JMeter | |
| CN113162922B (zh) | 客户端数据的获取方法及装置、存储介质、电子设备 | |
| Yudhana et al. | Network Forensics Against Volumetric-Based Distributed Denial of Service Attacks on Cloud and the Edge Computing. | |
| US12124590B2 (en) | Testing device, testing method, and testing program | |
| CN110035041B (zh) | 一种识别应用攻击源的方法和设备 | |
| Huraj et al. | Realtime attack environment for DDoS experimentation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |