快捷搜索:

关注网络设备的安全测试

收集设备本身的安然性必要获得业界的普遍关注,分外是面对DoS或者DDoS进击下是否能够包管设备的可用性。

而在以往的收集设备的测试中,我们一样平常都异常关注收集设备的机能水平、功能性、治理的方便性,短缺对通用收集设备自身的安然性,分外是面对DoS进击之后,设备的可用性环境进行测试。

一位读者看过我们去年的ADSL调制解调器的公开对照测试申报,他来信扣问我们测试过的产品,是否能够经受得住3月初网上呈现的针对ADSL调制解调器的进击行径。然则我很难回答他的问题,由于当时测试仅关注机能、互操作性。

从三月份开始,一些用户在应用ADSL调制解调器上网时,一段光阴收集不通,ADSL调制解调器需重启方能应用,但过一段光阴需再次重启的征象。

这种征象仅仅在用户开启ADSL调制解调器上的拨号、NAT、DHCP等功能才会发生,即ADSL调制解调器作为一个小宽带路由器应用。而作为一个透明的二层桥接设备则不会呈现类似的问题。

从上述的环境阐发看,这应该是一种DoS进击。我们和部分厂商的工程师进行了沟通,他们表示进击的主要道理是耗尽ADSL调制解调器的系统资本,进击法度榜样首先对要进击的设备进行端口扫描,看哪些端口是开放的,或者直接对HTTP端口提议进击(平日HTTP/TELNET等端口都是开放的),进击法度榜样赓续的打开TCP连接,终极耗尽系统资本,导致系统弗成用。网站上一些专家建议用户改动调制解调器开放的治理端口,比如将TELNET、HTTP的端口号改到6100以上。

从我们去年的测试环境看,很多ADSL调制解调用具备NAT功能、自动拨号等功能,可以做一个宽带的路由器,然则这些产品处置惩罚并发连接数的能力异常有限,最大年夜的并发连接数在512个。如斯来看,正常应用中相对多半量的TCP连接(比如多个PC同时上网)也可能会耗尽系统资本,病毒是达到了一个极限的环境而已。

虽然改动端口号是一种措施,然则更彻底的是应该在设计长进行某种保护!分外是在病毒和进击手段赓续翻新的本日,设备可用,可监控,比将所有的资本都用在转发数据包上更好!从去年多种蠕虫病毒爆发的环境看,一个机能下降到极点的设备,然则仍能够治理监控的设备,能够赞助网管职员发明问题的所在,及时使用ACL等手段暂时抵御进击,包管收集的可用性。

而从收集根基举措措施产品的测试来看,也应该更多的斟酌到安然身分,应对本日新的形势在测试中引入DoS进击手段,验证设备在极限环境下是否仍然可用。

可以模拟已知的2/3/4层进击手段:比如对基于流转发模式的三层互换机,模拟流转颁发大年夜规模溢出,查验设备的可用性。(我们曾经在以往的测试中察看出类似的环境)。

再比如对互换机、路由器开放的治理功能,模拟DoS进击。

还有对现有协议中,可能使用的耗尽收集设备处置惩罚能力的“破绽”进行极限测试,模拟进击。像已知的ICMP的进击。

您可能还会对下面的文章感兴趣: