[发明专利]DDoS攻击测试方法、装置和系统

说明书

技术领域

本发明涉及网络安全技术，特别是涉及一种分布式拒绝服务(Distributed Denial-of-Service，简称DDoS)攻击测试方法、装置和系统。

背景技术

分布式拒绝服务(Distributed Denial-of-service，简称DDoS)攻击一直是大型网站面临的主要安全威胁。为了提高大型网站防御DDoS攻击的性能，针对DDos攻击的防护产品(或安全解决方案)快速涌现出来。

由于DDos攻击具有普通拒绝服务(Deny of Service，简称DoS)攻击不具备的一些特点，例如：攻击源IP地址的分散性、TCP/IP参数的多样性等，以及真实环境存在丢包和时延等原因，使得准确评估防护产品的实际防护效能和防护极限性能，变成了一个难点。

要准确评估防护产品的实际防护效能和防护极限性能，需要提供尽可能真实的DDoS攻击环境。DDoS攻击除了传统意义上的协议层面的DDoS攻击，例如SYN洪水(SYN-Flood)攻击、ICMP洪水(ICMP-Flood)攻击等，近年来又出现了各种基于应用层的DDoS攻击方式(application leve lfloods)，例如连接耗尽攻击(connection-flood)、慢连接攻击等等。现有的专用网络测试产品虽然可用来进行DDoS攻击测试，但是这些产品基于专用的软件和硬件平台，产品造价高，可定制性差，培训周期长，不适合对小产品线进行抽样测试。

发明内容

本发明要解决的技术问题是：提供一种DDoS攻击测试方法、装置和系统， 用于降低DDoS攻击测试的成本，提高DDoS攻击测试的灵活性。

本发明提供了一种DDoS攻击测试方法，包括：

修改Linux内核的网络子系统和内存管理子系统；对所述网络子系统的修改包括去除Linux内核的网络子系统中流量控制模块包含的自旋锁；根据预定义的数据包格式，扩展所述Linux内核网络子系统中内核发包器允许定制的数据包字段；对所述内存管理子系统的修改包括：将Linux内核的内存管理子系统提供的数据包内存分配接口函数的属性设置为在每个CPU的私有内存池中分配内存，且将数据包内存释放接口函数的属性设置为在每个CPU的私有内存池中释放内存；

调用修改后的Linux内核网络子系统中内核发包器，生成海量数据包，并向待测试集群发送生成的海量数据包；生成的所述数据包的源地址在预先设置的范围内随机变化，目的地址为待测试集群提供的服务地址；

在接收到所述待测试集群返回的响应数据包时，丢弃所述待测试集群发送的响应数据包；或基于修改后的Linux内核，向所述待测试集群发送部分请求数据包；或基于修改后的Linux内核，向所述待测试集群发送完整请求数据包，且在接收到所述待测试集群返回的请求响应数据包时，丢弃所述请求响应数据包。

本发明还提供了一种DDoS攻击测试装置，包括：

Linux内核，用于提供修改后内核的网络子系统应用编程接口和内存管理子系统应用编程接口；对所述网络子系统的修改包括去除Linux内核的网络子系统中流量控制模块包含的自旋锁；根据预定义的数据包格式，扩展所述Linux内核网络子系统中内核发包器允许定制的数据包字段；对所述内存管理子系统的修改包括：将Linux内核的内存管理子系统提供的数据包内存分配接口函数的属性设置为在每个CPU的私有内存池中分配内存，且将数据包内存释放接口函数的属性设置为在每个CPU的私有内存池中释放内存；

数据包生成模块，用于调用修改后的Linux内核网络子系统中内核发包器，生 成海量数据包，并向待测试集群发送生成的海量数据包；生成的所述数据包的源地址在预先设置的范围内随机变化，目的地址为待测试集群提供的服务地址；

数据包反射模块，用于在接收到所述待测试集群返回的响应数据包时，丢弃所述待测试集群发送的响应数据包；或基于修改后的Linux内核，向所述待测试集群发送部分请求数据包；或基于修改后的Linux内核，向所述待测试集群发送完整请求数据包，且在接收到所述待测试集群返回的请求响应数据包时，丢弃所述请求响应数据包。

本发明又提供了一种DDoS攻击测试系统，包括二层汇聚设备和待测试集群，还包括以上任一所述的DDoS攻击测试装置，所述DDoS攻击测试装置和所述待测试集群交互的数据包，通过所述二层汇聚设备进行过滤和转发。