文本a10tps测试方案v1

1、A10 Tder TPS 测试方案2014 年 7 月目 录概述3测试说明3测试环境42.1.1 测试设备及. 4测试拓扑图5TPS 初始配置52.1.4 h3 安装63 测试内容和方法83.1 IP 异常. 8No IP Payload8Micro Fragment83.2 协议异常. 9Land Attack9TCP IP Invalid Len10TCP NULL Scan11TCP SYN and FIN12TCP XMAS Scan13UDP Invalid Checksum143.2.7 UDP Port Loack153.2.8 TCP Short Header153.3 网络层

2、 DDOS. 173.3.1of death17ICMP Flood18TCP ACK Flood19TCP RST Flood19TCP SYN Flood20UDP Flood21应用层DNS. 22. 22DNS Any Query24DNS Query Flood253.4.4 HTTP Get/t Flood -Raimit263.4.5 HTTP Get Flood - by HOIC/HULK28SlowlorisSlowt. 30. 313.4.8 HTTP Attack-HTTP Authentication321 概述本文档介绍了进行 TPS 产品测试的环境要求、测试方法等

3、内容，通过测试方案来模拟多种场景并检验 TPS 防御 DDoS 功能特性。2 测试说明本次测试主要针对 TPS防御系统进行功能测试。基本采用h3 作为测试步骤来对 TPS 产品各项功能点进试和验证：No IP Payload Mirco Fragment Land AttackTCP IP Invalid Length TCP NULL ScanTCP SYN&FIN TCP XMAS ScanUDP Invaild ChecksumUDP Port Lo ICMP Flood TCP ACK Flood TCP RST Flood TCP SYN Flood UDP Flood DNS At

4、tackHTTP Attackack2.1 测试环境2.1.1 测试设备及设备名称数量安装（或版本）Tder TPS 设备1TPS 4435 （v3.1）应用服务器1安装有 http 和 dns 服务客户端1安装 h3 工具、HOIC、HULK 以及 dns和 http2.1.2 测试拓扑图本次测试所使用的拓扑如下：拓扑说明：1）TPS 设备采用对称方式部署2）客户端和服务器配置在不同的 VLAN，配置不同的子网地址3）由客户端发起测试测试 TPS 功能特性2.1.3 TPS 初始配置对 TPS 进行网络和 DDoS 初始配置：vlan 20untagged ethernet 2 router

5、-erface ve 20 name inside!vlan 30untagged ethernet 1 router-erface ve 30 name outside!erface managementip address 3 !erface ethernet 1enable!erface ethernet 2enable!erface ve 20ip address 00 ddos inside!erface ve 30ip address 00 ddos outside！ddos dst entry httpserver exceed-log-enablel4-type tcpdisa

6、ble-syn-auth！3 安装2.1.4 h获取 h3-20051105.tar.gz 安装包解压：tar -zxvf h3-20051105.tar.gz修改 bytesex.h 文件： 在#if defined( i386 )在#if defined( i386 )运行./configure查询 lib 依赖性控件，rpm前面添加 #defineBYTE_ORDER_LITTLE_ENDIAN后面添加|defined( x86_64 )-qa | grep pcap安装 libpcap：yum y install libpcap安装 libpcap-devel：yum y instal

7、l libpcap-develln -sf /usr/include/pcap-bpf.h /usr/include/net/bpf.h安装 tcl：yum -y install tcl安装 tcl-devel：yum -y install tcl-devel makemake stripmake install备注：在测试环境中使用 h与本文无关。3 工具，尽量不要使用-flood 模式，否则造成的一切3 测试内容和方法3.1 IP 异常3.1.1 No IP Payload验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop | exclude 0

8、图中显示”IPv4 Payload None”数据包10000 个，成功率 100%。3.1.2 Micro Fragment测试3.1.2测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御碎片测试3.1.1测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 No IP Payload测试项目No IP Payload测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -rawip -d 0 c 10000 faster向 服务器发送 10000 个 malformed packect，IP 包头含有 TCP

9、协议类型，但不含有 TCP 包头，数据包长度为 60 字节预期结果TPS 设备能够抵御 No IP Payload是否成功抵御 No IP Payload是/否备注测试员签名用户厂商验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop | inc Frag图中显示”Micro Frag”数据包10000 个，成功率 100%。3.2 协议异常3.2.1 Land Attack测试3.2.1测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 Land Attack测试项目Land Attack测试连接图参考 2.1.2 章节测试

10、拓扑图预设条件TPS 无需额外配置测试步骤h3 s 80 k d 80 S a c 10000 q -faster者发送具有相同 IP 源地址、目标地址和 TCP端的伪造 TCP SYN 数据包，地址和地址保持一致测试项目Micro Fragment测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -rawip -d 1 x c 10000 faster向 服务器发送 10000 个微型碎片数据包预期结果TPS 设备能够抵御 Micro Fragment是否成功抵御 Micro Fragment是/否备注测试员签名用户厂商验证结果：SSH 登陆 TPS 设备，

11、sh ddos sistics anomaly-drop | inc Land图中显示”Land Attack”数据包10000 个，成功率 100%。3.2.2 TCP IP Invalid Len验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop | inc TCP测试3.2.2测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 IP Invalid Len测试项目IP Invalid Len测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -p 80 -S -L 0 -O 12 -c

12、10000 -faster向 服务器 tcp 80 端口发送 10000 个长度为 0 字节的数据包预期结果TPS 设备能够抵御 IP Invalid Len是否成功抵御 IP Invalid Len是/否备注测试员签名用户厂商预期结果TPS 设备能够抵御 Land Attack是否成功抵御 Land Attack是/否备注测试员签名用户厂商图中显示”TCP Invalid IPv4 Len”数据包10000 个，成功率 100%。3.2.3 TCP NULL Scan验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop | inc TCP测试3.2.

13、3测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 TCP NULL Scan测试项目TCP NULL Scan测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -p +80 -M 0 -c 10000 -faster向 服务器 tcp 80 端口递增进行 TCP 端口扫描预期结果TPS 设备能够抵御 TCP NULL Scan是否成功抵御 TCP NULL Scan是/否备注测试员签名用户厂商图中显示”TCP NULL Scan”数据包10000 个，成功率 100%。3.2.4 TCP SYN and FIN验证结果：SSH 登

14、陆 TPS 设备，sh ddos sistics anomaly-drop| inc TCP测试3.2.4测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 TCP SYN&FIN测试项目TCP SYN&FIN测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤 -p 80 -S -L 0 -O 32 -c 10000 -faster向 服务器 tcp 80 端口发送 10000 个含有 SYN 和 FIN标志位数据包预期结果TPS 设备能够抵御 TCP SYN&FIN是否成功抵御 TCP SYN&FIN是/否备注测试员签名用户厂商图中显示”

15、TCP SYN&FIN”数据包10000 个，成功率 100%。3.2.5 TCP XMAS Scan验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop| inc TCP测试3.2.5测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 TCP XMAS Scan测试项目TCP XMAS Scan测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -p 80 UPF M 0 -c 10000 fasterXMAS同时携带 URG、PUSH 和 FIN 标志位，向 服务器发送 10000 个 XM

16、AS 类型数据包预期结果TPS 设备能够抵御 TCP XMAS Scan是否成功抵御 TCP XMAS Scan是/否备注测试员签名用户厂商图中显示”TCP XMAS Scan”数据包10000 个，成功率 100%。3.2.6 UDP Invalid Checksum验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop | inc UDP测试3.2.6测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 UDP Invalid Checksum测试项目UDP Invalid Checksum测试连接图参考 2.1.2 章节测试

17、拓扑图预设条件TPS 无需额外配置测试步骤h3 -udp -p 53 b -c 10000 -faster向 服务器发送 10000 个-b 无效校验和数据包预期结果TPS 设备能够抵御 UDP Invalid Checksum是否成功抵御 UDP Invalid Checksum是/否备注测试员签名用户厂商图中显示”UDP Invalium”数据包1 个。3.2.7 UDP Port Loack验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop| inc UDP图中显示”UDP Port LB”数据包10000 个，成功率 100%；从测试看 TP

18、S 目前只识 别 UDP7 端口和 19 端口的 UDP loack 数据包。3.2.8 TCP Short Header测试3.2.8测试日期测试3.2.7测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 UDP Port Loack测试项目UDP Port Loack测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -udp -p 19 s 19 k -c 10000 -faster向 服务器发送 10000 个 UDP LB ， 会携带 UDP 7 端口或者 19 端口， 特征为 UDP 源端口和目的端口采用一致性端口输出预期

19、结果TPS 设备能够抵御 UDP Port Loack是否成功抵御 UDP Port Loack 攻击是/否备注测试员签名用户厂商验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop | inc TCP被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 TCP Short Header测试项目TCP Short Header测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -p 80 -SF -c 10000 -faster向 服务器 tcp 80 端口发送 10000 个含有 SYN 和 FIN标志

20、位数据包预期结果TPS 设备能够抵御 TCP Short Header是否成功抵御 TCP Short Header是/否备注测试员签名用户厂商3.3 网络层 DDoS3.3.1of death验证结果：SSH 登陆 TPS 设备，sh ddos sistics anomaly-drop | inc UDPof death 是典型的分片包大小为 65000由于每个方式，测试中采用每个字节，而 IP 数据包最大长度为 1518 字节，因此每个数据包需要分为 43 个左右分片进行。图中显示”OTHER Total Drop”数据包440003 个，成功率教高。测试3.3.1测试日期被测设备A10型

21、号TPS 4435测试目的检验 TPS 设备能否抵御of death测试项目of death测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -icmp d 65000-c 10000 faster向 服务器发送 10000 个大小为 65000 字节数据包预期结果TPS 设备能够抵御of death是否成功抵御of death是/否备注测试员签名用户厂商3.3.2 ICMP Flood验证结果：SSH 登陆 TPS 设备，sh ddos sistics icmp| exc 0图中显示”ICMP Dst Pkt Rate Drop”数据包弃了 7713 个 I

22、CMP 包。7713 个，在规定的 Rate limit 策略中丢测试3.3.2测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 ICMP Flood测试项目ICMP Flood测试连接图参考 2.1.2 章节测试拓扑图预设条件glid 20pkt-raimit 20ddos dst entry httpserver exceed-log-enablel4-type icmp glid 20允许的数据包率为每 100 毫秒发送 20 个 ICMP 包测试步骤h3 -icmp -c 10000 faster向 服务器发送 10000 个 ICMP flood数据包预期

23、结果TPS 设备能够抵御 ICMP Flood是否成功抵御 ICMP Flood是/否备注测试员签名用户厂商3.3.3 TCP ACK Flood验证结果：SSH 登陆 TPS 设备，sh ddos sistics tcp| exc 0图中显示”TCP ACK Rcv”数据包为 10000 个，其中“TCP Src Drop”丢弃数据包 10000个，成功率 100%。3.3.4 TCP RST Flood测试3.3.4测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 TCP RST Flood测试3.3.3测试日期被测设备A10型号TPS 4435测试目的检验 T

24、PS 设备能否抵御 TCP ACK Flood测试项目TCP ACK Flood测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -p 80 -A -c 10000 -faster向 服务器发送 10000 个 TCP ACK flood数据包预期结果TPS 设备能够抵御 TCP ACK Flood是否成功抵御 TCP ACK Flood是/否备注测试员签名用户厂商验证结果：SSH 登陆 TPS 设备，sh ddos sistics tcp| exc 0图中显示”TCP RST Rcv”数据包为 10000 个，其中“TCP Src Drop”丢弃数据包 10

25、000个，成功率 100%。3.3.5 TCP SYN Flood测试3.3.5测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 SYN Flood测试项目SYN Flood测试连接图参考 2.1.2 章节测试拓扑图预设条件硬件 syn： syn-enable syn：测试项目TCP RST Flood测试连接图参考 2.1.2 章节测试拓扑图预设条件TPS 无需额外配置测试步骤h3 -p 80 -R -c 10000 -faster向 服务器发送 10000 个 TCP RST flood数据包预期结果TPS 设备能够抵御 TCP RST Flood是否成功抵御

26、TCP RST Flood是/否备注测试员签名用户厂商验证结果：SSH 登陆 TPS 设备，sh ddos sistics tcp| exc 0图中显示”TCP SYN Rev”数据包Sent”数量为 9972 个，SYN9972 个，SYN验证效率为 100%。功能启用后”TCP SYN3.3.6 UDP Flood测试3.3.6测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御 UDP Flood测试项目UDP Flood测试连接图参考 2.1.2 章节测试拓扑图预设条件glid 30pkt-raimit 30ddos dst entry httpserver e

27、xceed-log-enablel4-type tcp syn-测试步骤h3 -p 80 -S -L 0 -c 10000 -faster -q向 服务器发送 10000 个 SYN Flood数据包预期结果TPS 设备能够抵御 SYN Flood是否成功抵御 SYN Flood是/否备注测试员签名用户厂商验证结果：SSH 登陆 TPS 设备，sh ddos sistics | exc 0图中显示”Dst Port Undef Drop”数据包UDP 数据包，因此数值大于 10000 个，10015 个，由于环境中还含有其他少量成功率几乎为 100%。3.4 应用层3.4.1 DNS测试3.4

28、.1测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御常见的 DNS测试项目DNS Attackddos dst entry httpserver exceed-log-enablel4-type udp glid 30测试步骤h3 -udp -p +-c 10000 -faster向 服务器发送 10000 个 UDP Flood数据包预期结果TPS 设备能够抵御 UDP Flood是否成功抵御 UDP Flood是/否备注测试员签名用户厂商验证结果：Case1:All the UDP flood packets are mitigated and dropped

29、by the TPS due to exsh ddos sistics dns | exc 0Case2:sively large payload size.测试连接图参考 2.1.2 章节测试拓扑图预设条件Clear DDoS counters:TPS CLI#clear ddos s istics #clear ddos sistics udp #clear ddos src entry all #clear ddos dst entry allCase 1 UDP flood to defined port with big data sizeConfigure “max-payload

30、-size” under UDP template and apply it to the wildcard UDP port (port 0 udp) he dst entry. his ex le, “drop-on- no-port-match” option is disabled on “l4-type” UDP for testing pur es.TPS CLI configuration ddos template udp poc-udp max-payload-size 1280ddos dst entry W1” exceed-log-enablel4-type udpdr

31、op-on-no-port-match disable port 0 udptemplate udp poc-udpCase 2 Drop traffic addressed from well-known source portsConfigure “drop-known-resp-port” under UDP template and apply it tothe wildcard UDP port of the dst entry.TPS CLI configuration ddos template udp poc-udp max-payload-size 1280drop-know

32、n-resp-src-port测试步骤AttackerCase 1 Send simulated DNSlification attack (from source port 53) with data size 1400 bytesH3 h3 -udp d 1400 -p +s 53 -keep -flood Case 2 Send simulated DNSlification attack (from source port 53)H3 h3 -udp d 1200 -p +s 53 -keep -flood预期结果Case1:所有超过限制的数据包被丢弃Case2:所有源端口为53的请求

33、被丢弃.是否成功抵御 DNS Attack是/否备注测试员签名用户厂商sh ddos sistics dns | exc 03.4.2 DNS Any Query测试3.4.2测试日期被测设备A10型号TPS 4435测试目的检验 TPS 设备能否抵御常见的 DNS测试项目DNS Any Query测试连接图参考 2.1.2 章节测试拓扑图预设条件Clear DDoS counters:TPS CLI#clear ddos sistics #clear ddos sistics dns #clear ddos src entry all #clear ddos dst entry allCon

34、figure “any-check” under DNS template and apply it to the ddos dstentry.TPS CLI configuration ddos template dns dns-poc any-checkrequest-raimit type A 10 ddos dst entry D1” exceed-log-enablel4-type udp port 53 dns-udptemplate dns dns-poc测试步骤AttackerSend DNS ANY queries:DNSPerf# dnsperf -s -d ANY.txt

35、 -Q 1000 -c 100 -l 30 -t 0 # cat ANY.txt* ANYNormal UserSend normal DNS query:Linuxd # dig 预期结果Tder TPSDNS ANY queries are detected and mitigated.DDoS DNS counter “DNS Query ANY Drop” is increased for each DNSANY query.TPS CLITderTPS#show ddos sistics dns | exclude 0AttackerAll DNSPerf tranions for

36、ANY queries fail due to timeout.DNSPerf# dnsperf -s -d ANY.txt -Q 1000 -c 100 -l 30 -t 0 DNS Performance Testing ToolNominum VerSusd line: dnsperf -s -d ANY.txt -Q 1000 -c 100-l 30 -t 0Sus Sending queries (to )Sus Started at:Jun 30 17:17:46 2014验证结果：TPS:TderTPS#show ddos sistics dns | exclude 0DDOS

37、Ss - DNS TotalDNS Query ANY Drop 27694Attacker :DNSPerf# dnsperf -s -d ANY.txt -Q 1000 -c 100 -l 30 -t 03.4.3 DNS Query Flood测试3.4.3测试日期被测设备A10型号TPS 4435测试目的检验 TPS DNS Query Flood测试项目DNS Query Flood测试连接图参考 2.1.2 章节测试拓扑图预设条件启用 DNS Query Flood 防护方法有三种：强制转换成 TCP 认证ddos template dns dns1 auth force-tcp!

38、ddos dst entry D1” exceed-log-enablel4-type udp port 53 dns-udptemplate dns dns-poc port 53 dns-tcpUDP 认证UDP 连接和请求速率限制ddos template dns dns-poc request-raimit type A 10 ddos dst entry D1” Sus Stopafter 30.000000 seconds是否成功抵御 DNS Any Query是/否备注测试员签名用户厂商验证结果：SSH 登陆 TPS 设备，sh ddos sistics dns | exc 03

39、.4.4 HTTP Get/t Flood -Raimit测试3.4.4测试日期被测设备A10型号TPS 4435测试目的检验 TPS 防护 HTTP Get/t Flood测试项目HTTP Get/t Flood测试连接图参考 2.1.2 章节测试拓扑图预设条件Clear DDoS counters:TPS CLIexceed-log-enable l4-type udpport 53 dns-udptemplate dns dns-poc测试步骤AttackerSend DNS queries with query type “A” in volume:DNSPerf# dnsperf -

40、s -d poc.txt -Q 1000 -c 100 -l 30 -t 1# cat poc.txtAA预期结果Tder TPSDNS A queries are detected and mitigated.DDoS DNS counter “Dst Rate 0 Drop” is increased for each A queryt is received above the limit. (Rate “0” means this is theDNS query ratehe configuration.)TPS CLITderTPS#show ddos sistics dns DDO

41、S Ss - DNS TotalForce TCP Auth 0 UDP Auth 0DNS Malform Query Drop 0 DNS Query ANY Drop 0Dst Rate 0 Drop 2796(snipped)TderTPS#show traffic | exclude 0 Port inPPS inBPS outPPS outBPS1 192 14997 97 160803 97是否成功抵御 DNS Query Flood是/否备注测试员签名用户厂商验证结果：#clear ddos s istics #clear ddos sistics http #clear dd

42、os src entry all #clear ddos dst entry allConfigure “request-raimit” under HTTP template for src entry (i.e.,src default ip):TPS CLI configurationddos template http poc-http-srct-raimit 100request-raimit 100 ddos src default ipl4-type tcpglid 3l4-type udpglid 3app-type httptemplate http poc-http-src

43、Configure “request-raimit” (total and per URI) under HTTP templatefor dst entry.TPS CLI configurationddos template http poc-httpaction resetmss-timeout mss-percent 4 numbackets 20malformed-http enable request-header timeout 8t-raimit 400request-raimit 400request-raimit uri contains main rate 30 # Sy

44、mmetric deployment onlyslow-read-drop size 4 count 3idle-timeout 20测试步骤AttackerRun httpflooderl script (GET flood sle):httpflooder # perl httpfloodl -a GF -h -t 100 -n 3000 -ip 00 url /main/Normal UserAcs the web server:Linuxd$ wget$ wget预期结果Tder TPSHTTP GET Flood attack is detected and raimited.TPS

45、 CLITderTPS#show ddos sistics http-url-rateAttackerRun flood script:httpflooder$ perl httpfloodl -a GF -h -t 100 -n 2000 -ip 00 -url /main/+| HTTP Flooder, v1.0 |+是否成功抵御 HTTP Get/t Flood是/否备注测试员签名用户厂商TderTPS#show ddos sistics http-url-rate3.4.5 HTTP Get Flood - by HOIC/HULK测试3.4.5测试日期被测设备A10型号TPS 44

46、35测试目的检验 TPS 能否防护 HOIC/HULK HTTP Get Flood测试项目HTTP Get Flood测试连接图参考 2.1.2 章节测试拓扑图预设条件Clear DDoS counters:TPS CLI#clear ddos sistics #clear ddos sistics http #clear ddos src entry all #clear ddos dst entry allConfigure aFleX script to detect signatures of HOIC and HULK:TPS CLITderTPS#create aflex poc

47、 when HTTP_REQUEST if ( HTTP:ver equals 1.0 ) and ( HTTP:header names ends_with Host ) log local0.NOTICE DDoS Type: HOIC, Src IP: IP:cnt_addr - Detected and Mitigated!drop elseif HTTP:header names matches Accept-Encoding Host Keep-Alive User- Agent Accept-Charset Connection Referer Cache-Control log

48、 local0.NOTICE DDoS Type: HULK, Src IP: IP:cnt_addr - Detected and Mitigated!drop.Apply the aFleX script onto “port 80 http” under the dst entry:TPS CLI configurationddos dst entry W1” exceed-log-enable l4-type tcpl4-type udp port 80 http aflex poctemplate http poc-httptemplate tcp poc-tcp测试步骤Attack

49、erRun the HOIC application by specifying the web server as the(Windows).验证结果：TderTPS#show logRun the HULKscript: #hulk.pyNormal UserAcs to web site:Linuxd$ wget $ curl 预期结果Tder TPSHTTP GET Flood attack using HOIC and/or HULK is detected and mitigated based on its pattern.The following logs or simila

50、r are created by the aFleX script.CLITderTPS#show logJun 23 2014 16:47:39 Notice AFLEX:poc:DDoS Type: HOIC, Src IP: 00 -Detected and Mitigated!Jun 23 2014 16:47:39 Notice AFLEX:poc:DDoS Type: HOIC, Src IP: 00 -Detected and Mitigated!AttackerHULK No output including “Response Code” is seen on the con

51、sole running theHULK script.HOIC You see no difference on the HOIC application.Web ServerNo HTTP request generated by HOIC/HULK is received on the web server.Normal UserNormal user is able to acs web site sucsfully during the attack.是否成功抵御 HTTP Get Flood是/否备注测试员签名用户厂商3.4.6 Slowloris测试3.4.6测试日期被测设备A1

52、0型号TPS 4435测试目的检验 TPS 能否防护 Slowloris测试项目Slowloris测试连接图参考 2.1.2 章节测试拓扑图预设条件Clear DDoS counters:TPS CLI#clear ddos sistics #clear ddos sistics http #clear ddos src entry all #clear ddos dst entry allConfigure “request-header timeout”he HTTP template:TPS CLI configurationddos template http poc-http act

53、ion resetmalformed-http enable request-header timeout 8slow-read-drop size 4 count 3idle-timeout 20Make suret the HTTP template is app d to the dst entry:TPS CLI configurationddos dst entry W1” exceed-log-enablel4-type tcp l4-type udp port 80 httptemplate http poc-httptemplate tcp poc-tcp测试步骤Attacke

54、rRun Slowloris Perl script:Perl # perl slowloris.pl -dns -timeout 10 num 2000Normal UserAcs to web site:Linuxd$ wget $ curl -retry 2 # “retry” option is needed for Asymmetric deployment预期结果Tder TPSSlowloris attack is detected and mitigated based on its traffic signature (plete requests).DDoS counter

55、 “Partial Hdr” is increased for each Slowloris stream.TPS CLI验证结果：TderTPS#show ddos sistics http | exclude 03.4.7 Slowt测试3.4.7测试日期被测设备A10型号TPS 4435测试目的检验 TPS 能否防护 Slowt测试项目Slowt测试连接图参考 2.1.2 章节测试拓扑图预设条件Clear DDoS counters:TPS CLI#clear ddos sistics #clear ddos s istics http #clear ddos src entry all

56、 #clear ddos dst entry allConfigure “mss-timeout”he HTTP template:TPS CLI configurationddos template http poc-httpaction reset malformed-http enablemss-timeout mss-percent 4 numbackets 10request-header timeout 8slow-read-drop size 4 count 3idle-timeout 20TderTPS#show ddos sistics http | exclude 0 DD

57、OS Ss - HTTP TotalPkt Pros 8546 Partial Hdr 2003Policy Violation 2003Hdr Prosplete 2003Web ServerNo Slowloris packet (HTTP request) is received on the web server.Normal UserNormal user is able to acs the web site sucsfully during the attack.是否成功抵御 Slowloris是/否备注测试员签名用户厂商验证结果：TderTPS#show ddos sistic

58、s http | exclude 0Make suret the HTTP template is app d to the dst entry.测试步骤AttackerRun Tors Hammython script: #torshammy -t -r 10Normal UserAcs the web site:Linuxd$ wget $ curl -retry 2 # “retry” option is needed for Asymmetric deployment预期结果Tder TPSSlowtack is detected and mitigated based on its

59、behavior.DDoS counter “Fail Min Payload Excd” is increased for each Tors Hammer stream.TPS CLITderTPS#show ddos sistics http | exclude 0 DDOS Ss - HTTP TotalPkt Pros 240 Req 10Fail Min Payload Excd 10 Policy Violation 10Req Http 1.1 10 Req MethodT 10Req Payload Size 16k 10 Resp HTTP 1.1 10Resp Paylo

60、ad Size 2K 10 Sus Code 4XX 10Hdr Pros Time 1s 10AttackerTors Hammer tranion (script-generated traffic) stops after about 40 seconds, once the TPS has detected the attack and reset the connection.Web Server, several packets (depending on the “numbackets” value,his case 10 packets) arrive at the web s