04年度中国市场主流防火墙产品评测技术报告(2)

http://www.sina.com.cn 2004年11月29日 21:33 赛迪网

文/陈勇

一、测试情况说明

　　赛迪评测通过各类用户选型和厂商送测，汇集2003～2004年度中国市场主流防火墙产品，分别在功能、管理、性能以及安全性方面进行了测试，并对测试情况进行下列说明。

　　1、管理及功能测试

　　图一 管理及功能测试环境示意图

　　本次管理和功能测试仍然是按照赛迪评测《防火墙测试规范》第三版的测试内容执行的，但管理和功能测试的可量化性比较差，很大程度上存在个人喜好、习惯的问题，同时也由于防火墙产品功能和管理发展的程度已经走向了成熟，因此，本次评测在管理和功能上所占的比重较小，管理只是从是否提供了方便用户使用的管理界面来入手，功能只是能够实现那些功能等，没有从非常详细的功能点上来验证测试。

　　2、安全性测试

　　对于安全性测试，为了能够对防火墙产品在抗DoS能力上有一个比较好的量化，因此本次测试采用了Smartbits 6000B的Websuite2.6测试组件，该组件能够对Syn flood、Smurf attack、Ping of death、Teardrop attack、Land-based attack、Ping sweep、Ping flood、udp flood、tcp扫描、arp攻击以及jolt2攻击等进行抵抗测试。在测试方法上，利用SmartBits模拟实际攻击流量通过内网口向防火墙发送上述类型的数据包，检测外网口收到的数据，以此来判断防火墙是否可以挡住DoS攻击。

　　为了使得模拟攻击更接近于实际，我们在选择攻击流量时分别选择了10%和20%的攻击压力，因为100%的流量压力攻击在实际网络中并不存在。同时，在一些攻击量选择上我们也选择了只发送固定数量的攻击数据包，以确定实际能穿透防火墙的个数。总体来说，对防火墙抵抗攻击测试上，选择不同负载测试抗攻击能力能从一定程度上能够检测出防火墙的安全性。

图二 抗DoS攻击测试环境示意图

　　syn flood攻击的测试原理是向防火墙发送大量伪装连接的请求包，这些请求包的发起地址设置为目标不可到达的地址，这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入从而造成服务的停顿甚至死机。

　　ping of death 攻击：向被攻击主机发送大量的碎片包，使这些碎片组装起来后构成一个超出最大限制的ping 请求包从而造成被攻击主机的缓冲区溢出。

　　land 攻击是向防火墙发送源地址和目标地址相同的tcp 数据包，利用Smartbits 的攻击包发生器产生该攻击流量从外部网攻击防火墙，考察系统的运行情况是否正常。

　　Tear Drop 攻击是利用了IP 数据片断重组上的弱点。IP 数据包在Internet 上传递时，数据包可以分成更小的片断。每个片断看起来都象原来的IP 数据包，不同之处在于，每个片断里都包含一个偏移字段。Teardrop 程序可以生成一系列IP片断，这些IP 片断的偏移字段彼此重叠。当这些IP 片断到达目标主机，进行重组的时候，某些系统就会崩溃、挂起或重启动。

　　ping flood 攻击是该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。

　　Smurf 攻击是一种强力攻击，针对的是IP标准的一个功能-叫做直接广播寻址。Smurf攻击向路由器发送大量的ICMP(Internet控制信息协议) echo请求数据包(大量的ping)。因为每个包的目标IP地址都是网络的广播地址，所以路由器会把ICMP echo请求以广播形式发给网络上的所有主机。如果有大量主机，那么这种广播就会造成巨大的ICMP echo请求及响应流量。所以它比ping of deaih的流量高出一或两个数量级。如果在发送ICMP echo请求数据包时，使用了假冒的源IP地址，那么攻击造成的ICMP流量不仅会阻塞网络从而产生该攻击流量。

　　udp flood 攻击是采用发送udp 包的工具从外部网攻击防火墙，考察系统的运行情况是否正常。

　　jolt2 攻击

　　jolt2攻击是在一个死循环中不停的发送一个ICMP/UDP 的IP 碎片，可以使Windows 系统的机器死锁。jolt2的影响相当大，通过不停的发送这个偏移量很大的数据包，不仅死锁未打补丁的Windows 系统，同时也大大增加了网络流量。

　　arp请求/响应攻击

　　ARP请求攻击是某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到，则广播A一个ARP请求报文，arp请求攻击就是发送这样大量的arp请求报文的攻击。

　　Arp响应攻击是ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个本不存在的MAC地址，这样就会造成网络不通，从而形成ARP响应攻击。

　　Tcp扫描攻击

　　TCP SYN scan：这种技术也叫half-open scanning，因为它没有完成一个完整的TCP连接。这种方法向目标端口发送一个SYN分组(packet)，如果目标端口返回SYN/ACK，那么可以肯定该端口处于检听状态；否则，返回的是RST/ACK。

　　TCP FIN scan：这种方法向目标端口发送一个FIN分组。按RFC793的规定，对于所有关闭的端口，目标系统应该返回RST标志。这种方法通常用在基于UNIX的TCP/IP堆栈。

　　TCP Xmas Tree scan：这种方法向目标端口发送一个含有FIN, URG,和PUSH标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。

　　TCP Null scan：这种方法向目标端口发送一个不包含任何标志的分组。根据RFC793，对于所有关闭的端口，目标系统应该返回RST标志。