MZD攻防测试综合报告

风一样的男孩

本次测试搭建了MZD无盘平台与有盘平台分别作为攻击平台进行对比测试,被攻击目标选择了路由器与一台千M客户机作为参照,选择了多款攻击软件作为攻击工具，重点要测试如下内容:

实验一:相同的软件在无盘与有盘上的攻击效果

测试环境8A服务器分别作作为有盘与无盘的攻击源,用SYNBOMB软件攻击其它机器

测试方法:观察攻击源自身在有盘与无盘二种情况下的CPU占用与网络占用状态



测试结论:伪装IP的攻击包在无盘上无法发送出去,MZD从驱动级别杜绝了ARP等攻击

实验二:伪装IP的攻击在无盘上的效果测试

测试方法:由于ROS路由可以很容易地跟踪所有建立的连接,所以攻击源分别选取一台无盘和一台有盘,软件采用了伪装ＩＰ的ＡＲＰ攻击软件与真实ＩＰ的ＤＤＯＳ软件进行对比


  


无盘攻击源运用伪IP攻击工具攻击ＲＯＳ，路由器上没有产生任何有效的连接，说明所有伪ＩＰ的包均没有从攻击源发送出去；


  


为了验证攻击软件的有效性，我们用一台有盘作为攻击源攻击ＲＯＳ，可以看到产生了１７万余条的连接，可见有盘完全不能防止ＡＲＰ欺骗；






从另一方面来看真实ＩＰ的ＤＤＯＳ攻击在路由器上可以侦测到，即真实ＩＰ的攻击是有效的；


实验三:真实IP的流量攻击在MZD网络控制的作用下的不同表现

测试环境：攻击源(MZD无盘工作站一台),被攻击目标(MZD千M无盘工作站),攻击软件(XFLOOD)

测试方法：调整MZD服务端中关于客户端的网络控制强度的相关设置,并重启攻击源客户机使其生效,由这台机器向另一台机器发动攻击,观察被攻击目标的网络占用情况。


   


测试结论：MZD网络控制功能对于控制客户端发包量十分有效，可以有效地将有意无意的DDOS攻击对网络设备的影响降到最低

实验四:网络中薄弱环节的应对

网络中的薄弱环节主要是路由器,一般的路由器由于网络接口是100M的,而且处理能力有限,所以很容易被击跨。

公司用的路由器是VIGIOR2100的，如果用XFLOOD+最强的网络控制都无法抵御；但做的ROS软路由的防攻击能力就很强。

因此我们在考虑网吧采用千MLAN口路由器的必要性，但具体的实验参数还有待进一步采集。

综上所述可知：

MZD防攻击能力主要体现在二个方面，一是伪IP的攻击，ＭＺＤ客户端从源头就阻止了攻击的发起；对于基于真实ＩＰ的流量攻击，ＭＺＤ的网络控制功能能够限制非ＭＺＤ的发包量，从而有效地将攻击控制在一定范围内并不影响正常的使用。另外很多攻击软件在无盘上无法运行,也增强了无盘的安全性。

physics912

抢个沙发，学习了。。