技術領域

本發明涉及計算機網絡安全技術領域，具體來講是一種網絡設備防開放端口攻擊測試系統及方法。

背景技術

現有網絡設備防開放端口攻擊測試方法主要針對常用協議的默認端口，例如：TCP(Transmission?Control?Protocol，傳輸控制協議)、UDP(User?Data?Protocol，用戶數據報協議)或者HTTP(HyperText?Transfer?Protocol，超文本傳送協議)的默認端口，導致在測試過程中無法了解到設備的開放端口號。

而在實際網絡環境中，對設備的攻擊是直接針對設備正在使用的開放端口號進行的，具有很強的目的性。因此，如果不清楚設備的開放端口號，會造成測試沒有針對性。另外，現有測試方法中對設備的攻擊方式較為單一，往往僅發起各種字符串進行攻擊測試，不能真實的模擬實際網絡環境中的攻擊情況。

發明內容

針對現有技術中存在的缺陷，本發明的目的在于提供一種網絡設備防開放端口攻擊測試系統及方法，本發明具有更強的針對性；通過真實的模擬實際網絡環境中的攻擊情況，驗證被測設備的可靠性和健壯性，以便開發人員在早期就能解決相關問題。

為達到以上目的，本發明采取的技術方案是：一種網絡設備防開放端口攻擊測試系統，包括被測設備、客戶端和服務器；所述被測設備包括局域網LAN側和廣域網WAN側，且LAN側、WAN側分別配置有效的IP地址，所述被測設備的LAN側與客戶端相連且ping通，WAN側與服務器相連且ping通；所述客戶端包括第一存儲模塊和第一記錄模塊，所述服務器包括第二存儲模塊和第二記錄模塊；其中，第一存儲模塊，用于存儲端口掃描軟件對被測設備LAN側的IP地址掃描后，獲取的第一開放端口號；第一記錄模塊，用于記錄攻擊軟件對第一開放端口號進行不同類型的報文攻擊后，產生的測試結果；第二存儲模塊，用于存儲端口掃描軟件對被測設備WAN側的IP地址掃描后，獲取的第二開放端口號；第二記錄模塊，用于記錄攻擊軟件對第二開放端口號進行不同類型的報文攻擊后，產生的測試結果。

在上述技術方案的基礎上，所述端口掃描軟件為Nmap端口掃描軟件。

在上述技術方案的基礎上，所述不同類型的報文攻擊包括傳輸控制協議TCP報文攻擊和用戶數據報協議UDP報文攻擊。

在上述技術方案的基礎上，所述攻擊軟件為TCP&UDP測試工具。

在上述技術方案的基礎上，所述攻擊軟件的攻擊方式包括：發送特殊字符和特殊字符串；發送字符數超過1000的字符；根據掃描出的開放端口類型發送不同的信息，包括向80端口發送超文本傳送協議HTTP協議包和向21端口發送文件傳輸協議FTP協議包；發送各種測試文件，包括EXE程序文件、RAR壓縮文件和單個文件大小超過500兆的大文件。

本發明還公開了一種基于上述系統的網絡設備防開放端口攻擊測試方法，包括以下步驟：客戶端ping通被測設備LAN側的IP地址，服務器ping通被測設備WAN側的IP地址；在客戶端上運行端口掃描軟件，對被測設備LAN側的IP地址進行掃描，并記錄掃描出的第一開放端口號，然后在客戶端上運行攻擊軟件，對第一開放端口號進行不同類型的報文攻擊，并記錄測試結果；在服務器上運行端口掃描軟件，對被測設備WAN側的IP地址進行掃描，并記錄掃描出的第二開放端口號，然后在服務器上運行攻擊軟件，對第二開放端口號進行不同類型的報文攻擊，并記錄測試結果。

在上述技術方案的基礎上，所述端口掃描軟件為Nmap端口掃描軟件。

在上述技術方案的基礎上，所述不同類型的報文攻擊包括TCP報文攻擊和UDP報文攻擊。

在上述技術方案的基礎上，所述攻擊軟件為TCP&UDP測試工具。

在上述技術方案的基礎上，所述攻擊軟件的攻擊方式包括：發送特殊字符和特殊字符串；發送字符數超過1000的字符；根據掃描出的開放端口類型發送不同的信息，包括向80端口發送超文本傳送協議HTTP協議包和向21端口發送文件傳輸協議FTP協議包；發送各種測試文件，包括EXE程序文件、RAR壓縮文件和單個文件大小超過500兆的大文件。

本發明的有益效果在于：

1、本發明通過掃描軟件從被測設備的WAN(Wide?Area?Network，廣域網)側和LAN(Local?Area?Network，局域網)側獲取開放端口號，并通過攻擊軟件向這些開放端口號發送攻擊報文，以此驗證被測設備防端口攻擊性。因此，相比現有的測試方法，具有更強的針對性。