[发明专利]网络设备防开放端口攻击测试系统及方法

说明书

技术领域

本发明涉及计算机网络安全技术领域，具体来讲是一种网络设备防开放端口攻击测试系统及方法。

背景技术

现有网络设备防开放端口攻击测试方法主要针对常用协议的默认端口，例如：TCP(Transmission Control Protocol，传输控制协议)、UDP(User Data Protocol，用户数据报协议)或者HTTP(HyperText Transfer Protocol，超文本传送协议)的默认端口，导致在测试过程中无法了解到设备的开放端口号。

而在实际网络环境中，对设备的攻击是直接针对设备正在使用的开放端口号进行的，具有很强的目的性。因此，如果不清楚设备的开放端口号，会造成测试没有针对性。另外，现有测试方法中对设备的攻击方式较为单一，往往仅发起各种字符串进行攻击测试，不能真实的模拟实际网络环境中的攻击情况。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种网络设备防开放端口攻击测试系统及方法，本发明具有更强的针对性；通过真实的模拟实际网络环境中的攻击情况，验证被测设备的可靠性和健壮性，以便开发人员在早期就能解决相关问题。

为达到以上目的，本发明采取的技术方案是：一种网络设备防开放端口攻击测试系统，包括被测设备、客户端和服务器；所述被测设备包括局域网LAN侧和广域网WAN侧，且LAN侧、WAN侧分别配置有效的IP地址，所述被测设备的LAN侧与客户端相连且ping通，WAN侧与服务器相连且ping通；所述客户端包括第一存储模块和第一记录模块，所述服务器包括第二存储模块和第二记录模块；其中，第一存储模块，用于存储端口扫描软件对被测设备LAN侧的IP地址扫描后，获取的第一开放端口号；第一记录模块，用于记录攻击软件对第一开放端口号进行不同类型的报文攻击后，产生的测试结果；第二存储模块，用于存储端口扫描软件对被测设备WAN侧的IP地址扫描后，获取的第二开放端口号；第二记录模块，用于记录攻击软件对第二开放端口号进行不同类型的报文攻击后，产生的测试结果。

在上述技术方案的基础上，所述端口扫描软件为Nmap端口扫描软件。

在上述技术方案的基础上，所述不同类型的报文攻击包括传输控制协议TCP报文攻击和用户数据报协议UDP报文攻击。

在上述技术方案的基础上，所述攻击软件为TCP&UDP测试工具。

在上述技术方案的基础上，所述攻击软件的攻击方式包括：发送特殊字符和特殊字符串；发送字符数超过1000的字符；根据扫描出的开放端口类型发送不同的信息，包括向80端口发送超文本传送协议HTTP协议包和向21端口发送文件传输协议FTP协议包；发送各种测试文件，包括EXE程序文件、RAR压缩文件和单个文件大小超过500兆的大文件。

本发明还公开了一种基于上述系统的网络设备防开放端口攻击测试方法，包括以下步骤：客户端ping通被测设备LAN侧的IP地址，服务器ping通被测设备WAN侧的IP地址；在客户端上运行端口扫描软件，对被测设备LAN侧的IP地址进行扫描，并记录扫描出的第一开放端口号，然后在客户端上运行攻击软件，对第一开放端口号进行不同类型的报文攻击，并记录测试结果；在服务器上运行端口扫描软件，对被测设备WAN侧的IP地址进行扫描，并记录扫描出的第二开放端口号，然后在服务器上运行攻击软件，对第二开放端口号进行不同类型的报文攻击，并记录测试结果。

在上述技术方案的基础上，所述端口扫描软件为Nmap端口扫描软件。

在上述技术方案的基础上，所述不同类型的报文攻击包括TCP报文攻击和UDP报文攻击。

在上述技术方案的基础上，所述攻击软件为TCP&UDP测试工具。

在上述技术方案的基础上，所述攻击软件的攻击方式包括：发送特殊字符和特殊字符串；发送字符数超过1000的字符；根据扫描出的开放端口类型发送不同的信息，包括向80端口发送超文本传送协议HTTP协议包和向21端口发送文件传输协议FTP协议包；发送各种测试文件，包括EXE程序文件、RAR压缩文件和单个文件大小超过500兆的大文件。

本发明的有益效果在于：

1、本发明通过扫描软件从被测设备的WAN(Wide Area Network，广域网)侧和LAN(Local Area Network，局域网)侧获取开放端口号，并通过攻击软件向这些开放端口号发送攻击报文，以此验证被测设备防端口攻击性。因此，相比现有的测试方法，具有更强的针对性。