安全性测试之拒绝服务攻击

拒绝服务攻击是一类非常常见的攻击方式，通常都和系统资源被非法滥用有关。

案例1：非法用户批量创建拒绝服务攻击。

某产品管理员权限被攻击者获取后，攻击者使用脚本直接调用用户创建接口，创建了上万个非法用户，导致用户业务系统无法正常工作。

案例2：通过参数修改进行拒绝服务攻击。

系统使用/api/users?page=1&size=100从服务器中检索用户列表。攻击者将size参数篡改为一个非常大的值，导致数据库出现性能问题，造成系统无法响应其他客户端的请求。

案例3：SYN-Flood攻击。

攻击者向服务器发送大量SYN消息，导致服务器建立大量TCP半连接，造成系统无法响应正常的业务请求。

拒绝服务攻击对业务系统的危害非常大，但是预防这类攻击却并不复杂。对于案例1，可以增加对接口调用频率的限制；对于案例2，可以增加对接口资源占用的限制；对于案例3，可以限制系统接收SYN的数量和速率。因此，对系统进行拒绝服务攻击的安全性测试，主要是测试或者确认系统对资源的使用频率或者容量限制是否合理，安全性测试的基本思路。

摘取自刘琛梅老师的《测试架构师修炼之道：从测试工程师到测试架构师 第2版》