思博伦通信Avalanche网络应用测试方案

思博伦通信的Avalanche TM专用设备解决方案为网络基础设施、Web应用基础设施和三重播放（Triple Play）服务提供容量、安全和性能测试能力，全面保障您的客户所享受的服务质量（Quality of Service，QoS）和体验质量（Quality of Experience，QoE）。

应用•网络性能测试•Web应用测试•三重播放（Triple Play）测试•安全测试•网络脆弱性评估测试•P2P，Messager测试在今天的数字世界中，为确保商业交易和通信的畅通无阻，对内容感知型网络、安全系统和Web应用的性能进行认真的测试是至关重要的。

Spirent Avalanche TM3100是一种线速1 Gbps和10Gbps的4-7层有状态流量性能测试解决方案，能够以超过6Gbps的速率对加密流量进行高吞吐量的安全测试。

目前，Avalanche TM3100用户能够模拟日常流量来测试设备在线速下的极限能力，并分析设备在最恶劣案例场景下所受的影响。

性能和灵活性除了速率高达1 Gbps和10 Gbps的4-7层有状态流量和1200万并发连接（Avalanche 3100 GT支持超过2500万并发连接）外，测试人员还可以指定具体的负载变量，如用户会话数、每秒钟新建用户会话数、事务处理数、每秒钟事务处理数、并发连接数或每秒钟新建连接数。

可以为整个测试指定一个单独的负载配置，也可以为每个模拟用户组指定独立的负载配置。

这种灵活的方法可以为每个模拟用户组确定不同的行为、网络特性和负载。

此外，最多可有8个用户同时使用单台Avalanche TM 3100设备上的资源，使您的投资和测试效率都达到最大化。

*以上数据是使用2台3100机箱获得的，一台用于模拟客户端，另一台用于模拟服务器。

当使用一台3100时，4个端口模拟客户端，4个端口模拟服务器，该数据将被减半。

Spirent Avalanche™ 3100Avalanche 3100网络应用层负载测试设备Spirent Avalanche™ 3100Avalanche 3100网络应用层负载测试设备•应用服务器性能测试用于验证多种类型真实服务器的性能，其中包括Web 服务器、CIFS 服务器、应用服务器、邮件服务器、DHCP 服务、FTP 服务器、DNS 服务器、Telnet 服务器、RTSP/RTP QuickTime 流媒体服务器、组播服务器、RTMP 服务器，等。

防火墙测试解决方案Avalanche防火墙防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全主要分为包过滤防火墙和应用网关防火墙，目前的防火墙是两种主要技术的混合体基于CPU的实现典型的单处理器、单线程处理应用冗长的或恶劣顺序的规则严重影响性能CPU努力维持连接和数据包处理基于ASIC的实现非常快的处理速度，但是很不灵活一些ASIC不能完成的任务必须由CPU完成一些协议（例如：FTP）不得不由软件实现CPU 必须处理这些协议基于隧道的安全应用（SSL、IPSec）通常需要CPU处理 CPU必须维持总的会话CPU必须附加地执行加解密处理不合适的硬件可以抵消厂商软件上的优势如果硬件不能有所保证，则：要么系统可能丢包并扼杀应用的性能要么危险的数据流可能通过效率低的软件可能抵消硬件上的优势效率低的规则处理在软件中实现了太多的协议处理数据包和会话处理必须有高效率在有限的时间内完成对每个数据包的处理防火墙必须在性能没有损耗的前提下保证安全性规则基大小及顺序规则基包含所有防火墙过滤规则越多的过滤器，就会有越长的数据包处理过程，要考虑 厂商如何实现更好的规则匹配？在低速率数据流下，过长的延迟规则顺序是至关重要的例如：高使用率的规则放在规则表的底部对大多数数据流来说，规则基总是搜索到最后问题可能由高速率数据流导致数据包可能备份到输入队列中等待处理队列填满，导致数据包丢失延迟可能导致会话超时TCP连接实现TCP 连接容量和速率由以下因素影响：状态表大小处理器（CPU）效率状态表不够大，意味着当状态表满时，用户不能连接 处理器能力有限，意味着用户不能连接状态表在高的用户负载下释放很慢连接失败增加基准测试RFC（18个）•Benchmarking Terminology for Network Interconnection Devices (RFC 1242)•Benchmarking Methodology for Network Interconnect Devices (RFC 1944) obsoleted by RFC 2544•Benchmarking Terminology for LAN Switching Devices (RFC 2285)•Terminology for IP Multicast Benchmarking (RFC 2432)•Benchmarking Methodology for Network Interconnect Devices (RFC 2544)•Benchmarking Terminology for Firewall Performance (RFC 2647)•Terminology for ATM Benchmarking (RFC 2761)•Benchmarking Methodology for LAN Switching Devices (RFC 2889)•Methodology for ATM Benchmarking (RFC 3116)•Terminology for Frame Relay Benchmarking (RFC 3133)•Terminology for ATM ABR Benchmarking (RFC 3134)•Terminology for Forwarding Information Base (FIB) based Router Performance (RFC 3222)•Benchmarking Methodology for Firewall Performance (RFC 3511)•Methodology for IP Multicast Benchmarking (RFC 3918)•Terminology for Benchmarking BGP Device Convergence in the Control Plane (RFC 4098)•Considerations When Using Basic OSPF Convergence Benchmarks (RFC4063)•OSPF Benchmarking Terminology and Concepts (RFC 4062)•Benchmarking Basic OSPF Single Router Control Plane Convergence (RFC 4061)防火墙相关标准国际标准（4个RFC）Benchmarking Terminology for Network Interconnection Devices，RFC 1242Benchmarking Methodology for Network Interconnect Devices，RFC 2544Benchmarking Terminology for Firewall Performance，RFC 2647 Benchmarking Methodology for Firewall Performance，RFC 3511 国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》GB/T 18020-1999《信息技术应用级防火墙安全技术要求》防火墙性能测试方法学防火墙性能测试由以下三层测试组成： 网络层（Network Layer）传输层（Transport Layer）应用层（Application Layer）网络层测试方法学网络层测试指的是DUT/SUT转发引擎的性能基准测试：吞吐量（Throughput）延迟（Latency）丢包率（Frame Loss Rate）（可选）背靠背（Back-to-back）（可选）参考RFC 1242、RFC 2544、RFC 3511使用SmartBits的SmartApplications进行测试传输层测试传输层测试指的是与DUT/SUT状态表相关的性能和扩展性最大并发TCP连接数（Concurrent TCP Connection Capacity）（RFC 3511）最大TCP连接建立速率（Max TCP Connection Rate）（RFC 3511）使用Avalanche进行测试应用层测试应用层测试指的是获得处理HTTP应用层流量的防火墙基准性能HTTP传输速率（HTTP Transfer Rate）（Goodput）（RFC 3511）最大HTTP事务处理速率（Max HTTP Transaction Rate）（RFC 3511）使用Avalanche进行测试RFC 2647/3511RFC 2647：防火墙性能基准测试术语（Benchmarking Terminology for Firewall Performance）作者：D. Newman，Data Communications，1999年8月共描述了与防火墙及测试相关的33个术语RFC 3511：防火墙性能基准测试方法学（Benchmarking Methodology for FirewallPerformance ）作者：B. Hickman、S. Tadjudin，Spirent CommunicationsD. Newman，Data CommunicationsT. Martin，GVNW Consulting Inc，2003年4月涉及10个防火墙性能测试指标防火墙测试（RFC 3511）5.1IP Throughput：用SmartBits的SmartApplications或者SmartFlow软件测试；5.2Concurrent TCP Connection Capacity：用Avalanche测试；5.3Maximum TCP Connection Establishment Rate：用Avalanche测试；5.4 Maximum TCP Tear Down Rate：用Avalanche测试；5.5Denial Of Service Handling：用Avalanche测试；5.6HTTP Transfer Rate：用Avalanche测试；5.7Maximum HTTP Transaction Rate：用Avalanche测试；5.8Illegal Traffic Handling：用Avalanche测试；5.9 IP Fragmentation Handling：用Avalanche测试；5.10 Latency：用SmartBits的SmartApplications或者SmartFlow软件测试。

IPTV测试流程与测试技巧为什么要测试IPTV?为什么要花时间和精力测试IPTV 呢?实现成功的IPTV 服务部署的答案就在于IPTV 服务开通前，严格测试IPTV 网络和服务器配置。

尽管大多数公司进行某种形式的预测试，但这种测试常常局限于使用数学公式来计算可用带宽能够支持多少流。

为了取得成功，必须在部署前，利用真实的场景进行测试，确保IPTV 基础设施的组成部分可以处理负载。

通过在开发阶段测试整个IPTV 基础设施(包括流媒体服务器和IPTV 网络基础设施)，可以实现以下好处: *保证始终如一的良好的用户仿真，从而使运营商从部署IPTV 中受益; *了解压力点的位置，以减少IPTV 网络和应用故障的风险; *在做出采购决定前，评估厂商IPTV 产品和检验厂商宣称的性能; *规划额外的IPTV 网络基础设施，支持增加的需求; *当带宽位速率以及对更大的处理能力和网络资源的需要增加时，了解未来的IPTV 网络需要。

通过仔细地测试整个IPTV 基础设施，将实现更高的IPTV 性能和可用性;通过消除停机时间，节省时间和资源，确保IPTV 的成功部署。

思博伦通信IPTV 测试解决方案在为IPTV 基础设施选择测试解决方案时，关键因素是选择一家熟悉在企业网络环境中提供音频与视频的技术要求的厂商。

思博伦通信是目前进行基于IPTV 测试解决方案的Fortune1000 公司中的市场领先者。

通过提供精确仿真世界最大网络的性能的测试解决方案，思博伦通信可以保证IPTV 部署和升级达到性能目标，提供高质量的最终用户体验。

与其他厂商不同，思博伦通信提供内容全面的专业化服务，帮助IT 人员设计出取得最优网络性能的IPTV 测试计划。

Avalanche 测试解决方案思博伦通信的Avalanche 和Reflector 网络专用设备提供目前进行流媒体基础设施的端到端分析的最全面的解决方案。

Avalanche 可仿真数量几乎无限的请求流媒体内容的用户，测试流媒体服务器的性能，从而使网络管理人员可以确保IPTV基础设施在真实条件下表现出优异的性能(下图)。

内容摘要：网络基础设施的日益完善为各类应用服务提供了良好的承载平台，各种接入方式（比如ADSL，Cable，光纤接入，Mobile）为用户提供了各种接入网络的途径，网络终端需要更多种类，更灵活，质量更好的应用服务。

关键词：1 引言网络基础设施的日益完善为各类应用服务提供了良好的承载平台，各种接入方式（比如ADSL，Cable，光纤接入，Mobile）为用户提供了各种接入网络的途径，网络终端需要更多种类，更灵活，质量更好的应用服务。

网络应用服务种类繁多，包含传统的标准应用，比如HTTP，FTP，DNS，Streaming等应用，更多更复杂，增长更快的是P2P应用和Messenger应用。

传统的应用可以通过仪表很好的进行测试，对于层出不穷的P2P应用和Messenger应用需要提供更灵活可扩展的方案进行仿真。

本文提供了思博伦公司Avalanche 3100对网络应用测试的业界领先方案。

2 网络应用测试网络应用测试包括对网络应用服务器的测试和对中间网络应用基础架构的测试。

网络应用从协议实现方面包括传统标准应用和五花八门的非标准（没有具体规范）应用，如P2P和Messenger等。

网络应用测试不单单是对单应用测试，还包括流量模型的测试，流量模型是对一定时间一定周期内网络流量的分布特征的抽象，反应各类应用在网络中的分布情况，流量模型的测试对于网络应用承载和检测设备测试非常关键。

3 标准网络应用测试标准网络应用测试主要包含基于Web的测试，DNS测试，流媒体测试，以及其他各类服务器（FTP，邮件，CIFS等）的测试。

这些应用都会特定的标准对应，有具体的协议框架，承载内容会有变化，具体到实现，不同的服务器也会有特定的要求。

此类应用的测试难点在于对于服务器的测试，比如基于Web的服务器，虽然应用基于HTTP，但是服务器比如Portal会对客户端的内容有严格的要求，如果仅仅支持HTTP其实不能说就可以测试Portal服务器，因为仪表需要提供Portal需要的请求才能完成和Portal的交互，否则测试无法进行。

10Mbps下的安全竞速经过多年的安全洗礼，IPSec VPN产品的作用已经逐渐被国内用户所认可，并且已经成为大多企业解决远程访问问题的首选方案。

但是对于那些分支机构众多的企业，中低端的产品能否胜任分支机构的业务运营？能否通过全网集中管理解决好分支机构管理能力不强的问题？面对新形势下的安全威胁，VPN产品如何应对？用户如何选择相应的IPSec VPN产品？面对种种疑问，计算机世界实验室于近期举行了一次IPSec VPN产品横向比较评测，希望能够给用户带来有价值的参考。

考虑到目前大、中型企业VPN组网的常见应用模式，即公司总部部署一台中心VPN网关产品，分支机构部署分支VPN网关，并大多采用专线或ADSL接入方式，最大出口带宽也就是10Mbps，所以我们在本次测试中，并没有像往常一样，针对高端核心网关产品进行极限测试，而是更多地模拟上述常见应用场景进行测试，希望能给用户更有价值的参考。

我们在征集产品时，依然以公平、公正、公开的原则，向目前主流网络安全厂商征集两款配套的VPN网关产品，其中一台为中心网关，另一台部署于分支机构。

其中分支VPN网关能够适应用户10Mbps互联网接入的需求，中心网关能够满足10个以上分支机构VPN网关互联的需求。

最后，来自Fortinet、H3C、i-Security、Juniper、Netgear、凹凸科技（O2）、合勤科技（ZyXEL）和网御神州的8家国内外主流厂商的16款典型产品参加了本次测试。

在本次测试中，思博伦通信为我们提供了优秀的Avalanche & Reflector 2700应用层测试套件，以及Smartbits 6000C测试仪表，在此我们向它们表示感谢。

另外，在测试中，我们还采用了D-Link DES 3350SR和Netgear FSM 7312三层交换机搭建测试环境。

经过为期一个月的测试，最终，凭借在传输性能、QoS、管理与易用性等方面的综合表现，Juniper的“SSG 550+SSG 5”组合以及H3C的“SecPath F1000-A＋SecPath F100-E”组合获得了我们的最高评价，成为计算机世界实验室推荐产品。

前言思博伦公司最近把ThreatEx大部分功能（Fuzzing除外）全部集成到Avalanche 2900，集成以后对于测试IDS，IPS和UTM设备有了更强大的方案。

主要有如下几点：●所有测试用Avalanche统一的GUI●正常流量和攻击流量可以任意组合●Avalanche支持IPSEC，PPPOE，SSL等接入协议，攻击类报文和正常流量一样可以承载这些协议之上●Avalanche支持10G接口，攻击流量可以承载10G接口上面●从性能方面来说，Avalanche性能更强大从攻击库的更新来看，Avalanche将和ThreatEx一样，定期进行攻击库更新，保证测试能够适应网络变化。

本文档是Spirent测试UTM，IPS，IDS设备的推荐方案。

1.1. 测试工具本次测试用到的测试工具包括：测试仪表设备型号软件版本数量1A vlanche 带10G1 二层交换机Cisco2960 1 服务器 12. 应用保护功能测试2.1. 协议异常测试编号7.1 测试名称异常协议的防护测试目的验证设备异常协议数据包的防护能力测试仪表Avalanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪Avalanche发起异常协议的攻击4)查看结果15)设备开启安全防护6)通过网络测试仪Avalanche再次发起攻击7)查看结果2预期结果1)结果1：协议异常流量通过，设备无阻断日志1）结果2：协议异常流量被拦截，系统可准确检测到攻击流量和攻击特征内容2)系统有相应检测和拦截日志测试结果备注2.2. 信息探测类事件测试编号7.2 测试名称信息探测类事件防护测试目的验证设备对漏洞扫描、ICMP端口扫描的防护能力测试仪表Avalanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪Avalanche发起Nessus（如nessus_activex_rexec.）、Nmap（如NMapping）、ICMP端口扫描等10个攻击4)查看结果15)设备开启安全防护6)通过网络测试仪Avalanche再次发起攻击7)查看结果2预期结果1)结果1：扫描程序透过，设备无阻断日志2)结果2：扫描程序被拦截，设备上可以看到攻击检测和拦截日志测试结果备注2.3. 拒绝服务类事件2.3.1.拒绝服务类攻击防护测试编号7.3.1 测试名称拒绝服务类攻击防护测试目的验证设备对拒绝服务类攻击的防护测试仪表Avalanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪发送Smurf攻击、teardrop、land attack、ping of death、fraggle等20个攻击4)查看结果15)设备开启安全防护6)通过网络测试仪重新发送攻击报文7)查看结果2预期结果1)结果1：攻击透过，设备无阻断日志2)结果2：攻击被阻断，设备上可以看到攻击阻断日志测试结果备注2.4. 权限获取类事件2.4.1.后门/木马类事件测试编号7.4.1 测试名称后门/木马防护测试目的验证设备对后门攻击的防护测试仪表Avalanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪发送Backdoor（Backdoor.Rustock.B.28a56f3a和Backdoor.Haxdoor.B.5ea70f86），Trojan（Trojan.IWorm.Gift.Anap.a6f5addf 和Trojan.VBS.Flames.A.9e48c5d1）等60种攻击4)查看结果15)设备开启安全防护6)通过网络测试仪重新发送攻击报文7)查看结果2预期结果1)结果1：攻击透过，设备无阻断日志2)结果2：攻击被阻断，设备上可以看到攻击阻断日志测试结果备注2.4.2.漏洞和缓冲区溢出测试编号7.4.2 测试名称系统漏洞和溢出类攻击防护测试目的验证设备对已知的MS漏洞、缓冲区溢出等攻击的防护测试仪表Avalanche测试环境测试步骤3)如图所示连接网络测试仪和被测设备4)将设备设置在二层透传模式下5)通过Avalanche发送microsoft漏洞、RPC攻击、netbios攻击、sql注入等20种攻击:●ie_daxctle-ocx_heap●FSC20080408-10_Microsoft_Windows_ActiveX_Control_hxvz_dll_Memory_Corruption.Xml●apache_mod_jk_bof.xml●ASPNuke_injection●mssql_sev_activex_bof●SQL Slammer6)查看结果17)设备开启安全防护8)通过Avalanche再次以上发送攻击9)查看结果2预期结果1)结果1：攻击透过，设备无阻断日志2)结果2：攻击被阻断，设备上可以看到攻击阻断日志测试结果备注2.5. 蠕虫类事件测试编号7.5 测试名称蠕虫病毒防护测试目的验证设备对蠕虫的防护测试仪表Avalanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪发送Nimda、冲击波、震荡波等20个蠕虫病毒报文4)查看结果15)设备开启安全防护6)通过网络测试仪重新发送攻击报文7)查看结果2预期结果1)结果1：攻击透过，设备无阻断日志2)结果2：攻击被阻断，设备上可以看到攻击阻断日志测试结果备注2.6. 用户自定义攻击特征和处理能力测试编号7.6测试名称用户自定义攻击特征和处理能力测试目的验证系统是否具备用户自定义攻击特征的快速响应能力测试仪表A valanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪Avalanche发送自定义的攻击（比如针对Mircosoft的攻击，针对Linux的攻击，针对DNS攻击特征拦阻）4)查看结果15)设备开启安全防护6)通过网络测试仪再次发送自定义攻击7)查看结果2预期结果1)结果1：攻击透过，设备无阻断日志2)结果2：攻击被阻断，设备上可以看到病毒检测和拦截日志测试结果备注2.7. I PS逃逸测试编号7.7测试名称IPS逃逸的识别测试测试目的验证系统是否对IPS逃逸识别和防护测试仪表A valanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪发送以下攻击●IP 分片重组●T CP 流重组●协议端口重定向●特殊编码格式4)查看结果15)设备开启安全防护6)通过网络测试仪再次发送自定义攻击7)查看结果2预期结果1)结果1：攻击透过，设备无阻断日志2)结果2：攻击被阻断，系统能识别IPS逃逸攻击并查询到攻击阻断日志测试结果备注2.8. 间谍软件防护2.8.1.Winsock 劫持测试编号7.8.1 测试名称Winsock 劫持--C oolWebSearch测试目的测试是否能检测和防护Winsock层的恶意LSP测试仪表Avalanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪发起CoolWebSearch4)查看结果15)设备开启安全防护6)通过网络测试仪再次发起CoolWebSearch7)查看结果2预期结果1)结果1：劫持程序透过，设备无阻断日志2)结果2：劫持程序被拦截，设备上可以看到病毒检测和拦截日志测试结果备注2.8.2.广告服务或间谍软件Cookie测试编号7.8.2 测试名称广告、间谍软件的拦截测试测试目的验证设备对广告、间谍软件的拦截测试仪表Avalanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)将设备设置在二层透传模式下3)通过网络测试仪发送带有DotComToolbar的网址请求4)查看结果15)设备开启安全防护6)通过网络测试仪再次发送请求报文7)查看结果2预期结果1)结果1：收到广告报文2)结果2：广告报文被拦截，设备上可以看到检测和拦截日志测试结果备注2.8.3.网络钓鱼测试编号7.8.3 测试名称钓鱼网站防护测试目的验证设备钓鱼网站防护测试仪表测试环境用测试仪表Avalanche仿真HTTP客户端和HTTP服务器测试步骤1)将设备设置在二层透传模式下2)访问网站3)查看结果14)设备开启安全防护5)访问网站6)查看结果2预期结果1)结果1：登录成功2)结果2：登录失败，设备上可以看到检测和拦截日志测试结果备注2.9. U RL过滤功能测试2.9.1.过滤类型为域名测试编号7.9.1 测试名称基于域名的URL过滤测试目的验证设备是否具备URL过滤的能力，可以禁止用户访问非法网站，或者只允许用户访问某几个网站测试仪表A valanche测试环境测试步骤1)将设备设置在二层透传模式下2)配置设备，对网址放行3)PC访问，查看结果14)配置设备，对网址阻止访问5)PC访问，查看结果2预期结果1)结果1：访问成功2)结果2：访问失败，设备上可以看到检测和拦截日志测试结果备注2.9.2.基于关键字的web页面过滤测试编号7.9.2 测试名称基于关键字的web页面过滤测试目的验证设备是否具备对网页内容进行过滤的能力测试仪表Avalanche测试环境测试步骤1)将设备设置在二层透传模式下2)PC访问，查看结果13)配置设备，对网址的某些关键词阻止访问4)PC访问，查看结果2预期结果1)结果1：访问成功2)结果2：关键词被过滤，设备上可以看到检测和拦截日志测试结果备注3. 关键业务平台测试3.1. D NS平台应用防护3.1.1.DNS最大并发连接数测试测试编号8.1.1 测试名称DNS并发测试测试目的DNS最大并发连接数测试测试仪表A vlanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)设备开启安全防护3)测试仪发送一定的已知入侵攻击4)测试仪发送正常的DNS请求报文，在建连接没有失败的情况下，加大每秒并发连接的数量5)并发成功的连接数到达某数值时，出现新建连接失败6)记录最大并发连接数预期结果最大DNS并发数要求200万qps测试结果备注3.1.2.DNS query flood离散源IP攻击测试测试编号8.1.1 测试名称DNS query flood攻击测试测试目的测试系统是否能够防范来自离散源IP地址的DNS query flood攻击并记录DNS攻击详细内容测试仪表A vlanche 测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)网络测试仪模拟client端和DNS server端3)Client端向DNS server查找预设域名4)在client端构造来自离散源IP的DNS Flood攻击流量，向被攻击服务器的DNS服务端口进行攻击5)连续在client端上向server查找预设域名200次，返回结果16)启动测试设备上的防范策略7)返回结果28)连续在client端上向server查找预设域名200次，记录结果9)再次在server端抓包并观察，返回结果3预期结果1)攻击前，可以得到正常响应2)结果1：攻击发生时，服务器CPU负荷增加，客户端无法得到正常的解析响应，服务器端可捕捉到大量攻击数据包3)结果2：检测系统可准确发现该攻击流量，记录DNS攻击特征内容4)结果3：DNS服务器恢复正常，客户端可以得到正常的解析响应，服务器端不再收到攻击数据包，仅有正常访问的数据包测试结果备注3.1.3.DNS query flood固定源IP攻击测试测试编号8.1.1 测试名称DNS query flood攻击测试测试目的测试系统是否能够分辨并防范来自与正常DNS请求同一源IP地址的DNS query flood攻击并记录DNS攻击详细内容测试仪表A vlanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)网络测试仪模拟client端和DNS server端3)来自固定源IP（本机）的Client向DNS server查找预设域名4)在本机上向DNS server发送DNS Flood攻击流量5)连续在本机上向server查找预设域名200次，返回结果16)启动测试设备上的防范策略7)返回结果28)再次在本机上向server查找预设域名200次，记录结果9)再次在server端抓包并观察，返回结果3预期结果1)攻击前，固定源IP（本机）可以得到正常响应2)结果1：攻击发生时，服务器CPU负荷增加，客户端无法得到正常的解析响应，服务器端可捕捉到大量攻击数据包3)结果2：检测系统可准确发现该攻击流量，记录DNS攻击特征内容4)结果3：DNS服务器恢复正常，固定源IP的client可以得到正常的解析响应，服务器端不再收到攻击包，仅有正常访问的数据包测试结果备注3.1.4.DNS reply flood攻击测试测试编号8.1.1 测试名称DNS reply flood攻击测试测试目的测试系统是否能够防范DNS Reply flood攻击测试仪表A vlanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)网络测试仪模拟client和多个DNS server3)在DNS server 1上DNS server 2查找域名，可以得到正常响应4)在client上构造目的IP为DNS server 的DNS Reply Flood攻击流量，向被攻击服务器的DNS服务端口进行攻击5)连续在client端向server查找预设域名200次，返回结果16)启动测试设备上的防范策略7)返回结果28)再次在本机上向server查找预设域名200次，记录结果9)在server端抓包并观察，返回结果3预期结果1)攻击前，双向DNS服务正常2)结果1：攻击发生时，服务器CPU负荷增加，客户端无法得到正常的解析响应，服务器端可捕捉到大量攻击数据包3)结果2：检测系统可准确发现该攻击流量，记录DNS攻击特征内容4)结果3：DNS服务器恢复正常，client可以得到正常的解析响应，服务器端不再收到攻击包，仅有正常访问的数据包测试结果备注3.1.5.DNS Spoofed Request攻击测试测试编号7.3.9 测试名称DNS Spoofed Request攻击测试测试目的测试系统是否能够防范DNS Spoofed Request攻击测试仪表A vlanche测试环境测试步骤1)在仪表上分别模拟Client端和Server端2)Client端同时构造正常的HTTP上网流量同时并发较大的DNS Spoofed Request流量，同时发向Server端●并发100K个攻击源进行DNS Spoofed Request攻击，端口号不固定●1个用户进行正常的HTTP访问3)开启设备清洗系统保护功能，查看异常流量清洗情况4)记录结果预期结果1)攻击流量被清洗，http流量正常2)记录清洗时间3)检测系统可准确发现该攻击流量，记录DNS攻击特征内容，网管能提供攻击特征内容报告测试结果备注3.1.6.多种DNS混合攻击测试测试编号8.1.1 测试名称多种DNS攻击测试测试目的测试多种针对DNS的攻击防护并记录DNS攻击详细内容测试仪表A vlanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)网络测试仪模拟client端和DNS server端3)Client端向DNS server查找预设域名4)启动测试设备上的防范策略5)在client端向DNS server发送攻击，包括Hijack Attack、协议分析等6)连续在client端上向server查找预设域名200次，记录结果7)再次在server端抓包并观察，返回结果预期结果1)攻击前，可以得到正常响应2)结果1：攻击发生时，服务器CPU负荷增加，客户端无法得到正常的解析响应，服务器端可捕捉到大量攻击数据包3)结果2：检测系统可准确发现该攻击流量，记录DNS攻击特征内容4)结果3：DNS服务器恢复正常，客户端可以得到正常的解析响应，服务器端不再收到攻击数据包，仅有正常访问的数据包测试结果备注3.2. D HCP平台应用防护3.2.1.DHCP最大并发连接数测试测试编号8.1.1 测试名称DHCP并发测试测试目的DHCP最大并发连接数测试测试仪表A vlanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)设备开启安全防护3)测试仪发送一定的已知入侵攻击4)测试仪发送正常的DHCP请求报文，在建连接没有失败的情况下，加大每秒并发连接的数量5)并发成功的连接数到达某数值时，出现新建连接失败6)记录最大并发连接数预期结果测试结果备注3.2.2.DHCP flood攻击测试测试编号8.1.1 测试名称DHCP并发测试测试目的测试系统是否能够防范DHCP flood攻击测试仪表A vlanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)同一Mac/relay地址的client频繁发送大量DHCP请求3)200个Client发送正常DHCP请求4)返回结果15)启动测试设备上的防范策略6)200个Client发送正常DHCP请求7)返回结果28)再测试巨量的离散源地址DHCP flood攻击，同时200个正常DHCP 请求的情况预期结果1)结果1：同一Mac/relay地址频繁发送大量DHCP请求，导致IP地址耗尽，正常DHCP请求无法获得2)结果2：检测系统可准确发现该攻击流量并进行阻断，记录DNS攻击特征内容，正常DHCP请求可下发地址3)结果3：对于巨量的DHCP请求，检测系统可准确发现该攻击流量并进行阻断，记录DNS攻击特征内容，正常DHCP请求可下发地址测试结果备注3.3. R ADIUS平台应用防护3.3.1.单地址异常测试测试编号8.1.1 测试名称单地址异常测试测试目的测试白名单中的单地址异常上下线测试测试仪表A vlanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)设备建立白名单，将所有BRAS地址加入白名单3)测试仪以白名单内的IP地址在一秒内发送3次上线和下线请求4)返回结果15)设备开启安全防护6)测试仪以白名单内的IP地址在一秒内发送3次上线和下线请求7)返回结果2预期结果结果1：用户可上下线结果2：该IP地址的数据包被阻断测试结果备注3.3.2.非法IP攻击测试测试编号8.1.1 测试名称非法IP攻击测试测试目的测试白名单外的IP请求或攻击防护测试仪表A vlanche测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)设备建立白名单，将所有BRAS地址加入白名单3)设备开启安全防护4)测试仪构造白名单以外的IP地址模拟bras发起上下线请求5)测试仪构造白名单以外的IP地址发送syn flood攻击6)测试仪以白名单内的IP地址模拟合法bras发送上下线请求7)返回结果预期结果白名单内的合法BRAS发起的上下线请求通过，非法IP的数据包都被阻断测试结果备注备注3.4. I P 重组、回放测试编号14.2 测试名称I P 重组、回放测试目的验证被测设备的IP 重组、回放功能测试仪表testcenter测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)发送H TTP、SMTP、FTP、Telnet、POP3 等多种协议通信报文3)设备记录以上报文4)解码和回放记录的报文预期结果系统支持对多种协议报文的重组和回放功能测试结果备注Spirent UTM/IPS/IDS测试方案3.5. 端口捆绑测试编号14.4测试名称端口捆绑测试目的验证设备是否能对端口进行捆绑测试仪表testcenter测试环境测试步骤1)如图所示连接网络测试仪和被测设备2)在二层模式下，连接2个GE端口3)测试仪通过链路捆绑发送数据流量4)返回结果15)将被测设备的2个端口捆绑，开启安全防护策略6)测试仪表再次发送数据流量7)返回结果2预期结果1)结果1：数据透过一个GE口2)结果2：2个GE虚拟成1个逻辑端口测试结果备注Spirent 21。