Radware-防攻击设备测试报告模板

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

@radware.com.cnRRaaddwwaarreeDDeeffeennsseePPrroo防防拒拒绝绝服服务务攻攻击击设设备备测测试试方方案案测试公司:RADWARE(中国)办事处报告日期:一、测试目的在互联网上拒绝服务攻击日渐频繁的背景下,为了了解专业防拒绝服务攻击设备的攻击防护效果,以及是否适用于XXXX实际的生产环境,计划进行拒绝服务攻击测试。测试的主要目的如下:1.检验防拒绝服务攻击设备的攻击防护功能2.检验防拒绝服务攻击设备的最大防御能力3.测试防拒绝服务攻击设备记录攻击的日志和报警功能4.测试防拒绝服务攻击设备的各类报表功能5.测试防拒绝服务攻击设备和HPOPENVIEW和cic网管系统的集成能力6.测试防拒绝服务攻击设备客户化的复杂程度二、测试内容1.分别针对HTTP和HTTPS应用,测试SYNFlood攻击防护、ACKFlood攻击防护、SYN+ACKFlood攻击防护、UDPFlood攻击防护、并发连接耗尽攻击防护和混合攻击防护,找到防拒绝服务攻击设备的最大防御能力。2.针对DNS应用,测试UDPDNSQueryFlood攻击防护,找到防拒绝服务攻击设备的最大防御能力。3.检验防拒绝服务攻击设备记录日志、生成报表的能力和详细程@radware.com.cn度,是否便于管理员进行分析和采取进一步措施。4.从使用的角度出发,进行人机界面测试,检验防攻击设备的使用亲和性,维护起来是否简单易懂,是否符合使用习惯。5.将防拒绝服务攻击设备与现有的HPOPENVIEW和cic网管软件进行集成测试,检验其是否可以进行集中管理,能否加入现有的网管体系。6.完整地检验防攻击设备对不同客户进行定制的过程,检查其设置各项参数的复杂程度,安装、部署过程的复杂程度,以及后期维护的复杂程度。三、环境设计1.网络设备和应用服务器本测试环境采用的设备如下:数量设备软件版本1SmartBit6000BWebSuite2.601防拒绝服务攻击设备RADWAREDefencePRO1.32.142流量监控机Win2000PC2交换机(型号,要求交换机能够读出端口使用情况,如PPS等等)CISCO35501客户端PCWebStress,DNStestWin2000prefession@radware.com.cn1应用服务器(CPU、MEM)Windows2000serverHTTP/HTTPS(Sambar5.0)DNS(Windows)1网管服务器Windows2000HPOV7.0RadwareCWI1.712.流量发生工具本次测试选用的正常流量工具是Webstress软件和DNStest软件,攻击流量工具是由Smartbit6000B,以下分别针对这几种工具做详细描述:正常流量模拟压力测试软件:Webstress:可以模拟任何人数在同一时间内进站或是循序进站时你的Server的反应表现。只要输入网站的URL网址以及模拟的上站人数,就可以看出Server在这种压力测试下的评比,用条状图明白地表示出Server反应时间、传递速率等相关数据。除了Http的网页外,还支持CGI或ASP等语言撰写的程序。支持Proxy设定、密码输入、Cookies与ASP的Session-IDs等功能。设置界面:@radware.com.cn生成测试报告Dnstest:执行测试脚本Dnstest.dat,可以模拟对指定测试DNS服务器的请求。@radware.com.cn同时测试执行的起、止时间,以及查询成功的次数都将保存在result.txt文件中。使用方法:在Dos环境下运行脚本,格式如下:dnstest要查询的域名使用的dns服务器将结果保存到哪个文件中例如,要使用192.168.1.1这个DNS服务器查询次,并将结果保存到result.txt这个文件中,则使用下列命令:dnstest执行运行界面:生成测试报告@radware.com.cn模拟攻击软件:Smartbits6000B:3.监控工具在本次测试中,监测工具我们使用webstress自带的监控软件,和Dnstest生成的文本log日志。监控是本次测试最为重要的一个环节。监控数据直接影响到本次测试的实验结果和准确性。1.访问监控参数的选择1)监控网络中的流量,如:带宽占有率、PPS@radware.com.cn2)监控设备的CPU、内存、连接数使用情况3)服务器的响应速度4)Dns服务器接受请求的起、止时间,以及提供解析成功的次数。2.监控对象的选择1)监控DefensePro入口和出口端流量。通过登陆DefensePro设备,监控CPU利用率、内存利用率和SESSION数。2)监控服务器响应速度利用WEBSTRESS,对服务器的响应速度ResponseTimeDelay(RTD)进行监控。本次测试以服务器的响应速度为主要依据。通过对WEBSTRESS的使用,我们发现当RTD=1000MS左右时或丢包率超过10%时,从IE浏览器上已经明显感觉到页面打开速度很慢或打不开。因此,我们设定RTD=1000MS或丢包率超过10%时为服务器响应速度的临界点。在WEBSTRESS中,设置10个客户,20秒内随机10次访问,测试时间定为5分钟。(我们使用的WEBSTRESS为商业软件DEMO版,因此参数设置有限制)在Dnstest中,默认请求次数为30000,客户机将不间断的向测试Dns发起解析请求。第一、在无攻击的情况下,定位各类设备的访问基线。例如:WEBSTRESS的RTD,防火墙的CPU/MEM、负载均衡设备的@radware.com.cnCPU/MEM等等。第二、关闭防DOS设备的防护功能,利用攻击软件产生某种DOS攻击,记录相关测试数据。当WEBSTRESS的RTD值小于1000MS时或丢包率低于10%时,停止当轮测试,并增大攻击压力,进行下一轮测试。开展下一轮的测试以WEBSTRESS大于1000MS时或丢包率高于10%为准。第三、打开设备的防护功能,并观察WEBSTRESS,定位防DOS设备的最大防御性能。第四、开设备的防护功能,并将攻击流量不断增大,以测试设备防护性能的阀值。4、其他工具无5、拓扑图@radware.com.cnWEBServerDNSServer客户端CISCO3550DefensePROSmartBits6000BDefensePRO网管平台SmartBits网管平台172.24.5.123172.24.5.154172.24.5.222192.168.0.101192.168.0.102CISCO3550业务区网管区G1G1G1G2G1F1F1CISCO终端CISCO终端设备用途攻击机SmartBits6000B:用来产生各种拒绝服务攻击流量;访问机:测试过程中在访问机上利用WS测试服务器的响应时间和连接成功率,利用DNStest工具测试DNS服务器的响应时间和成功率。服务器:安装HTTPS,HTTP,DNS服务,作为被攻击对象。连接耗尽测试时需要将web服务器的keepalive功能关闭,要求HTTP,HTTPS页面达到500k左右。(index.htm实际文件大小501K)DNS攻击测试时,需要在客户机上解析域名几次,以便待测产品能够学习到域名表。网管日志服务器:用来对待测产品进行配置,并安装日志服务器,采集待测产品的日志。流量监控机:在两台流量监控机上安装sniffer,用来在测试过@radware.com.cn程中监控两台交换机上目的地址为服务器地址的流量。交换机:在两台交换机上做端口镜像,将待测设备连接的端口流量镜像到流量监控机连接的端口,以便进行流量监控。待测产品(防拒绝服务攻击设备):用来阻断从IN口进来的攻击流量,并将过滤后的正常流量发往OUT口。有两种模式,一种是转发模式,即直接转发数据包,不作攻击检测和过滤;一种是攻击检测模式,将数据包中攻击流量过滤后再转发。攻击数据流向攻击数据从攻击机SmartBit发出,依次通过交换机1,待测产品,交换机2,到达服务器。正常访问流向正常访问数据从访问机发出,依次通过交换机1,待测产品,交换机2,到达服务器。四、测试方法(一)攻击防护测试方法要求对HTTPS、HTTP和DNS三类应用进行防护测试SYNFlood攻击防护测试步骤第一、在无攻击的情况下,确定各应用的访问基线(响应时间,成功率等指标)。第二、开启源IP、端口均随机的SYNFlood攻击,对80或443端口进行攻击,观察HTTP、HTTPS和DNS应用访问基线的变@radware.com.cn化。第三、打开防DOS设备的防护功能,并观察应用变化,记录此时的访问参数。第四、逐步增大攻击流量,定位防DOS设备的最大防御性能。HTTP攻击防护测试数据:(攻击80端口)攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击1.0251.0144%恒定1260ms100%2152100%8ms100%20%无防护30.60530.60527%恒定1688ms77%2313100%21ms100%35%无防护61.69561.69527%恒定1793ms74%5374100%260ms100%40%无防护67.05667.05633%恒定不响应0%不响应0%不响应0%20%29.7610.1614%恒定1217ms100%2168100%7ms100%80%119.0471.4175%恒定1285ms100%2188100%7ms100%98%146.0271.4126%恒定1295ms100%2198100%7ms100%HTTPS攻击防护测试数据:(攻击443端口)攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击0.2200.2104%恒定1230ms100%2501ms100%12ms100%20%无防护70.16971.12327%恒定1394ms3178ms13.9%27ms100%35%无防护102.695102.69536%恒定1430ms100%5374100%29ms100%40%无防护119.056119.05636%恒定不响应0%不响应0%不响应0%20%70.3350.3394%恒定1233ms100%2512ms100%16ms100%80%239.0490.1855%恒定1563ms100%2685ms100%20ms100%98%293.5720.1336%恒定1519ms100%2676ms100%24ms100%ACKFlood攻击防护测试步骤@radware.com

1 / 34
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功