Radware-防攻击设备测试报告模板.docx

上传人：小飞机

文档编号：1938039

上传时间：2022-12-27

格式：DOCX

页数：34

大小：940.55KB

《Radware-防攻击设备测试报告模板.docx》由会员分享，可在线阅读，更多相关《Radware-防攻击设备测试报告模板.docx（34页珍藏版）》请在三一办公上搜索。

1、Radware DefensePro防拒绝服务攻击设备测试方案测试公司：RADWARE(中国)办事处报告日期：一、测试目的在互联网上拒绝服务攻击日渐频繁的背景下，为了了解专业防拒绝服务攻击设备的攻击防护效果，以及是否适用于XXXX实际的生产环境，计划进行拒绝服务攻击测试。测试的主要目的如下：1 检验防拒绝服务攻击设备的攻击防护功能2 检验防拒绝服务攻击设备的最大防御能力3 测试防拒绝服务攻击设备记录攻击的日志和报警功能4 测试防拒绝服务攻击设备的各类报表功能5 测试防拒绝服务攻击设备和HP OPENVIEW和cic网管系统的集成能力6 测试防拒绝服务攻击设备客户化的复杂程度二、测试内容

2、1 分别针对HTTP和HTTPS应用，测试SYN Flood攻击防护、ACK Flood攻击防护、SYNACK Flood攻击防护、UDP Flood攻击防护、并发连接耗尽攻击防护和混合攻击防护，找到防拒绝服务攻击设备的最大防御能力。2 针对DNS应用，测试UDP DNS Query Flood攻击防护，找到防拒绝服务攻击设备的最大防御能力。3 检验防拒绝服务攻击设备记录日志、生成报表的能力和详细程度，是否便于管理员进行分析和采取进一步措施。4 从使用的角度出发，进行人机界面测试，检验防攻击设备的使用亲和性，维护起来是否简单易懂，是否符合使用习惯。5 将防拒绝服务攻击设备与现有的HP OPEN

3、VIEW和cic网管软件进行集成测试，检验其是否可以进行集中管理，能否加入现有的网管体系。6 完整地检验防攻击设备对不同客户进行定制的过程，检查其设置各项参数的复杂程度，安装、部署过程的复杂程度，以及后期维护的复杂程度。三、环境设计1. 网络设备和应用服务器本测试环境采用的设备如下：数量设备软件版本1SmartBit6000BWebSuite 2.601防拒绝服务攻击设备RADWARE DefencePRO1.32.142流量监控机Win2000 PC2交换机（型号,要求交换机能够读出端口使用情况，如PPS等等）CISCO 35501客户端PCWeb Stress,DNStestWin2000

4、 prefession1应用服务器（CPU、MEM）Windows 2000 serverHTTP/HTTPS(Sambar5.0)DNS(Windows)1网管服务器Windows 2000HPOV 7.0Radware CWI 1.712. 流量发生工具本次测试选用的正常流量工具是Webstress软件和DNStest软件，攻击流量工具是由Smartbit6000B，以下分别针对这几种工具做详细描述：正常流量模拟压力测试软件：Webstress：可以模拟任何人数在同一时间内进站或是循序进站时你的Server的反应表现。只要输入网站的URL网址以及模拟的上站人数，就可以看出Server在这种

5、压力测试下的评比，用条状图明白地表示出Server反应时间、传递速率等相关数据。除了Http的网页外，还支持CGI或ASP等语言撰写的程序。支持Proxy设定、密码输入、Cookies与ASP的Session-IDs等功能。设置界面：生成测试报告Dnstest：执行测试脚本Dnstest.dat,可以模拟对指定测试DNS服务器的请求。同时测试执行的起、止时间，以及查询成功的次数都将保存在result.txt文件中。使用方法：在Dos环境下运行脚本，格式如下： dnstest 例如，要使用192.168.1.1这个DNS服务器查询. 100次，并将结果保存到result.txt这个文件中，则使用

6、下列命令： dnstest 192.168.1.1 result.txt 执行运行界面：生成测试报告模拟攻击软件：Smartbits6000B:3. 监控工具在本次测试中，监测工具我们使用webstress自带的监控软件，和Dnstest生成的文本log日志。监控是本次测试最为重要的一个环节。监控数据直接影响到本次测试的实验结果和准确性。1. 访问监控参数的选择1）监控网络中的流量，如：带宽占有率、PPS2）监控设备的CPU、内存、连接数使用情况3）服务器的响应速度4）Dns服务器接受请求的起、止时间，以及提供解析成功的次数。2. 监控对象的选择1）监控DefensePro入口和出口端流量。

7、通过登陆DefensePro设备，监控CPU利用率、内存利用率和SESSION数。2）监控服务器响应速度利用WEB STRESS，对服务器的响应速度Response Time Delay（RTD）进行监控。本次测试以服务器的响应速度为主要依据。通过对WEB STRESS的使用，我们发现当RTD=1000MS左右时或丢包率超过10时，从IE浏览器上已经明显感觉到页面打开速度很慢或打不开。因此，我们设定RTD=1000MS或丢包率超过10时为服务器响应速度的临界点。在WEB STRESS中，设置10个客户，20秒内随机10次访问，测试时间定为5分钟。（我们使用的WEB STRESS为商业软件DE

8、MO版，因此参数设置有限制）在Dnstest中，默认请求次数为30000，客户机将不间断的向测试Dns发起解析请求。第一、在无攻击的情况下，定位各类设备的访问基线。例如: WEB STRESS的RTD，防火墙的CPU/MEM、负载均衡设备的CPU/MEM等等。第二、关闭防DOS设备的防护功能，利用攻击软件产生某种DOS攻击，记录相关测试数据。当WEB STRESS的RTD值小于1000MS时或丢包率低于10时，停止当轮测试，并增大攻击压力，进行下一轮测试。开展下一轮的测试以WEB STRESS大于1000MS时或丢包率高于10为准。第三、打开设备的防护功能，并观察WEB STRESS，

9、定位防DOS设备的最大防御性能。第四、开设备的防护功能，并将攻击流量不断增大，以测试设备防护性能的阀值。4、其他工具无5、拓扑图设备用途攻击机SmartBits6000B：用来产生各种拒绝服务攻击流量；访问机：测试过程中在访问机上利用WS测试www服务器的响应时间和连接成功率，利用DNStest工具测试DNS服务器的响应时间和成功率。服务器：安装HTTPS,HTTP,DNS服务，作为被攻击对象。连接耗尽测试时需要将web服务器的keepalive功能关闭，要求HTTP ,HTTPS页面达到500k左右。（index.htm实际文件大小501K）DNS攻击测试时，需要在客户机上解析域名几次，

10、以便待测产品能够学习到域名表。网管日志服务器：用来对待测产品进行配置，并安装日志服务器，采集待测产品的日志。流量监控机：在两台流量监控机上安装sniffer，用来在测试过程中监控两台交换机上目的地址为服务器地址的流量。交换机：在两台交换机上做端口镜像,将待测设备连接的端口流量镜像到流量监控机连接的端口，以便进行流量监控。待测产品（防拒绝服务攻击设备）：用来阻断从IN口进来的攻击流量，并将过滤后的正常流量发往OUT口。有两种模式，一种是转发模式，即直接转发数据包，不作攻击检测和过滤；一种是攻击检测模式，将数据包中攻击流量过滤后再转发。攻击数据流向攻击数据从攻击机SmartBit发出，依次通过

11、交换机1，待测产品，交换机2，到达服务器。正常访问流向正常访问数据从访问机发出，依次通过交换机1，待测产品，交换机2，到达服务器。四、测试方法（一）攻击防护测试方法要求对HTTPS、HTTP和DNS三类应用进行防护测试SYN Flood攻击防护测试步骤第一、在无攻击的情况下，确定各应用的访问基线（响应时间, 成功率等指标）。第二、开启源IP、端口均随机的SYN Flood攻击，对80或443端口进行攻击，观察HTTP、HTTPS和DNS应用访问基线的变化。第三、打开防DOS设备的防护功能，并观察应用变化，记录此时的访问参数。第四、逐步增大攻击流量，定位防DOS设备的最大防御性能。

12、HTTP 攻击防护测试数据：（攻击80端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击1.0251.0144%恒定1260ms100%2152100%8ms100%20%无防护30.60530.60527%恒定1688ms77%2313100%21ms100%35%无防护61.69561.69527%恒定1793ms74%5374100%260ms100%40%无

13、防护67.05667.05633%恒定不响应0%不响应0%不响应0%20%29.7610.1614%恒定1217ms100%2168100%7ms100%80%119.0471.4175%恒定1285ms100%2188100%7ms100%98%146.0271.4126%恒定1295ms100%2198100%7ms100%HTTPS攻击防护测试数据：（攻击443端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时

14、(ms)DNS的成功连接建立率(%)CPU内存无攻击0.2200.2104%恒定1230ms100%2501ms100%12ms100%20%无防护70.16971.12327%恒定1394ms3178ms13.9%27ms100%35%无防护102.695102.69536%恒定1430ms100%5374100%29ms100%40%无防护119.056119.05636%恒定不响应0%不响应0%不响应0%20%70.3350.3394%恒定1233ms100%2512ms100%16ms100%80%239.0490.1855%恒定1563ms100%2685ms100%20ms100%

15、98%293.5720.1336%恒定1519ms100%2676ms100%24ms100%ACK Flood攻击防护测试步骤第一、在无攻击的情况下，确定各应用的访问基线（响应时间, 成功率等指标）。第二、开启源IP、端口均随机的ACKFlood攻击，对80端口进行攻击，观察HTTP、HTTPS和DNS访问基线的变化。第三、打开防DOS设备的防护功能，并观察应用变化，记录此时的访问参数。第四、逐步增大攻击流量，定位防DOS设备的最大防御性能。HTTP 攻击防护测试数据：（攻击80端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均

16、响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击1.2411.1564%恒定1260ms100%2501ms100%8ms100%20%无防护67.23567.87625%恒定1701ms81%3612ms14%20ms100%35%无防护110.210110.21030%恒定1984ms50%5129ms6%160ms100%40%无防护130.234130.23430%恒定不响应0%不响应0%不响应0%20%91.2360.2034%恒定1234ms100%25

17、92ms100%8ms100%80%239.4181.3895%恒定1258ms100%2701ms100%8ms100%98%240.0811.5016%恒定1301ms100%2739ms100%8ms100%HTTPS攻击防护测试数据：（攻击443端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击0.2810.2424%恒定1260ms100%2501ms10

18、0%10ms100%20%无防护72.00971.47225%恒定1701ms70%3612ms14%22ms100%35%无防护127.201127.20130%恒定2031ms40%5129ms6%260ms100%40%无防护150.213150.21330%恒定不响应0%不响应0%不响应0%20%73.3890.4294%恒定1234ms100%2592ms100%12ms100%80%240.1820.2035%恒定1258ms100%2701ms100%12ms100%98%296.0120.1896%恒定1301ms100%2739ms100%13ms100%SYN ACK Fl

19、ood攻击防护测试步骤第一、在无攻击的情况下，确定各应用的访问基线（响应时间, 成功率等指标）。第二、开启源IP、端口均随机的SYN Flood攻击，SYN包和ACK包各占一半，对80或443端口进行攻击，观察HTTP、HTTPS和DNS各应用访问基线的变化。第三、打开防DOS设备的防护功能，并观察应用变化，记录此时的访问参数。第四、逐步增大攻击流量，定位防DOS设备的最大防御性能。HTTP 攻击防护测试数据：（攻击80端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响

20、应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击1.3011.1444%恒定1260ms100%2124ms100%7ms100%20%无防护73.50172.99820%恒定1702ms100%2458ms100%80ms100%30%无防护85.99085.99030%恒定2231ms7.7%3418ms100%130ms100%35%无防护102.218102.21830%恒定46182ms2.3%7165ms100%480ms100%20%89.2870.2344%恒定1265ms100%2161ms100%14ms1

21、00%80%239.0981.5235%恒定1294ms100%2175ms100%14ms100%98%240.1811.6326%恒定1292ms100%2158ms100%14ms100%HTTPS攻击防护测试数据：（攻击443端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击0.3000.2814%恒定1453ms100%2501ms100%7ms100%2

22、0%无防护68.13269.12920%恒定1649ms100%3074ms12%80ms100%35%无防护102.218102.21838%恒定6375ms100%21252ms8%550ms100%40%无防护105.285105.28538%恒定不响应0%不响应0%910ms100%20%69.2230.4024%恒定1416ms100%2497ms100%14ms100%80%238.9820.2345%恒定1563ms100%2666ms100%14ms100%98%298.7270.2016%恒定1519ms100%2689ms100%14ms100%ICMP Flood攻击防护

23、测试步骤第一、在无攻击的情况下，确定各应用的访问基线（响应时间, 成功率等指标）。第二、开启ICMP Flood攻击，观察各应用访问基线的变化。第三、打开防DOS设备的防护功能，并观察HTTP、HTTPS和DNS应用变化，记录此时的访问参数。第四、逐步增大攻击流量，定位防DOS设备的最大防御性能。HTTP/HTTPS攻击防护测试数据：攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率

24、(%)CPU内存无攻击1.0251.0144%恒定1260ms100%2155ms100%7ms100%20%无防护61.47160.01620%恒定1417ms100%2096ms100%15ms100%98%无防护301.431301.43160%恒定41420ms3%不响应0%700ms100%20%70.0650.38930%恒定1517ms100%2130ms100%9ms100%80%293.1800.27460%恒定1448ms100%2388ms100%320ms100%98%299.2340.25174%恒定1576ms100%2928ms100%700ms100%UDP D

25、NS Query Flood攻击防护测试步骤第一、在无攻击的情况下，确定DNS服务器的访问基线（响应时间, 成功率等指标）。第二、开启源IP、端口均随机的DNS Flood攻击，观察DNS服务器访问基线的变化。第三、打开防DOS设备的防护功能，并观察HTTP、HTTPS和DNS应用变化，记录此时的访问参数。第四、逐步增大攻击流量，定位防DOS设备的最大防御性能。DNS攻击防护测试数据：攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(

26、%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击0.3560.3484%恒定1554ms100%2095ms100%7ms100%20%无防护29.76129.7614%恒定1458ms100%2120ms100%18ms100%98%无防护150.412150.41270%恒定12175ms100%27220ms100%2600100%20%28.7950.4014%恒定1496ms100%2087ms100%14ms100%80%119.6030.35630%恒定1840ms100%2919ms100%240ms100%98%146.0270.40060%恒定20

27、52ms100%5092ms100%710ms100%空连接耗尽防护测试步骤第一、在无攻击的情况下，确定各应用的访问基线（响应时间, 成功率等指标）。第二、从攻击设备向服务器发起大量并发连接，每秒连接数大于1000个，观察各应用访问基线的变化。第三、打开防DOS设备的防护功能，并观察HTTP、HTTPS和DNS应用变化，记录此时的访问参数。第四、逐步增大攻击流量，定位防DOS设备的最大防御性能。HTTP攻击防护测试数据：（连接80端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTT

28、Ps平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击0.4420.3843%恒定1633ms100%2149ms100%7ms100%2000无防护2.1892.2059%恒定1587m100%2164ms100%15ms100%2000连接0.2540.1614%恒定1496ms100%2107ms100%20ms100%8000连接11.8840.2724%恒定1470ms100%2104ms100%16ms100%9800连接25.0790.6644%恒定1482ms100%2105ms100%15ms100%HT

29、TPS攻击防护测试数据：（连接443端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击0.4050.39343%恒定1529ms100%2102ms100%7ms100%2000无防护2.2052.1989%恒定1602m100%2198ms100%18ms100%2000连接0.2310.1894%恒定1512ms100%2105ms100%19ms100%800

30、0连接11.7680.3504%恒定1498ms100%2107ms100%16ms100%9800连接25.0520.5424%恒定1503ms100%2102ms100%17ms100%混合攻击防护测试步骤（30 syn、30 ack 20 icmp 20 udp）（受试验环境限制，实际测试50 syn、50 udp）第一、在无攻击的情况下，确定各应用的访问基线（响应时间, 成功率等指标）。第二、从攻击设备向服务器发起混合攻击流量，观察各应用访问基线的变化。第三、打开防DOS设备的防护功能，并观察HTTP、HTTPS和DNS应用变化，记录此时的访问参数。第四、逐步增大攻击流量，定

31、位防DOS设备的最大防御性能。HTTP 攻击防护测试数据：（攻击80端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击1.0251.0146%恒定1260ms100%2501ms100%7ms100%20%无防护70.23569.2346%恒定1801ms6%3281ms16%7ms100%20%72.2510.3716%恒定1298ms100%2612ms100%

32、7ms100%80%223.1271.3176%恒定1376ms100%2697ms100%7ms100%98%239.0171.4616%恒定1387ms100%2720ms100%7ms100%HTTPS攻击防护测试数据：（攻击443端口）攻击流量防攻击设备前发包速率(kpps)防攻击设备后发包速率(kpps)防攻击设备状态HTTP平均响应延时(ms)HTTP的成功连接建立率(%)HTTPs平均响应延时(ms)HTTPs的成功连接建立率(%)DNS平均响应延时(ms)DNS的成功连接建立率(%)CPU内存无攻击0.3160.2896%恒定1260ms100%2501ms100%7ms100

33、%20%无防护72.65171.2846%恒定1801ms6%3281ms16%7ms100%20%73.0010.4196%恒定1298ms100%2612ms100%7ms100%80%236.1490.2476%恒定1376ms100%2697ms100%7ms100%98%287.6740.2336%恒定1387ms100%2720ms100%7ms100%（二）报表测试本项测试检查防攻击设备的日志分析能力，测试步骤如下：第一、将防拒绝服务攻击设备系统日期调整至一周前，使用攻击工具进行攻击，防拒绝服务攻击设备产生当天攻击日志。第二、将防拒绝服务攻击设备日期调后一天，重复第一步操作，

34、生成日志。第三、重复以上步骤，至防拒绝服务攻击设备中出现一周的攻击日志。同上第四、在防拒绝服务攻击设备界面上分别生成日报表、周报表。查看生成报表的结果。第五、重复以上步骤，生成月报表，查看生成的结果。第六、报表导出功能的描述。详见：“（五）客户化测试测试安全日志数据库的导入，导出，备份”部分1.报表显示内容当前安全状况“雷达”表：所有安全日志列表：特定时间段内，特定攻击类型的统计列表：统计列表的不同显示方式（柱状图，曲线图，饼图）：2.报表数据的导出：自动导出到HTML格式：自动导出到 EXCEL格式（二）人机界面测试Radware DefensePRO提供两种人机界面：WEB管理界

35、面和专用集中管理软件：l WEB管理界面测试：打开IE，输入HTTP:/X.X.X.X 或者HTTPS:/X.X.X.X出现如下管理窗口：l 集中管理软件 ConfigWareInsite管理界面测试：启动ConfigWareInsite，输入用户名和口令以及设备地址出现如下管理窗口：基本配置窗口：双击DefensePRO的图标安全配置窗口：双击右上角的security菜单设备统计窗口：双击左下角statistics菜单安全统计窗口：双击左下角security report菜单（四）HP OPENVIEW网管集成测试（写入具体测试步骤）1，在管理工作站上安装HPOV，2，在HPOV安装 Con

36、figWare Insite 插件，输入对应的LICENSE（五）客户化测试（写入具体测试步骤）1. 测试安全日志数据库的导入，导出，备份l 导出数据库在命令行模式下进入c:/mysql/bin 目录输入如下导出命令，mysqldump -u external -p -A -r LiangShipeng.txt-u external 用户名是external-p等待系统提示输入口令-A导出所有的数据库-r LiangShipeng.txt把数据库导出到一个文本文件中输入如上命令后，系统会自动提示输入口令： XXXXl 打开c:/mysql/bin下的文本文件LiangShipeng.txt导出的数据库内容如下:2. 测试特定时间段、特定攻击，特定IP的安全日志的导出3. 测试每日，每周，每月的汇总报告的自动生成和发送邮件本项测试检查防攻击设备的用户亲和性和设备易用性，测试步骤如下：第一、使用攻击设备攻击目标服务器，使防拒绝服务攻击设备产生攻击报警日志。第二、通过Web方式查看防拒绝服务攻击设备的报警图表，查看其报警日志是否详尽，是否包含了攻击特征等。（插入界面截图，并加上标注解释）第三、查看防拒绝服务攻击设备显示的网络流量信息，包括通过防拒绝服务攻击设备前、后的pps、bps等信息。