思博伦网络测试培训11-应用层及安全测试方案

思博伦应用层及安全解决方案


为什么测试4-7层？
基于内容的设备加速了www 迅速增长 对于内容网络（4-7层）而言，增加产品数量并不是很好 的途径，不如加强对这些设备的测试
网络的边缘部分已经成为瓶颈 需要进行4-7层测试的设备包括：
防火墙 入侵检测系统（IDS） VPN网关 SSL加速器 负载均衡器和Web交换机 Web cache ……
Page 2
提供安全的、无 漏洞的网络
快速地传送内容 给用户


为什么测试4-7层？
即使设备不是基于4-7层的，当处理7层数据流时，负载 特征的改变也会造成明显的功能和性能问题 传统的2-3层数据流压力测试是好的，但总是不够充分的 需要将“真实性”引入实验室测试中
- 协议（HTTP、FTP、SMTP、POP、SSL、…） - 环境（数据包丢失、延迟、连接速度、…）
Page 3


安全及应用层测试 — 4-7层测试技术
测试技术发展情况
业界没有形成系统的测试方法学 测试内容包括功能测试、性能测试、协 议分析、网络监控等内容 又分为设备测试、服务器、网络服务测 试 有许多厂商都在研究新的测试方法 RFC 2647/RFC 3511 Light Reading SSL VPN测试
技术发展趋势
所有的网络都需要进行高层业务测试 网络/设备/服务器 网络安全测试的在多个方面发展 DoS/病毒/垃圾邮件/系统监控/… 应用层QoS测试 Trip Play测试技术
目前可行的解决方案
应用层性能测试工具 协议分析软件 应用层仿真工具 2-7层集成测试技术
面临的挑战
测试方法学的统一和标准化 网络安全测试与实际网络安全 如何准确评估具有复合业务的网络系统 可靠性测试与系统故障分离 大量新兴应用的出现为测试增加了难度
Page 4


问题：应用和网络结构非常复杂
评估系统的容量 非常困难
防火墙
负载均衡器
路由器
SSL 设备 Web 服务器 应用 服务器 数据库 服务器
Page 5


应用性能评估需要仿真用户和Internet
现实中用户应用的交互 现实中用户应用的交互 不同的浏览器类型 不同的浏览器类型 用户思考时间 用户思考时间 用户放弃（HTTP abort） 用户放弃（HTTP abort） DDoS攻击 DDoS攻击 病毒附件/垃圾邮件 病毒附件/垃圾邮件
每个用户都有IP地址 每个用户都有IP地址 线路速率 线路速率 延迟 延迟 丢包 丢包
Page 6


传统的实验室评估
实验室环境 实验室环境
• •
有限的数量： 有限的数量：
• • • • • • 用户/客户端 用户/客户端 协议（ftp, http） 协议（ftp, http） 服务器/应用 服务器/应用
••
有限的网络影响 有限的网络影响 延迟、丢包 •• 延迟、丢包 分片，等 •• 分片，等 网络设计影响 网络设计影响 单个DUT 单个DUT 单个厂商仿真 单个厂商仿真
Device
•• •• ••
Page 7


思博伦解决方案 — Avalanche/ThreatEx
Page 8


系统测试
Spirent Avalanche
• 安全：检验对于病毒和攻击的防护 • 可用性：在低于峰值负载和超过峰值负载情况下测试 • 降低成本：精确测量得出系统所需规模
Page 9


网络基础架构测试
Spirent Avalanche
Spirent Reflector
• 安全：检验在极端负载情况下的防护 • 可用性：测试设备软件的新版本 • 降低成本：评估来自多个厂商的设备
Page 10


测试方案的拓朴结构
SSL Scaler
Router
Firewall
Load Balancer Database Server
File Server
Application Server
Web Server
模拟核心网络
丢包
Internet
模拟用户接入速率(56K, 512K, 等.)
用户的个人行为:(思考时间, 超时放弃浏览,等)
模拟众多子网地址流量
真实流量: HTTP1.0/1.1, FTP,SMTP/PoP 3, 视频, 攻击, SOAP, 等.)
测试仪表模拟所有客户端功能
测试仪表:模拟服务器群
“真实环境”测试
L4-L7网络连接
设备
Avalanche产品概述
Avalanche产品系列是目前业内先进的4-7层（应用层）仿真及性能测试工具。

其中Avalanche为网络应用层客户端仿真及性能测试仪，Reflector为网络应用层服务器端仿真及性能测试仪。

通过使用该系列产品，网络设备提供商、系统集成商、网络运营商和内容服务提供商可以对其它网络设备和业务网络进行综合的服务质量评估和故障诊断。

Avalanche和Reflector支持常用的应用层协议。

支持捕获回放（Capture & Replay）功能，通过此功能，Avalanche和Reflector可以模拟非标准协议应用而进行的测试。

Avalanche和Reflector支持同时运行多种协议混合测试。

Avalanche还支持模拟多种DDoS攻击测试。

Avalanche和Reflector软件可以运行在SmartBits TeraMetrics体系结构上，提供统一标准的2-7层性能分析测试平台。

Avalanche 支持的协议（7.5）
HTTP 1.0/1.1 FTP (passive) Telnet Protocol DNS Protocol
Secure HTTP (SSLv2, v3, TLSv2) RTSP/RTP
Real Networks 的Real System Apple 的Quick Time
Microsoft Media Server (MMS) VoD Multicasting IPSec
POP3 Mail Protocol SMTP Mail Protocol Capture/Replay (TCP, UDP)
BT 、eDonkey 、Kazaa 、MSN…
In-line DDoS PPP/PPPoE Radius GRE
SIP over TCP and UDP IPv6 MM4
Avalanche integrated DDoS library 15 pre-defined stateless attacks per interface
DDoS support
ARPFlood Attack
PingSweep Attack
ResetFlood Attack
Smurf Attack
SynFlood Attack
TCPPortScan Attack
UDPFlood Attack
UDPPortScan Attack
XMasTree Attack
Evasive UDP Attack
Land Attack
Ping of Death Attack
Random Unreachable Host Attack
Teardrop Attack
Unreachable Host Attack
便携式的网络和Internet 分析工具 适用于小型企业的较低性能要求
Avalanche 220 Reflector 220
完整的2-7层测试，在TeraMetrics 硬件上运行Avalanche 软件 多用途–可以运行其它SmartBits 应用 Avalanche SMB SmartBits 6000 SmartBits 600 网络和Internet 基础设施能力评估 Model C 拥有最高性能 Avalanche 2700 Reflector 2700 Model B & C 应用
产品
Avalanche 产品定位
Spirent Test Platform
Spirent Software “Commander”control Spirent Avalanche and Spirent Reflector and also able to monitor device under test by SMNP.
Group of Devices Validation
TCP connection per second performance (TCP/SEC) Concurrent TCP connection performance (TCP OPEN)
Bandwidth performance (BWD)
Application level performance (HTTP/SEC, …)
•Spirent Test Methodology help you to find bottleneck for integration of multiple devices.
ThreatEx
ThreatEx提供给用户一个完全端到端的解决方案，对单个设备或整个网络进行真实的攻击测试。

通过利用来自我们不断更新的知识库（Knowledge Base）的攻击手法，运行一系列受到控制的攻击，大大提高了测试当今智能网络设备及安全应用程序的效率和正确性。

ThreatEx可以做什么？
测试网络& 设备的弱点
产生真实的攻击
网络设备
网络和安全基础架构
使网络数据流出现问题
现有数据流–与Avalanche解决方案完美结合
伪装攻击–攻击性测试
生成未知攻击-Fuzzing
研究组通过可订阅的攻击数据库，提供攻击特征
应用
部署之前
安全评估
质量保证（QA） 厂商开发
概念验证
横向评测
业内实验室
专业化服务
ThreatEx用于设备测试
ThreatEx可用来验证安全设备的保护能力，或者验证网络基础架构处于攻击下的性能。

威胁由Threat Generation接口生成，经过网络，在Virtual Server接口上接收。

ThreatEx用于服务器测试
ThreatEx 可被用来验证不同类型服务器（如：Web、FTP、应用服务器、数据库、邮件服务器，等）上的安全部署。

威胁从Threat Generation接口直接生成到服务器。

这必须在实验室环境中做。

威胁是真实的，将会影响目标系统。

ThreatEx用于服务测试
ThreatEx 可在新服务部署之前被用来验证其安全性。

在实验室环境中，对网络上真实的目标服务器生成攻击。

ThreatEx & Avalanche
ThreatEx和Avalanche可以指出当网络或应用同时使
用时对攻击的影响。

Avalanche生成正常的流量到ThreatEx的Pass Thru接口。

正常数据流与攻击流量被混合，通过Threat Generation接口发送到网络或者应用。

Pass through 流量也可以是腐败的，进一步测试安全的适应性和正确性
ThreatEx测试环境
ThreatEx硬件机箱由安装在PC上的ThreatEx软件管理。

新威胁的更新通过Internet从思博伦网站上下载。

ThreatEx组成部分
ThreatEx Designer
ThreatEx
Knowledge
Base ThreatEx
Appliance
TDL
ThreatEx Appliance
攻击生成
有问题的数据流
ThreatEx GUI界面
很短时间内创建测试计划
ThreatEx Knowledge Base
基于Web的订阅服务
为用户提供的攻击库
ThreatEx Designer
开发自定义攻击
现有攻击的变种
新的协议
输入/重放
专利的Threat Designer Language ThreatWalker-TCL
持续生成攻击
自动化TCL 回归工具
ThreatEx/2700 Appliance
功能
攻击生成 腐败数据流 Virtual Server（攻击目标） SNMP监控 评估 Pass-thru端口
Traffic Stream （可选的）
Windows Control Console
管理网络
ThreatEx Appliance
测试接口
10/100/1000 Mbps Copper 1000 Mbps Fiber WiFi 802.11a/b/g
攻击生成 故障注入
Virtual Server
DUT
Page 31


ThreatEx GUI
快速并容易地创建和 管理测试 修改测试属性 实时测试统计 测试报告/分析 转换GUI测试到TCL
ClientServer
Page 32


Knowledge Base
攻击数据库每天更新
2000种攻击手法并不断增加
数千个攻击变种
越来越多的复杂攻击
Denial of Service DOS Port Scanning Port Corruption Fragmentation Buffer Overflows Resource Consumption / Starvation Protocol Exploitation Worms & Viruses
新增攻击组：
• 电子邮件病毒组 • WiFi攻击评估组 • 定制的攻击升级
Page 33


ThreatEx Knowledge Base升级
攻击分析小组
安全专业人士 每天更新 立即可得
攻击开发
研究 量化 攻击执行 测试 下载
独立的攻击证明
由System Experts Corp第三方验证
自动的电子邮件更新
Page 34


ThreatEx无线支持
可选的软件/硬件 提供带有无线端口的ThreatEx/2700 appliance
802.11a/b/g 外部天线
可以在无线上使用所有“Standard”攻击手法
无状态的和基于状态的攻击
802.11特殊攻击（2层）
拒绝服务攻击（例如：de-auth flood） 扫描尝试（例如：NetStumbler、Wellenreiter） 恶意使用（例如：Evil Twin networks）
Page 35


无线攻击
攻击目标：
直接攻击access point 单独的Wireless stations 通过access point对Wireless stations进行攻击 General RF traffic flooding
Page 36


无线攻击例子 – 新
拒绝服务攻击：
ACK Flood Authentication Flood Beacon Flood Broadcast Beacon Flood CTS Flood De-authentication Flood De-auth Broadcast Flood Disassociate Flood Disassociate Broadcast Flood EAPOL Logoff Flood EAPOL Start Flood Long Interval Beacon Malformed Authentication Max Duration Probe NULL Flood Probe Request Flood Random Probe Flood Random Time Beacon RTS Flood Spoofed Disassociate
扫描：
NetStumbler Wellenreiter dstumbler NULL Probe Request
恶意使用：
Evil Twin Networks Packet Injection Dis-Assoc then Data
协议测试：
Information Element Fuzzing Packet Size Fuzzing Random Packet Generation
Page 37


协议支持
802.11
802.11a/b/g扩展 固定的和附带的参数 管理帧和数据帧 没有修改的现有的无 线3层以上攻击
802.1x Authentication
EAPOL
ThreatEx Designer
Page 38


电子邮件攻击包 – 新
超过1000种电子邮件攻击和病毒 提供大量的电子邮件特定攻击的 数据库
SMTP携带蠕虫和病毒 可使用原始的攻击电子邮件
UTM 测试 –
Unified Test Management
测试特定电子邮件和内容过滤服 务系统 攻击真实的电子邮件主机和服务
IDS/IDP/ 内容过滤器 UTM 解决方案 电子邮件主机
Page 39


电子邮件攻击例子
普通攻击 BAT.BWG.J BAT.HelOOn. BAT.Ioana BAT.Relix.A BDC.Grifin.Cli BDS.Grifin.Srv Bat.Bomgen Bat.Camile 针对OS的攻击 W95.Hybris.PI W95.Hybris.PI.003 W95.Matrix.SCR W95.PoroChat W95.Silver W98.Hybris.E W2K.Pchat 特洛伊木马 Trojan.Happy99.SKA Trojan.IWorm.Fix2001 Trojan.IWorm.Gift.Anap Trojan.IWorm.Gift.Anap Trojan.IWorm.MP.Virus Trojan.JS.Startpage.C Trojan.Killav-31 Trojan.Newapt.IWorm. Trojan.PSW.Hooker.Based Trojan.PawPaw.1 Trojan.Pinbol.A Trojan.Revelation 蠕虫 Worm.Cowpox Worm.Craytron Worm.Crist.A Worm.Cuerto Worm.Dblue.2 Worm.Delta Worm.Desor Worm.Doday Worm.Doggy Worm.Dracv Worm.Drefir Worm.Drink.1 Worm.Dumaru. Worm.Dumb Worm.Energy Worm.Enviar
Page 40


攻击手法跟踪
我们经常监控新的攻击 Full Disclosure
@stake
Eeye
BugTraq
Security Focus Honey Pots
实时攻击捕获 独立研究
客户需要
Full Disclosure
Eeye
@stake
BugTraq Security
Focus
Honey
Pots
Honey
Pots
Honey
Pots
Honey
Pots
ThreatEx Designer 虚拟协议支持
GUI或者脚本创建
Pcap输入器
制造静态捕获，动态生成攻击
离散的协议属性
XML
Descriptor
Pcap
Importer
Network
Object
Behaviors
Threat(s)
ThreatWalker
Threat Walker GUI
Test and Threat
Attributes
Generate TCL
Regression Test
Threat Knowledge Base
TCL Templates
自动生成TCL
无需编程
提供TCL 模板 将攻击分组
设置测试& 攻击属性 持续执行攻击手法
回归测试
大大提高效率 大大减少代码编写
新的ThreatWalker 向导
使用ThreatWalker 向导的
Quickly Setup 进行全面测试–TCL 脚本将自动生成 保存脚本或立即运行
执行测试！
12
3
4
5
高级评估
测试前后的评估
Port Scan、Ping、ARP、DHCP服务评估显示被测设
备测试前后的状态
增强的报告
查看哪个特定攻击正在躲避安全检查测量
详尽的统计
对被测设备或网络测试的实时信息
将统计整合到Avalanche
Analyzer中–很快将支持！
评估报告
服务评估信息
在测试运行前后扫描
可用的服务
改进的pass/fail统计 哪些攻击通过
攻击名
攻击数据包数
多少攻击到另外一端
ThreatEx的特点
关键因素
Knowledge base –攻击手法升级
WiFi支持–业内第一个支持！
高级设备评估和报告
ThreatEx Designer –制造任何攻击–任何协议
与Avalanche协同工作，完整的基础架构评估
性能–每秒钟数十万攻击
完整的自动化支持-TCL
ThreatEx是唯一的、全面的安全测试解决方案
谢谢!。