（通信与信息系统专业论文）网络测试技术研究及实现.pdf

摘要 摘要 随着通信网络从传统电路交换方式向以i p 为核心的网络架构演进，以 及宽带业务的迅速发展，对于i p 网络的测试方法研究及实现越发迫切。无 论通信设备生产厂家还是电信运营商对于v o i p ( v o i c eo v e ri p 基于i p 网 络的语音) 的测试研究也随之成为其关注重点。测试已不仅仅是简单的信 令呼叫、底层端口流量的测试，而是呈现出信令呼叫与语音数据相结合的 趋势。同时由于i p 网络的开放性，网络攻击的危害范围和危害程度也越来 越大，破坏性和损失的严重性有时简直无法估计，比如网络上常见的d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e 分布式拒绝服务) 攻击，使国内许多网站 及网络系统在黑客攻击下瘫痪，因此，网络安全已经成为业内研究的重点。 本文围绕网络测试仪的研发工作，在对时延，抖动，带宽及丢包率等 性能参数和网络安全特性作了分析研究的基础上，对网络测试仪的设计开 发及实现作了详细描述。所设计的网络测试仪可独立供设备维护人员作为 便携测试仪器使用，也可作为电信级的大型网上在线测试系统配套电信设 备测试使用。对于电信级的设备测试，测试仪稳定性、防护性、健壮性是 必须要考虑的重要因素，文中主要就q o s ( q u a l i t yo f s e r v i c e 服务质量) 等一系列测试功能的实现，同时针对i p 网络性能测试，提供了v o i p 测试 的解决方案，对网络安全攻击原理作了基本分析，供运用于安全测试领域 的软件编程参考。本文还特别对于支撑测试仪单板的带电拔插缓启动电 路、e m c ( e l e c t r o m a g n e t i cc o m p a t i b i l i t y 电磁兼容) 等技术作了深入研究。 关键词：网络测试技术，测试仪器设计，缓启动电路 重庆邮电大学硕士论文 a b s t r a c t w i t ht h ee v o l u t i o no fc i r c u i ts w i t c h i n gt oi p - o r i e n t e dn e t w o r ka n dt h e r a p i dd e v e l o p m e n to fw i d e b a n ds e r v i c e ，i ti sh i g h l yd e m a n d e df o rr e s e a r c ho n i pn e t w o r kt e s t i n ga n di m p l e m e n t a t i o n m e a n w h i l e ，v o l pt e s t i n gi st h ek e yf o r b o t ht e l e c o m m u n i c a t i o nm a n u f a c t u r e r sa n dn e t w o r kc a r r i e r s a t t e n t i o ni sn o t o n l yp a i dt ot h es i n g l es i g n a l i n gc a l la n dl o wl a y e rc a p a c i t yt e s t i n gb u ta l s ot o t h ec o m b i n a t i o no fc a l la n dd a t a d u et ot h eo p e n i n go fi pn e t w o r k ，n e t w o r k s e c u r i t yh a sb e c o m et h ef o c u so fr e s e a r c ha n dd e v e l o p m e n ti nt h er e l a t e d f i e l d s a tt h es a m et i m e ，t h e o u t s p r e a do fn e t w o r ki n t r u d i n gi s o u to f e s t i m a t i o n m a n yw e b s i t e sa sw e l la sn e t w o r ks y s t e m sa r ed i s a b l e dd u et o h a c k e r s a t t a c k i n gb yd d o sw h i c hu s u a l l ya p p e a r si nn e t w o r k t h er e s e a r c h o nn e t w o r kt e s t i n gt e c h n i q u ep l a c e sa ni m p o r t a n tr o l ei nn e t w o r ks e c u r i t ya n d t h es e c u r i t yl e v e l t h i sp a p e ri sf o c u s e do nv o i pa n dr e s e a r c ho nn e t w o r ks e c u r i t yt e s t i n g i n s t r u m e n t ，i nw h i c hv o i pt e s t i n gp e r f o r m a n c ep a r a m e t e r sa n ds e c u r i t y c h a r a c t e r i s t i ca r ea n a l y z e d t h ep a p e rg i v e sad e t a i l e di n t r o d u c t i o nt ot h e d e s i g n i n g ，d e v e l o p m e n ta n di m p l e m e n t a t i o no ft h en e t w o r kt e s t i n gi n s t r u m e n t t h ei n s t r u m e n ti sp o r t a b l ef o ri n d e p e n d e n tt e s t i n gb ye q u i p m e n tm a i n t e n a n c e o p e r a t o r sa sw e l la sv a r i o u st e l e c o m m u n i c a t i o ne q u i p m e n tt e s t i n gi no n l i n e t e s t i n gs y s t e m t h e r e f o r e ，t h es t a b i l i t y , d e f e n d i n ga n dt h er o b u s to ft h e i n s t r u m e n ta r ek e yi s s u e st ob ea d d r e s s e d a d d i t i o n a l l y , t h ep a p e rg i v e sad e e p a n a l y s i so ft h es l o ws t a r t u pc i r c u i to ft h ev e n e e rs u p p o r t i n gp o w e r o np u l l i n g a n dp u s h i n g t h ef i r s tp a r to ft h ep a p e rg i v e st h ed e s i g no ft h el a r g ev o l u m e v o l pv o i c et e s t i n gi n s t r u m e n t ，w h i c hc o m b i n e ss i g n a l i n gc a l la n dd a t a ，a n d r e a l i z e st h er e l a t e ds i g n a l i n gt e s t i n g ，v o i c ec o d e c ，s i g n a lo fv o i c eq u a l i t y a n a l y s i sa n dq o st e s t i n g f o ri pp e r f o r m a n c et e s t i n g ，s o l u t i o no fv o l pt e s t i n g i sa l s op u tf o r w a r d i na d d i t i o n ，t h ea u t h o rg i v e sab r i e f d e s c r i p t i o no fn e t w o r k s e c u r i t yt e s t i n g ，w h i c ha i m st og i v ear e f e r e n c et os o f t w a r ep r o g r a md e s i g n i n g i nt h er e l a t e d f i e l d f i n a l l y , s l o ws t a r t u pc i r c u i t ，e m ca p p l i e d i n t e l e c o m m u n i c a t i o nt e s t i n ga r ea n a l y z e d i i 摘要 k e yw o r d s ：n e t w o r kt e s t i n gt e c h n o l o g y , d e s i g n i n go ft e s t i n gi n s t r u m e n t ， s l o ws t a r t u pc i r c u i t i l l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论 文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重庆 邮立太堂 或其他教育机构的学位或证书而使用过的材料。与我一i m i 作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签名：冀角戈公 签字日期：山。7 年善月z 日 学位论文版权使用授权书 本学位论文作者完全了解重庆鲣电太堂有关保留、使用学位论 文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权重庆邮电太堂可以将学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等 复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名；冀南 导师签名：别国 签字日期： a 7 年月2 日签字日期：j 叭7 - 年石月2 日 1 1 第一章绪论 i 1 研究背景 第一章绪论 1 0 0 多年来，电话业务和电路交换始终是电信业的主流。2 0 世纪后期 程控交换和i s d n ( i n t e g r a t e ds e r v i c e sd i g i t a ln e t w o r k ，简称i s d n ) 的出现 及普及标志着电路交换技术的成熟和传统电信网络发展的高峰。随着计算 机和宽带网络技术日新月异的发展，以多媒体通信为主体的信息网己成为 世界关注的热点。尤其是因特网( i n t e r n e t ) 的巨大成功，己使1 p 成为未来信 息网络的支柱技术，以l p 为核心的分组网络和以移动通信为核心的无线网 络已成为电信网络演进的主流方向【i ，2j 。 i p 电话泛指在以i p 为网络层协议的计算机网络中进行话音通信的系 统，它采用的技术统称为v o l p ( v o i c eo v e r i p ，简称v o l p ) ，即在i p 上传送 话音【3 】。i p 电话有许多独特的应用优势，主要表现为价格低廉、灵活的增 值业务、有利于企业建立高效综合服务内部网、有利于运营商开拓新市场、 有助于和新技术的融合，促进网络技术的发展，v o i p 技术的不断成熟，使 1 p 电话的应用越来越普及。但i p 电话相比传统p s t n 电话，其话音质量 有明显不足，如何测试评估l p 电话网络的好坏，这是网络测试技术的重点 课题。 在封闭环境下，传统p s t n 信令系统和语音系统也许还比较安全，但是 以v o l p 为代表的新型通信系统打通了电信网与计算机网络之间的连接后， 通信系统还能经受得住来自计算机网络的强力攻击吗”】? 现在越来越多的 部门将自己的关键业务置于网络之上，并取得了卓越的成绩，也就是说， 网络已经成为各部门制胜的必由之路。然而，事事都有两面性，高度发达 的网络也滋养了越来越多的网络黑客( 或者称之为网络盗贼) ，他们一般 以企业为目标，通过网络肆意侵入企业的计算机，盗取重要资料，或者破 坏企业网络，使其陷入瘫痪，给企业造成巨大的损失。现在社会的竞争越 来越激烈，竞争对手通过网络非法访问内部信息的事件也已经屡见不鲜 了。随着网络技术的发展，网络安全日益成为网络发展的安全因素1 5 】。 电磁兼容性( e m c ) 是指设备或系统在其电磁环境中符合要求运行并 不对其环境中的任何设备产生无法忍受的电磁干扰的能力。因此，e m c 包 重庆邮电大学硕士论文 括两个方面的要求：一方面是指设备在正常运行过程中对所在环境产生的 电磁干扰不能超过一定的限值；另一方面是指器具对所在环境中存在的电 磁干扰具有一定程度的抗扰度，即电磁敏感性。相比而言，电信级环境对 测试仪器如何有效防止环境影响提出了更高要求。如何防止雷电、支撑测 试单板热插拔、抗击各种电磁干扰等这都是面向电信级网络测试仪器必须 解决的问题。 1 2 网络测试仪研究现状及需求应用 目前市场上的网络测试仪表主要由美国和欧洲的国外厂商所垄断，如 美国的s p i r e n t 测试仪器公司、美国s u n r i s e 公司、美国 x i a 测试仪器公 司，加拿大c o b r a 测试仪器公司等。国外测试仪器不但价格昂贵，而且不 能及时满足客户需求，特别是针对更新快的网络安全攻击性测试和适合我 国自有通信设备的系统测试仪等。而对于既要满足通信信令测试，又要满 足网络安全测试的电信级网络测试仪就更难寻觅。 研究及开发集上述特征于一身的网络测试仪就越显迫切，它既便于网 络维护人员测试并提前评估网络状态，以便及时进行网络日常维护。又能 对运行中的网络进行参数模拟、采集和数据分析，以找出影响网络质量的 关键原因，并对应采取改进措施使网络达到最佳运行状态，保证网络资源 获得最佳效益。目前的网络测试维护有两种，一是从电信系统级的集中测 试系统获得运行参数，二是通过便携专用测量仪表进行获取。本文将对此 进行分析研究。 i 3 本文的组织结构 通过围绕介绍开发网络测试仪的实际研发工作，本文对网络测试仪涉 及的v o l p 模块、网络安全模块进行了原理分析及给出具体网络测试仪电 路实现，并对涉及其中的缓启动电路给予深入分析。本文对相关通信设备 测试仪的开发及理论分析提供了很好的指导和借鉴。文章的具体章节安排 如下： 第一章，绪论。介绍了课题的研究背景和现状，以及论文的主要研究 方向。， 第二章，v o i p 性能参数分析及测试模型研究。介绍了v o i p 的几个性 能参数以及种测试实现模型。该模型主要基于两种测试模式：呼叫的管 2 第一章绪论 理方式测试和呼叫的处理测试，本章是第四章的重要实现依据。 第三章，网络安全相关分析。概要分析了基于t c p 相关的网络安全原 理，并给出了一种具体攻击分析，为网络安全相关应用测试软件模块作出 铺垫。 第四章，网络测试仪总体结构及关键电路设计。详细分析网络测试仪 的主要结构和关键电路，并介绍了测试仪器开发、生产流程，旨在对网络 测试仪给出一个详细完整的开发描述，业务测试上特别给出语音测试业务 模块的流程分析。 第五章，网络测试仪缓启动电路设计。本章分析了缓启动概念，理论 计算，实际应用，并详细给出实际电路单元和相关实验数据，为仪表的可 靠性应用打下坚实基础。 第六章，总结与展望。根据对已完成研究工作的总结思考及在实践中 出现的问题，探讨下一步研究方向。 附录，提供网络测试仪接口信号定义及本论文英文缩略语说明。 重庆邮电大学硕士论文 第二章v o l p 性能参数分析及测试模型研究 2 1 引言 v o i p 应用越来越普及，常见v o l p 测试模型关键应用包括：测试v o l p 网 关、v o i pp b x ( p r i v a t e b r a n c he x c h a n g e用户级交换机) 、网守控制器 ( g a t e k e e p e r ) 、代理服务器、媒体网关控制器、软交换机和其它网间网关和 w a n 设备、v o l p 会议电话测试。确定开发容量、功能、性能、互操作性 和特性。测试传统电信网络与新型基于包的网络之间的接口。证明呼叫计 账( c a l la c c o u n t i n g ) 、语音消息和会议服务器的功能和容量。 本章论述的v o i p 测试模型提供了用于生成和终结v o l p 信令和传输流 的以太网端口。在执行呼叫生成时，测试模块可发挥模拟v o l p 大量网络 用户或网络的作用，生成呼叫信令、语音流及背景数据流，实现向被测系统 提供呼叫信令和或语音流、传输流以及语音质量测试。测试模块硬件要支 持提供会议电话测试、语音识别、i p 网络模拟等功能【6 ”1 。 目前基于电路交换的电信网络正向基于分组交换的i p 网络演进。软交 换技术，下一代网络( n g n ) 以及在n g n 的框架下，同时支持固定接入 和移动接入的1 m s ( i pm u t i m e d i as u b s y s t e mi p 多媒体业务的子系统) ， 都以i p 为核心展开的业务，同时在相当长的一段时间内，语音仍然将是电 信的核心业务，而研究基于i p 网络的语音测试参数研究及模型实现，正是 在此背景下进行的积极探索。 2 2v o l p 常见性能参数 一般v o l p 测试模型应具备如下特性1 2 - s 】： 相关物理特性。应有多个标准的以太网口，每个网口具备 l i n k a c t i v e 和s p e e d 指示灯显示； v o l p 主要测试指标特性。利用p e s q 执行对每个呼叫的语音质量测 试；能发送和接收信号音、语音、检测和转发d t m f 信号音；能对测试指 定的具体话音进行模拟i p 网络损伤，包括时延、抖动、乱序、丢包等测试； 每个测试模型上生成和结束多路v o i p 的同时呼叫；生成对媒体网关控制 4 第二章v o i p 性能参数分析及测试模型研究 器、网关或转交换机的呼叫建立。验证在呼叫持续时间内语音路径是否建 立和保持。测量延时、呼叫建立时间、丢失包、乱序包、抖动、b h c a 和 呼叫完成。提供测试报文时间标签； v o l p 协议测试特性。应具备用s i p ( s e s s i o ni n i t i a t i o np r o t o c o l 会 话启动协议) 、m g c p ( m e d i a g a t w a y c o n t r o lp r o t o c o l 媒体网关控制协议) 、 h3 2 3 或m g a c o ( m e d i ag a t w a yc o n t r o l 媒体网关控制) 协议产生v o l p 呼叫测试功能；提供i p 网络的二三层线速流量测试； 具备可扩充二次测试开发平台特性。支持多路v o i p 灵活的呼叫排 序测试：基于产品测试需要，可灵活定制协议；支持t c l 脚本自动测试， 自动与连续地采集测试结果； 完善的测试报告结果。模型应产生详细的呼叫错误报告，包括不成 功的顺序或信息。并且用表格和图形显示结果；为验证或分析监听任意通 道；利用信息类型或信息报头过滤所显示的协议信息。 2 3v o l p 测试性能参数分析 2 3 1 时延 时延是指数据从源端到终端所需要的时间，对于交互式语音通信系 统，增加时延会让通话双方感觉发话者说话迟疑，也会造成回音，因此对 于v o l p 系统，时延一般控制在l5 0 m s 内。在v o l p 系统中，时延一般为如 下构成 3 9 , 4 0 i ： 分组封装及发送时延，分组封装时延主要由两部分组成，第一部分 是语音编解码的a d 及d a 变换，主要由设备硬件完成，该时延较小，第 二部分是由r t p 分组所封装的语音数据字节数所决定：分组笈送时延是指 将分组数据串行发送物理链路所需要时间，由分组数据长度以及链路传输 速率决定； 传播时延，是指v o l p 信号经过物理载体( 铜线或光纤等) ，由物理 载体的长度带来的延迟； 排队及转发时延，指分组数据在i p 网络节点( 交换机或路由器等) 排队以及从一端口向另一端口转发所带来的时延，这是总的传输延迟重要 构成部分。 重庆邮电大学硕士论文 2 3 2 抖动 和传统的p s t n 网络不同，p s t n 是以固定速率( 6 4 k b i t s s ) 进行数 据传输，而1 p 数据包之间由于选择的路由不同，而不同路由问存在不同的 时延等因素，导致同一v o l p 的数据包之间会又不同的时延，由此产生了 抖动。在v o l p 中，如同时延一样是不能完全消除的，只能控制在一定范 围内，一般可通过设备中的缓冲来解决，该v o l p 性能指标是必测项。 2 3 3 带宽 v o l p 的带宽一般由语音编码格式及r t p 包分组长度决定，带宽不足 会严重影响通话质量。一般语音计算公式为：带宽= 分组速率x 分组包长 x 呼叫数8 2 3 4 丢包率 丢包率是影响v o l p 质量的主要指标，丢包因素很多，主要原因是节 点排队队列v o l p 包溢出，为了减少丢包率，增大节点的缓冲器深度以及 预留v o l p 包专用存储设备是减少丢包率的重要手段之一，而测试x o l p 设 备缓冲器深度是衡量v o l p 系统质量的主要指标之一。 6 第二章v o l p 性能参数分析及测试模型研究 2 4v o l p 性能参数实现研究 2 4 1v o l p 测试实现模型分析 网线 1 信令测试数据 图2 1v o l p 测试模型前台和后台框图 为实现测试前节分析得v o l p 性能参数如：时延、抖动、带宽、丢包 率等，就需要实现v o l p 的信令流和语音流，为此设计了一种实现v o l p 测 试模型。该测试模型主要有2 部分( 图2 1 ) ：第一部分即v o i p 测试前台 模型，主要实现语音包及i p 测试报文生成：第二部分即前台相连接的p c 机后台，p c 机除实现对第一部分控制外，还实现大流量信令测试。 重庆邮电大学硕士论文 2 4 2v o l p 测试模型前台硬件设计分析 图2 2v o l p 测试前台模型及总线分布框图 u t o p i a 总线 c p u 总线 p c i 总线 由于测试后台是p c 机，本文不用多述。这里重点分析第一部分前台 模型。图2 2 所示，各单元的功能分别是：线路接口单元，该单元支持 不同业务接口扣板，如f e 、g e 、p o s 等款式扣板。常用的线路接口单元 板提供8 f e 接口扣板通讯的标准接口u t o p i a ，通过总线转换单元的逻辑设 置更换也可变为p o s p h y 3 或i x b u s 接口，以此可支持更高速率线路接口 单元。通过本单元，可完成数据发送到接口板和从接口板接收数据的功能， 同时提供对内自环和对外环回( 交换) 的功能。开发的接口逻辑包括接收 方向的语音通道识别、接收包解包处理，发送方向的f i f o 缓冲，还有p c i 接口功能、时钟模块、语音损伤等； 测试报文构造单元，该单元硬件主要由逻辑构成。该单元分发送和 接收模块。发送模块应可根据用户终端设置产生不同类型数据，并组装成 相应格式的信元或包，发送到总线转换单元并通过线路接口单元发送到被 测设备；同时发送模块还根据需要产生错误的数据、丢失数据或插入数据， 并对发送的数据进行统计。接收分析模块从总线转换单元接口接收数据， 8 第二章v o i p 性能参数分析及测试模型研究 按相应的格式解析出包，对数据的正确性进行验证，并统计不同种类的数 据的数目，并对包的延时进行统计； d s p 处理单元主要应用于v o i p 的语音编解码( 根据g 7 1 1 g 7 2 3 协 议 3 3 - 3 8 1 等) 。该单元提供基于i p 语音包的软硬件解决方案，可以灵活支持 高密度的v o i p 等业务，实现语音压缩、回波抵消、静音抑制、提供d t m f 单音测试等功能，完成m g c p 协议，从而支持v o l p 、f o l p 、k j o l p 等测试 技术应用： 小系统单元提供c p u 、调试网络接口、电源以及时钟模块。调试网 络接口提供和测试后台p c 机的通讯，实现和p c 机组合进行 v o l p 系统测 试，提高测试系统硬件稳定性。电源模块为本板和c p u 、接口板单元等提 供各自需要的电源。时钟模块提供本测试模型工作的1 0 0 m 等主要时钟源。 2 4 3v o l p 测试模型协议处理研究 h 3 2 3 ，s i ph 2 4 8 ，m g c p( 后台p c 机实现部分) l g 7 1 1 g 7 2 3 l ( 。s p 单元实现部j 盯r t c pl ( 小系统单元实现部分 t c p u d pu d p i p 层 物理层和m a c 层 图2 3v o i p 测试模型软件协议分布处理逻辑框图 v o l p 测试模型协议处理见图2 3 所示分布。其中h 2 4 8 m g c p 为v o l p 重庆邮电大学硕士论文 设备内部协议，h 3 2 3 s i p 为v o l p 网络信令协议，这两个协议由p c 机后 台协议测试模型实现；s c t p t c p u d p 是传输层协议，在小系统中的c p u 软件中实现；g 7 1 1 g 7 2 3 为语音编解码协议，p e s q 为语音质量测试协议， 这两个协议在d s p 单元中实现；r t p 、l i t c p 分别是实时传输协议和实时 传输控制协议，通常用于在i p 包上承载语音数据，r t p r t c p 用u d p 承 载，这由c p u 软件完成；i p 层及m a c 层由线路接1 ：3 单元中的逻辑实现1 4 “。 v o l p 测试通过p c 机后台h 2 4 8 m g c p s i p ，h 3 2 3 建立信令连接开始 发起测试，然后再通过v o l p 测试前台模型部分的p e s q 等协议发起语音测 试，从而完成v o l p 测试： 2 4 4v o l p 性能参数测试实现流程分析 首先，v o l p 测试模型的初始化配置和数据设置、状态统计信息的读取 都是通过小系统单元c p u 总线来完成的。c p u 还通过调试网络接口芯片， 用网线完成与后台p c 机的终端用户通讯。测试模型系统信号流见下图， 通过小系统将v o l p 测试数据区分为语音和信令两部分测试数据流。语音 由d s p 处理，信令由后台p c 机完成处理。 图2 4v b i p 测试模型测试信号流向图 0 第二章v o l p 性能参数分析及测试模型研究 实现v o l p 的性能参数，如测试带宽、丢包率，只需要后台向前台下 达测试指令，从前台测试报文构造单元发起大量测试报文，线路接口单元 至少提供2 个测试端口，让测试流经测试设备后形成闭环。测试报文构造 单元在发送特定报文时开始计数，同样从环回另一端口收到数据后开始统 计接收数据。测试带宽参数时测试数据流量从低到高进行递增一直到接收 数据报和发送数据报不一致时为止，此时的测试数据流量即为所测试设备 带宽：而测试丢包率时，测试报文流量固定，不作改变，需要关注之处在 于长时间测试过后对于接收和发送数据包的统计，两者之差除以总包数即 丢包率的实现。 时延、抖动v o l p 的参数测试需要先通过后台发送的信令流与被测试 设备进行呼叫建立，然后在d s p 单元按照要求的压缩方式( g 7 1 l 等) 构 成带有时间标记的测试语音包，测试语音包经过被测设备环回返回后，即 可由接收到包时间减去测试语音包的时间标记得到时延参数。而抖动参数 可由建立不同路由测试出的时延计算而出【9 1 。 2 5 本章小结 本章介绍了v o i p 的几个性能参数以及一种测试实现模型。该模型主 要基于两种测试模式：一是呼叫的管理方式测试，即根据需要完成p s t n 和分组交换网之间双向的信令转换，也就是进行信令流测试即在后台p c 机对信令测试数据流进行处理；二是呼叫的处理测试，即要将p s t n 的语 音信号按照在分组交换网中传输所需要的格式打包，用于完成双向的信息 传输测试，即媒体流测试，也就是在d s p 上完成对语音测试数据流：上述 两者关系是先接收地址的信息，确认其有效性( 如空闲、忙、已注销、未 开通等) 后，选择合适的路由进行信令传递用于呼叫建立。一旦呼叫建立， 再将打包后的语音信号传递至指定地址。v o l p 的主要特性参数按照本测试 模型进行语音和信令测试流的组合操作均可以实现。 重庆邮电大学硕士论文 3 1 引言 第三章网络安全相关分析 通信网络发展趋势应为开放化、移动化、宽带化、i p 化，而随之带来 的网络安全研究在通信领域也越加重要。本章主要分析网络安全涉及相关 协议，可作为本论文网络测试仪实现的软件功能模块之一来独立使用。 t c p i p 是互联网的基础协议，本章对i d s 作了概要介绍，通过对此款常见 网络安全概念的分析，反向给出鼹络安全需要作重铡试之处，同时本章对 t c p 基本结构作了概要分析，并以此为基础重点分析研究t c ps y n 洪水 ( 类别：拒绝服务) 攻击技术，为网络测试仪的软件实现作了技术原理研 究【1 1 1 。 3 2 入侵检测系统 入侵检测是指对入侵行为的发觉。它通过从计算机网络或计算机系统 的关键点收集信息并进行分析。从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象。入侵检测对系统的运行状态进行监视，发现各 种攻击企图、攻击行为或者攻击结果，以保迁系统资源的机密性、完整性 和可用性。进行入侵检测的软件与硬件的组合便是入侵检测系统i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 【12 1 。 入侵检测的功能是：监控网络和系统、发现入侵企图或异常现象、实 时报警和主动响应等。目前，流行的网络安全产品繁多，入侵检测产品仅 仅是其中的一种，但是，却是不可缺少的。 3 2 1 入侵检测系统的结构 在使用协议分析技术对收集到的网络数据包进行信息分析的过程中， 对常见的一些入侵攻击类型进行检测，如：与h t t p 、t c p 和i c m p 相关 的一些典型入侵攻击，都可以进行较好分析及处理。 第三章网络安全相关分析 图3 1 入侵检测系统的研究内容 本系统研究的与h t t p 相关的典型入侵攻击是：基于h e x 编码和多 次h e x 编码的u r l 地址欺骗：与t c p 相关的典型入侵攻击是：t c ps y n 扫描、t c ps y n 洪水攻击；与i c m p 相关的典型入侵攻击是：诱骗p i n g 扫描、直接p i n g 扫描、s m u r f 攻击和诱骗端口扫描【1 3 1 。 3 3 与t c p 相关的端口扫描的检测 t c p ( t r a n s m i s s i o nc o n t r o lp r o t o c o l ，即传输控制协议) 是t c p i p 模 型结构的第三层( 传输层) 上的一种协议，在该层上与之相对的另一种协 议是u d p ( u s e rd a t a g r a mp r o t o c o l ，即用户数据报协议) 。传输控制协议 t c p 定义了面向连接的可靠数据流服务，它使用三次握手( t h r e e w a y h a n d s h a k e ) 来建立连接。一些黑客( h a c k e r ) 就是发现了在t c p 传输控 制协议的“三次握手协议”中有机可趁后，才进行了诸如“t c ps y n 端 口扫描”和“t c ps y n 洪水攻击”等活动的叫”。 3 3 1t c p 报文的封装 t c p 报文鼬咐蓑 图3 2t c p 报文段的封装图 重庆邮电大学硕士论文 互联网中，在传输层上传送的网络信息称为t c p 报文段。两台机器之 间t c p 报文段的传送过程实际上是一个逐层封装再逐层解封的过程。当网 卡被设置为混杂模式时，网卡可接收广播段中的所有信息，不管目的m a c 地址是否与该接收机的m a c 地址相同。这个时候，在以太网中，通过网 络监听得到的网络数据包的格式是以太网帧，即我们在入侵检测系统中分 析的对象。因此，这个t c p 报文封装过程对于与t c p 相关的入侵检测来 说是至关重要的。 首先，t c p 报文段( 由t c p 首部和t c p 数据组成) 整个被封装在i p 数据报的数据区中：然后再加上i p 数据报首部，这样，i p 数据报的数据 区和i p 数据报首部就组成了互联网层( i p 层) 传送的i p 数据报；最后， i p 数据报被封装在物理帧的帧数据区中，随后，加上帧首部和c r c 就组 成了以太网中传送的物理帧【3 ，4 】。 3 3 2t c p 报文段的格式介绍 04i 01 6 2 4 3 l 源端口目的端口 序号 融愕 首涨度 保冒末用 鸸础情窗口 校验和 紧急 甜 选项( 若葡填充 数据 图3 3t c p 报文段的格式图 t c p 报文段的标准格式中有很多字段，在此，主要对t c p 头部的一些 重要字段进行解析【5 6 】。 源端口一一分配给发起连接的主机的虚连接端口号，该号通常是随 机分配的。 目的端口一一由发起连接的主机分配的想连接的目的机的端口号， 该号通常是保留的端口号，对应具体的连接类型。例如，如果您打开到特 定主机的w w w 连接，则目的端口将被设置为8 0 ( 8 0 端口是保留的用 于w w w 服务的t c p 端口) 。 序列号和确认号一一发送方和接收方使用这两个号以确保包没有 4 第三章网络安全相关分析 丢失、没有重复以及可以在目的地节点以正确顺序重新组装。 码元比特一一这个字段共包含六个位( 比特位置“1 ”表示某种控 制关系) ，它们是t c p 报文段的第1 4 字节的后六位，分别为：u r g 位、 a c k 位、p s h 位、r s t 位、s y n 位和f i n 位。1 ) u r g 位置“l ”一一向接 收方表明一旦接收完数据就进行紧急处理；2 ) a c k 位置“1 ”一一表明确 认号字段是有意义的：3 ) p s h 位置“1 ”一一表明必须迅速地将数据传递到 接收方；4 ) r s t 位置“1 ”一一表明要立即复位连接；5 ) s y n 位置“1 ”一 一在需要同步序列号的情况下设置；6 ) f i n 位置“l ”一一表明不会再有来 自发送方的数据了( 也就是说，连接将要关闭) 。 根据t c p 数据报的封装规则可知，在网卡处监听到的这类网络数据包 的第3 5 字节起的两个字节存放的是“源端口”；第3 7 字节起的两个字节 存放的是“目的端口”；第4 8 字节的后六个位存放的是“码元比特”，也 就是说，第4 8 字节的第3 位标识u r g 位，第4 8 字节的第4 位标识a c k 位，第4 8 字节的第5 位标识p s h 位，第4 8 字节的第6 位标识r s t 位， 第4 8 字节的第7 位标识s y n 位，第4 8 字节的第8 位标识f i n 位。 3 3 3t c p 的“三次握手”协议 不a 下图是一个通过三次握手成功地在主机a 和主机b 之间建立连接的图 主机 惰* _ 撇文 主机b 群 发若s y n ( 锄= i ) 撸s 附 c l 报姆 发送 c l ( 1 y + l l 撇洲 救目 糕洲l f n a ( 叶” 触艇 殴目 图3 4 三次握手协议图 在“三次握手”协议中，网络报文的第一个报文段的码元比特字段的 s y n 位置“1 ”，表明主机a 向主机b 发出t c p 连接请求。第二个报文段 的码元比特字段的s y n 位和a c k 位均置为“l ”，指出这是对第一个s y n 报文段的确认并继续握手操作。第三个报文段的码元比特字段的a c k 位 置“1 ”，表示一个确认信息，通知主机b 已成功建立了主机a 和主机b 双方均同意的t c p 连接。 重庆邮电大学硕士论文 由于t c p 使用了捎带技术，对于由主机a 发送到主机b 的确认信息， 尽管它是对从主机b 送到主机a 的数据进行确认，但可以放在从主机a 到主机b 的数据中传出去。因此，每个报文段包括了序号字段和确认字段。 这使得两台机器仅仅使用三个握手报文就能协商好各自的数据流序号。发 起握手的主机a 把自己的初始序号x ，放到三次握手协议的第个网络报 文即s y n 报文段中，送到主机b 。主机b 收到这个s y n 报文段后，记下 相应的序号值x ，在随后的第二次握手的网络报文中，把自己的初始序号 值y 放到对主机a 的确认报文的序号字段里( s e q = y ) ，同时表明主机b 等待接收第x + l 号八位组( a c k = x + 1 ) 。在第三次握手报文中，主机a 知道了要从第y 号八位组起接收主机b 的数据流。在所有情况下，确认的 含义都是希望收到下一个八位组的编号i 卜1 1 】。 3 3 4t c p 连接的建立和关闭 连接建立：t c p 连接的建立由要建立连接的客户机和与该客户机联 系的服务器通过三次握手过程实现。要建立连接，您需要有一个在特定端 口提供服务的服务器；例如，在“2 3 ”号端口侦听的t e l n e t 服务。当客 户机想要打开与服务器的连接时，首先向服务器发送一个连接请求，这意 味着向服务器发送一个设置了s y n 标志( t c p 报文段的码元比特字段的 s y n 位置“l ”) 的t c p 报文段；服务器以设置了s y n 和a c k 标志( t c p 报文段的码元比特字段的s y n 和a c k 位均置“l ”) 的t c p 报文段应答； 最后，客户机通过向服务器发送设置了a c k 标志( t c p 报文段的码元比 特字段的a c k 位置“l ”) 的t c p 报文段进行确认。这样，客户机和服务 器之间的连接就建立起来了【l ”。 连接关闭：在发送完所有数据之后，通信双方中的一方想要关闭连 接。假设是客户机要终止连接( 由客户机到服务器方向上的单向连接) 。 它将通过向服务器发送设置了f i n 标志( t c p 报文段的码元比特字段的 f i n 位置“1 ”) 的t c p 报文段来完成该操作。服务器将通过返回设置了 a c k 标志( t c p 报文段的码元比特字段的a c k 位置“l ”) 的t c p 报文 段进行确认。从此刻起，客户机将不再向服务器发送任何数据，仅以空段 确认由服务器发送来的数据。然后，当服务器关闭客户机流( 关闭由服务 器到客户机方向上的单向连接) 时，整个连接关闭( 由客户机到服务器和 由服务器到客户机这两个方向上的连接均关闭) 【1 8 1 9 1 。 6 第三章网络安全相关分析 3 4 “t c ps y n 洪水”攻击研究 攻击描述 按照三次握手协议，当源端主机r 想建立到目的端主机d 的t c p 连 接时，它首先发送设置了s y n 标志的t c p 报文段( 三次握手过程中的 第一次握手报文) 。当接收这个t c p 报文段时，若目的端主机d 的被连接 端口打开，则目的端主机d 返回设置了s y n 和a c k 标志的t c p 报文 段( 三次握手过程中的第二次握手报文) 。但同时，主机d 将这个部分打 开的连接( 半开放连接) 放到挂起连接队列中。在等待连接的发起方( 源 端主机r ) 的确认( a c k 标志的t c p 报文段，也就是三次握手过程中的 第三次握手报文) 时，这个连接保持挂起状态【2 0 埘】。 目的端主机d 在特定的超时周期内等待确认的到来，通常根据中断的 i p 实现从7 5 秒到2 5 分钟不等。因为挂起连接队列大小有限，攻击者只 要每十秒钟左右发送几个这种半开放连接，就很容易将该挂起连接队列填 满i 2 3 - 2 5 】。这样，在接收新的设置了s y n 标志的t c p 报文段( t c p 连接 请求) 之前，被攻击的系统无法清除积压队列，因此也就无法响应任何其 它请求。这种攻击方法是一种非常严重的拒绝服务攻击方式( d o s 攻击方 式) 。 这种属于d o s 攻击类型的“t c ps y n 洪水攻击”通过i p 欺骗可以很 容易地实现。也就是说，源端主机r ( 攻击者) 发送一个设置了s y n 标 志的t c p 报文段( 三次握手过程中的第一次握手报文) ，同时，攻击者通 过处理使封装这个t c p 个报文段的i p 数据报的源端i p 地址不使用源端主 机r 的真实i p 地址，而是使用一个冒用的i p 地址。这样，目的端主机d ( 被攻击者) 收到这个设置了s y n 标志的t c p 报文段后，印发出设置了 s y n 和a c k 标志的t c p 报文段( 三次握手过程中的第二次握手报文) 。 由于攻击者使用了冒用的i p 地址，这样，就要求这个被冒用的i p 地址端 发出三次握手过程中的第三次握手报文来回应，当然这个被冒用的i p 地址 端是不会进行回应的，因而最终就