DDoS流量清洗设备测试方案

1、DDoS流量清洗设备测试方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc40387703 1测试组网 PAGEREF _Toc40387703 h 3 HYPERLINK l _Toc40387704 2基础功能测试 PAGEREF _Toc40387704 h 4 HYPERLINK l _Toc40387705 2.1网络层攻击防御功能测试 PAGEREF _Toc40387705 h 4 HYPERLINK l _Toc40387706 2.1.1SYN Flood攻击防御功能测试 PAGEREF _Toc40387706 h 4 HYPERLINK l _T

2、oc40387707 2.1.2UDP Flood攻击防御功能测试 PAGEREF _Toc40387707 h 5 HYPERLINK l _Toc40387708 2.2应用层防护功能测试 PAGEREF _Toc40387708 h 6 HYPERLINK l _Toc40387709 2.2.1HTTP Flood攻击防御功能测试 PAGEREF _Toc40387709 h 6 HYPERLINK l _Toc40387710 2.2.2HTTPS Flood攻击防御功能测试 PAGEREF _Toc40387710 h 8 HYPERLINK l _Toc40387711 3管理功

3、能和报表功能测试 PAGEREF _Toc40387711 h 9 HYPERLINK l _Toc40387712 3.1管理功能测试 PAGEREF _Toc40387712 h 9 HYPERLINK l _Toc40387713 3.1.1方案集中配置和管理测试 PAGEREF _Toc40387713 h 9 HYPERLINK l _Toc40387714 3.1.2告警功能测试 PAGEREF _Toc40387714 h 11 HYPERLINK l _Toc40387715 3.2统计分析及报表功能测试 PAGEREF _Toc40387715 h 12 HYPERLINK

4、l _Toc40387716 3.2.1攻击事件分析功能测试 PAGEREF _Toc40387716 h 12 HYPERLINK l _Toc40387717 3.2.2应用流量统计分析及报表呈现 PAGEREF _Toc40387717 h 14测试组网TFTP/SIP Server检测中心清洗中心ATICInternet保护网络TFTP/DNS/WEB/SIP ClientbotnetDNS ServerHTTP/HTTPS Server图 1 异常流量清洗系统产品测试网络环境拓扑_旁路动态引流清洗采用图1组网进行测试时，检测设备（检测中心）和清洗设备（清洗中心）是独立部署的，检测中心

5、对防护网络拷贝流量进行检测，发现攻击通告ATIC业务网管，ATIC下发引流策略到清洗中心，触发清洗中心引流及清洗，清洗后流量回注。通过策略路由、BGP路由宣告等方式把需要防护的IP的流量牵引到清洗中心上进行实时防护。botnet表示安装了DDoS攻击工具的PC，用于产生DDoS攻击流量；TFTP/DNS/WEB/SIP客户端用于模拟客户端访问；TFTP/DNS/HTTP/HTTPS/SIP Server则是分别安装了TFTP、DNS、HTTP、HTTPS、SIP服务的PC，模拟相应的应用业务。基础功能测试网络层攻击防御功能测试SYN Flood攻击防御功能测试测试项目SYN Flood攻击防御

6、功能测试测试目的验证设备防范SYN Flood攻击的能力和完成效果测试环境测试组网：详见组网1前提条件：根据基本组网图完成测试组网、并运行正常； 服务器上开启FTP服务器功能；通过客户端访问 FTP服务器可以正常访问测试步骤关闭清洗系统的SYN Flood攻击防御功能；使用攻击测试仪对目标FTP服务器进行SYN Flood攻击，攻击流量统一设定为300Mbps；使用客户端访问FTP服务器，出现结果1；打开清洗设备的 SYN Flood攻击防御功能；查看路由器，出现结果2；使用客户端重新访问FTP服务器，出现结果3；查看管理中心，可以看到结果4。预期结果结果1： 此时应无法访问或者访问延迟很大或

7、者服务器网卡流量很大。结果2： 此时清洗设备通过引流成功结果3： 此时应该可以正常访问FTP服务；结果4： 在管理中心可以查看到清洗设备上报的攻击流量，攻击类型以及经过清洗之后的正常流量大小。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字UDP Flood攻击防御功能测试测试项目UDP Flood攻击防御功能测试测试目的验证设备防范UDP Flood攻击的能力和完成效果测试环境测试组网：详见组网1前提条件：根据基本组网图完成测试组网、并运行正常；在被攻击服务器上搭建TFTP服务器，客户端TFTP下载正常。测试步骤关闭清洗设备的UDP Flood攻击防御功能；使用攻击测试仪对目

8、标TFTP服务器进行UDP Flood攻击，目的端口固定为UDP 69；通过客户端进行TFTP下载，出现结果1；打开清洗设备的 UDP Flood攻击防御功能；查看路由器，出现结果2；通过客户端重新进行TFTP下载，出现结果3；查看管理中心，可以看到结果4。预期结果结果1： 此时下载速率很慢或者无法下载。结果2： 此时清洗设备通过引流成功；结果3： 此时能正常下载，业务恢复正常。结果4： 在管理中心可以查看到清洗设备上报的攻击流量，攻击类型以及经过清洗之后的正常流量大小。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字应用层防护功能测试HTTP Flood攻击防御功能测试测试项

9、目HTTP Flood攻击防御功能测试测试目的验证设备防范HTTP C Flood攻击的能力和完成效果测试环境测试组网：详见组网1前提条件：根据基本组网图完成测试组网、并运行正常；服务器上开启WEB服务器功能；通过客户端IE访问 WEB服务器的网页，可以正常访问。测试步骤关闭清洗设备的HTTP Flood攻击防御功能；使用僵尸网络或攻击测试仪对目标WEB服务器进行HTTP Flood攻击；使用客户端访问WEB服务器的网页，出现结果1；打开清洗设备的 HTTP Flood攻击防御功能；查看路由器，出现结果2使用客户端重新访问WEB服务器的网页，出现结果3；查看管理中心，可以看到结果4。预期结果结

10、果1：此时应无法访问或者访问延迟很大或者服务器网卡流量很大。结果2：此时清洗设备通过引流成功；结果3：此时应该可以正常访问页面；结果4：在管理中心可以查看到清洗设备上报的攻击流量，攻击类型以及经过清洗之后的正常流量大小。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字HTTPS Flood攻击防御功能测试测试项目HTTPS Flood攻击防御功能测试测试目的验证设备防范HTTPS Flood攻击的能力和完成效果测试环境测试组网：详见组网1前提条件：根据基本组网图完成测试组网、并运行正常；服务器上开启WEB服务器功能；通过客户端IE访问 WEB服务器的网页，可以正常访问。测试步骤

11、关闭清洗设备的HTTPS Flood攻击防御功能；使用僵尸网络或攻击测试仪对目标WEB服务器进行HTTPS Flood攻击；使用客户端访问WEB服务器的网页，出现结果1；打开清洗设备的 HTTPS Flood攻击防御功能；查看路由器，出现结果2；使用客户端重新访问WEB服务器的网页，出现结果3；查看管理中心，可以看到结果4。预期结果结果1： 此时应无法访问或者访问延迟很大或者服务器网卡流量很大。结果2： 此时清洗设备通过引流成功；结果3： 此时应该可以正常访问页面；结果4： 在管理中心可以查看到清洗设备上报的攻击流量，攻击类型以及经过清洗之后的正常流量大小。测试结果 通过 部分通过 未通过 未

12、测试备注客户签字厂家人员签字管理功能和报表功能测试管理功能测试方案集中配置和管理测试测试项目方案集中配置、管理功能测试测试目的系统否提供可对整个方案实现集中监控、配置、管理的WEB网管测试环境测试组网：详见组网1前提条件：按组网要求搭建测试网络，并调试通，抽取任何一个防御功能测试用例，按测试步骤要求完成测试，登录业务网管系统。测试步骤查看系统是否支持通过SSL加密的WEB管理系统，得到结果1。查看系统是否支持集中监控和管理整个防御方案：1）包括方案中检测设备和清洗设备的连接状态、CPU、内存及接口流量；2）同一个防护对象防御策略可以下发到同方案中的检测设备和清洗设备。得到结果2。查看管理系统是

13、否支持通过IP、IP地址段形式定义防护对象，并能基于防护对象配置相应的防御策略。得到结果3。查看管理系统是否支持对防护对象的流量统计分析，分析结果是否能以图表形式展现。得到结果4。查看管理系统是否支持攻击事件分析，分析结果是否能以图表形式展现。得到结果5。查看管理系统是否支持基于系统维度和防护对象维度定期自动生成综合报表功能，并支持通过邮件自动发送给客户。得到结果6。预期结果结果1： 系统支持B/S架构的图形化管理界面，且强制使用HTTPS登录。结果2： 业务网管系统可集中监控和管理整个防御方案结果3： 支持通过IP、IP地址段形式定义防护网络，并基于防护网络配置相应的防御策略。结果4： 支持

14、图形化的流量统计分析。结果5： 支持图形化的攻击事件分析。结果6： 支持综合报表自动定期生成功能，并能通过邮件自动发送给客户。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字告警功能测试测试项目告警功能测试测试目的验证管理中心告警功能和展示效果测试环境测试组网：详见组网1前提条件：根据基本组网图完成测试组网、并运行正常；服务器上开启WEB服务器和DNS服务器，通过客户端访问服务器WEB界面，可以正常访问；通过客户端DNS请求服务器，可以正常解析。测试步骤登录WEB管理系统配置攻击告警方式，选择记录日志、邮件告警、短信告警。使用攻击测试仪对WEB服务器进行SYN Flood攻击，

15、持续1分钟；登录WEB管理系统查看管理界面提供的告警判断系统是否对TCP SYN Flood攻击进行了告警，得到结果1。使用攻击测试仪对WEB服务器进行HTTP Flood攻击，持续1分钟；登录WEB管理系统查看管理界面提供的告警判断系统是否对HTTP Flood攻击进行了告警，得到结果2。使用攻击测试仪对DNS服务器进行DNS Flood攻击，持续1分钟；登录WEB管理系统查看管理界面提供的告警判断系统是否对DNS Query Flood攻击进行了告警，得到结果3。预期结果结果1： 系统支持对SYN Flood攻击的实时告警，告警方式包括攻击日志、邮件、短信。结果2： 系统支持对HTTP F

16、lood攻击的实时告警，告警方式包括攻击日志、邮件、短信。结果3： 系统支持对DNS Query Flood攻击的实时告警，告警方式包括攻击日志、邮件、短信。测试结果 通过 部分通过 未通过 未测试备注客户签字厂家人员签字统计分析及报表功能测试攻击事件分析功能测试测试项目攻击事件分析功能测试测试目的验证管理中心攻击事件分析功能测试环境测试组网：详见组网1前提条件：执行SYN Flood攻击防御功能测试用例，按测试步骤要求完成测试，攻击时间持续5分钟；执行UDP Flood攻击防御功能测试用例，按测试步骤要求完成测试，攻击时间持续10分钟；登录ATIC集中管理系统。测试步骤查看系统是否支持精细化

17、的攻击事件分析，得到结果1。查看统计结果是否支持导出，得到结果2。预期结果结果1： 系统可以按照指定的防护对象进行攻击事件查询和报表呈现，分析角度包括：攻击详情：展现维度包括受攻击防护对象、受攻击IP地址、攻击开始时间、攻击结束时间、攻击持续时间、攻击类型、当前状态（结束、持续）、攻击报文数、清洗前后流量对比；按攻击持续时间和攻击次数排序的TOPN攻击IP统计分析按攻击报文和持续时间排序的TOPN攻击事件统计分析按攻击次数和攻击持续时间排序的攻击类型分布攻击报文丢弃原因趋势分析结果2： 查询结果支持多种报表格式与导出，包括excel、pdf、csv。测试结果 通过 部分通过 未通过 未测试备注

18、客户签字厂家人员签字应用流量统计分析及报表呈现测试项目应用流量统计分析及报表呈现测试目的验证管理中心应用流量统计分析和展示效果测试环境测试组网：详见组网1前提条件：执行DNS Query Flood攻击防御功能测试用例，按测试步骤要求完成测试，攻击流量保持5分钟；执行HTTP Flood攻击防御功能测试用例，按测试步骤要求完成测试，攻击流量保持10分钟；执行HTTPS Flood攻击防御功能测试用例，按测试步骤要求完成测试，攻击流量保持15分钟；执行SIP Flood攻击防御功能测试用例，按测试步骤要求完成测试，攻击流量保持20分钟；登录ATIC业务网管系统。测试步骤查看系统是否支持DNS业务、WEB业务、SIP业务的应用流量分析和报表呈现，得到结果1。查看统计结果是否支持导出，得到结果2。