Defensics健壮性测试工具测试方案

保证原创精品已受版权保护保证原创精品已受版权保护Defensics强健性测试工具测试方案前言CodenomiconDefensics的工控安全测试方案供给说明，就测试原理，测试组网，支持的协议以及测试流程供给帮助，指导测试的进展。测试日程安排N/A产品功能介绍CodenomiconDefensicsfuzzing测试的强健性测试工具，特地用于APTs高级持续攻击的日益猖獗，网络及工控安全面临前所未有的挑战，大局部的攻击利用的都是设备或系统当中的零日漏洞，这类漏洞由于缺少相应的防护措施以及补丁，往往成为黑客攻击的首选。而黑客在查找零日漏洞时往往承受的就是fuzzing技术，Defensics能够先敌而动，在黑客攻击之前觉察产品当中隐含的零日漏洞，帮助客户弥补潜在的安全隐患。CodenomiconDefensics通过构造有序的特别用例集合，来查看系统是否会消灭中断或效劳失败等现象。通过承受基于协议建模的构建方法，可以保证对协议全部状态机和字段的掩盖。而通过智能高效的用例生成策略，可以使测试人员从无限的数据源中摘取出简洁诱发系统效劳失败的数据。作为黑盒测试，Fuzzing测试不需要访问源代码，因此可在第三方软件上使用。通过自动化的用例生成、治理和执行，最大限度地提升测试效率，保证产品的安全质量。测试原理模糊测试〔模糊测试〔Fuzzing〕，是一种通过向目标系统供给非预期的输入并监视特别结果来觉察软件漏洞的方法。目前国际上公认找寻未知漏洞的最正确途径就是通过Fuzzing。CodenomiconDefensics产品就是一款基于黑盒的特地针对网络协议进展Fuzzing的安全性/强健性测试平台。我们会选取出一系列的有组织的特别数据〔畸形报文〕发送给被测设备，并通过正常报文的探测来观看被测设备是否还处于正常工作状态。这里所谓的“有组织的特别数据”是通过一下两个方始终形成的：缓冲区溢出/溢进，边界值，等等〔后续会有具体分类〕；依据某种特定网络协议的规约〔比方RFC〕来对该协议的每一个具体字段，以及整个状态机的全部报文挨次进展遍历，确保代码的高掩盖率。DefensicsFuzzing的原理，如以下图，一个完整的测试场景一般可以分为三个步骤：互通性测试，互通性测试的目的是检测工具和被测物之间的配置全都性和连通性是否正常。工具会发送一组正常的协议报文用例到被测物，每个用例都是一个完成的报文交互过程，通过这样一组正常用例，可以掩盖协议全部的状态机和字段，在发送特别用例之前确保被测物状态正常，同时检查其支持的协议状态机。发送特别报文，工具会基于正常的互通性用例生成特别用例，每一个用例同样是一个完整的协议交互，工具会修改其中的某个报文的某个字段或某几个字段，或者重构造整个报文，用例的数量从几万到几百万不等，工具会自动化的执行测试。发送探测报文，每发送一个特别测试用例之后，工具会发送一个正常的探测报文，去检查被测物是否能正常响应探测报文，其目的一是检查一下被测物在接收到特别报文后是否能够正常供给效劳，二是在进展下一条用例前确保被测物的状态正常。假设被测物能够正常响应检测报文，工具会自动跳转到下一条用例。假设不能正常响应，工具会始终检测下去直到被测物响应为止。互通性测试互通性测试失败检查配置/全都性通过下一个测试例发送特别报文轮数+1发送探测报文通过失败依据上图我们可以看到判定探测报文通过与否是我们检验某一条测试用例是否对SUT造成影响的TimeoutSUT的正常响应时间打算。所以，全部我们判定探测失败的测试用例，都是由于超过了Timeout值还没有得到正常的相应，通过这种100%确实保没有误判，由于全部失败的用例都使得SUT在正常响应时间内无法供给效劳。IPv6Defensics的界面进展具体说明。在Interoperability中套件已经依据规商定义好正常的协议交互测试用例，这些用例掩盖了该协议全部可能的状态机。点击test即开头执行互通性测试，通过互通性测试可以检查测试仪和被测设备之间的配置全都性是否正常，有些被测设备可能并不支持协议的全部实现，会显示为局部pass，局部fail〔passfail〕。保证原创精品已受版权保护保证原创精品已受版权保护在进展完Interoperability〔互通性测试〕之后，工具会基于刚刚跑通的正常用例生成变异的测试用例，由于之前进展了互通性检测，可以保证被测设备对这局部功能是支持的。在5〕testcases中可以选择特别用例的范围。在选择完测试用例后，在4〕Instrumentation中选择探测报文类型，这些探测报文都是正常的协议报文，默认状况下该功能是翻开的。通过配置探测报文，测试工具会在每条测试用例中先发送特别报文，然后发送探测报文检查被测设备状态，假设被测设备正常响应，就跳转到下一条用例，假设不能，就重发该检测报文，直到被测设备响应为止。4〕instrumentation5〕testcases6〕testrun局部开头执行测试用例。功能特点基于协议建模，全状态机全字段掩盖Defensicsfuzzing测试工具，每个协议有相应独立的套件，套件承受协议建模的方式进展构建，因此可以保证对协议状态机和字段100%的掩盖。在测试过程中，每一个用例都是一个完整的报文交互，因此不仅仅是可以对第一步交互进展fuzzing，而且可以对全部的协议交互流程进展深度的掩盖。用例自动生成，基于黑盒测试原理Defensicsfuzzing工具，使用时无需访问源代码。测试脚本依据协议规约的定义已经内嵌其中，从用例的生成、治理、执行，到结果的导出，生成报告，完全实现自动化的运行。用例公开，便于问题定位和复现Defensics的用例库涵盖了协议的全部字段，数量从几万到几百万不等，并且可以依据需要手动调整用例库的规模。Defensics的每一个用例都是对用户公开的，用户可以查看用例报文的交互流程，报文的具体内容以及如何生成的特别用例。广泛的协议掩盖，支持大多数主流通讯和工控协议Defensics260种协议，涵盖了二层到七层的通讯协议、工控协议、文件格式、私有协议、空口协议等，目前大局部的通讯协议和主流的工控协议均可测试。JavaSDK针对私有协议特别是工控领域中大量用到的私有协议，可以使用Defensics特地针对私有协议的套TrafficCaptureFuzzer进展测试。TrafficCaptureFuzzer承受抓包变异的原理，将正常的交互报fuzzing变异。并且用户可以依据需要修改、定制相关的测试checksum校验、协议字段交互等，Codenomicon还供给一JavaSDK用于高级二次开发。支持效劳器端和客户端，供给双向测试Defensics基于某个具体协议，可以供给针对效劳器端和客户端的双向测试，从而确保对协议报文的完整掩盖。测试协议掩盖Defensics260fuzzing27层的大局部通讯协议，工业把握协议以及私有协议。并且对一个特定协议可以支持效劳器端和客户端两个方向。支持的工控协议：ModbusTCPPLC/Master，DNP3Client/Server，ProfinetDCPserver，ProfinetPTCPClient/Server，IEC61850MMSClient/Server，GOOSE/SV，IEC60870-5-104Client/Server，CIP/EtherNet与工控相关的通讯协议：Ethernet，IPv4，TCPv4，UDPv4，ICMPv4，IGMP，XMLSOAPClient/Server，XMLSOAPClient/Server，1588PTPClient/Server，BootP/DHCPClient/Server，NTPClient/Server，FTPClient/Server，/SClient/Server，SNMPv1/v2，SNMPv3，Telnet，SSLTLS1.1/1.2Client/Server，IPv6，SSHv1/v2，SMTP私有协议和文件：TrafficCaptureFuzzer(抓包变异)，UniversalFuzzer文件格式)测试场景保证原创精品已受版权保护保证原创精品已受版权保护DefensicsDUT和DefensicsIP地址，一般配置在同一网段。由测试工具发送有组织的特别数据，观看被测设备在特别报文作用下的强健性。为了能直观的观看被测DUTDUT下再连接一次设备。一个典型的测试场景包含了三局部，首先测试工具会向DUT发送一组正常的全都性检测报文，用以检测双方的全都性是否正常。在全都性报文通过后再发送有组织的特别报文测试用例。第三步再发送正常的检测性报文，用以检测刚刚的特别报文是否造成影响。测试过程ModbusDefensicsfuzzing测试。BasicconfigurationBasicconfigurationBasicconfiguration中需要对一些根本的被测ModbusIP地址，端口号等变量。这些变量是测试的必要配置，对于一些在应用层实现上可能各个厂家有所区分的协议，还需要供给一下交互报文。InteroperabilityInteroperability主要进展全都性检测，测试栏中包含的是该协议典型的测试流程，每一个测试流程都是一组或几组报文的交互，可以点击用例从右边说明栏查看。测试时点击test，工具会自动运行每一个用例，绿色表示通过，红色表示特别，对于红色的用例，可能是被测设备不支持协议的某些局部，也可能是双方的配置有问题，需要结合具体问题具体分析。对于绿色的用例，工具会基于这些用例自动生成相应的特别用例库。TestcasesTestcases中选择想要测试的用例，正常条件下一个套件的用例从几万到几十万不等，某些较大的套件会有几百万的用例，但是由于工具承受了自动化的运行方式，运行速度是很快的，通常几个小时就可以将整个用例运行一遍。此外，每个用例的具体内容是对用户公开的，可以点击具体的用例从右边说明栏查看具体的报文内容。并且为了协作不同的测试需求，Testcases供给了几种不同数量规模的用例库，default模式，full模式，unlimited模式等，每种模式都对应了不同数量级别的用例，对协议的掩盖度也相应的逐级提高。TestrunTestrunTest按钮就可以开头测试，工具会实时显示当前运行的用例编号，测试状bugSUTfail，点击旁边Showlogs按钮可以查看具体的日志。ResultsResults里生成一个以时间戳为名称的测试结果文件夹，里面包含了测试的结果列表，测试用例的交互日志，每一条用例报文的内容等信息。用户还可ResultsRe-run功能重跑那些失败的用例。以上给出的是一个测试的根本流程，用户在使用中结合具体环境可能还需要修改一些配置变。测试常见结果及处置预案〔1〕测试常见结果Fuzzing测试，它本身是没有预设立场的，全部的测试可能消灭的问题都是等价对待的，可以进展区分的只有发送的特别数据包的种类，而不是测试结果的分类。从外部表现上来看，常见的现象有以下几种：系统级挂死或特别协议模块挂死或特别系统级别重启协议模块重启DoS攻击从导致漏洞的生成缘由来看，常见的漏洞类型可以分为以下几种：BufferOverflow(缓冲区溢出)：一个缓冲区溢出漏洞可能会消灭一个固定大小的缓冲区数据保存在栈或堆。假设输入数据的大小未经过验证，与缓冲区的大小无法适配则缓冲器溢保证原创精品已受版权保护保证原创精品已受版权保护出。一个缓冲区溢出漏洞，可能导致各种问题，包括崩溃，超负荷和其他奇异的行为。在很多状况下，可能被黑客利用缓冲区溢出在易受攻击的系统才能运行外部代码。这是通过细心构造的数据片，导致溢出。在这种状况下，通过网络彻底攻陷一台主机是格外有可能的。内存溢出条件本身可以产生其他严峻的故障，由于临界状态变量或其他变量可能会被攻击者把握。Formatstringvulnerability〔格式字符串漏洞〕:在格式字符串漏洞中，通常会通过类似C/C++语言的printf〔〕等功能来输入一小串格式字符串；一个黑客能够在指定的输入数据〔格式字符串〕中添加类似〔%s%s%s〕的内容来利用这个漏洞。这种漏洞能带来的影响跟缓冲区溢出比较相像，通常能够造成拒绝效劳攻击。Memoryallocationbomb〔内存安排炸弹〕：内存安排炸弹利用内存安排例程中的弱点。依据入侵者伪造的长度字段，可用于对存在漏洞的主机上恳求安排全部可用的内存资源。一个程序安排大量的内存是基于一个小项内输入数据的根底上；假设反复屡次重复该项，内存安排就很简洁受到攻击。假设安排例程失败，就会消灭空指针的状况。调用函数并没有生疏到这一点，简洁地假设安排是成功的。内存安排炸弹导致拒绝效劳的状况。保护程序的内存安排炸弹可能是有问题的，由于它是难以指定一个单一的外部恳求应当被允许接收多少内存资源。Resourceallocationproblems〔资源安排问题〕：一些特别的输入可能会导致被测系统安排类如文件描述符的资源。然而，这些资源可能会被视为特别而无法释放，并最终到这效劳降级或者拒绝效劳的现象。Missingvaliditychecks〔合法性未验证〕：对于协议字段内的输入字符通常会有一个范围的限制，而且并不是全部合法的输入都合理。假设输入字符的合法性没有被检查就导致了一C/C++singedintegersunsignedintegers的unsignedsinged的数据。另一个例子就是不正确的数据取值，比方对月份取13。特别的输入元素可能会导致被测软件消灭空指针现象，不合法指针行为，不合法的索引以及引用。Busyloopsanddeadlock