DDoS流量清洗設(shè)備測試方案

孝朝BWWKWBsoaaTOC\o"1-5"\h\z\o"CurrentDocument"測試組網(wǎng)3\o"CurrentDocument"基礎(chǔ)功能測試4\o"CurrentDocument"2.1網(wǎng)絡(luò)層攻擊防御功能測試4\o"CurrentDocument"SYNFlood攻擊防御功能測試.4\o"CurrentDocument"UDPFlood攻擊防御功能測試5\o"CurrentDocument"2.2應(yīng)用層防護(hù)功能測試6\o"CurrentDocument"HTTPFlood攻擊防御功能測試6\o"CurrentDocument"HTTPSFlood攻擊防御功能測試8\o"CurrentDocument"管理功能和報(bào)表功能測試9\o"CurrentDocument"3.1管理功能測試9方案集中配置和管理測試.9告警功能測試\o"CurrentDocument"3.2統(tǒng)計(jì)分析及報(bào)表功能測試12攻擊事件分析功能測試12應(yīng)用流量統(tǒng)計(jì)分析及報(bào)表呈現(xiàn)141測試組網(wǎng)ServerHTTP/HTTPSServerServerHTTP/HTTPSServer圖1異常流量清洗系統(tǒng)產(chǎn)品測試網(wǎng)絡(luò)環(huán)境拓?fù)鋉旁路動態(tài)引流清洗采用圖1組網(wǎng)進(jìn)行測試時(shí)，檢測設(shè)備（檢測中心）和清洗設(shè)備（清洗中心）是獨(dú)立部署的，檢測中心對防護(hù)網(wǎng)絡(luò)拷貝流量進(jìn)行檢測，發(fā)現(xiàn)攻擊通告ATIC業(yè)務(wù)網(wǎng)管，ATIC下發(fā)引流策略到清洗中心，觸發(fā)清洗中心引流及清洗，清洗后流量回注。通過策略路由、BGP路由宣告等方式把需要防護(hù)的IP的流量牽引到清洗中心上進(jìn)行實(shí)時(shí)防護(hù)。botnet表示安裝了DDoS攻擊工具的PC，用于產(chǎn)生DDoS攻擊流量；TFTP/DNS/WEB/SIP客戶端用于模擬客戶端訪問；TFTP/DNS/HTTP/HTTPS/SIPServer則是分別安裝7TFTP、DNS、HTTP、HTTPS、SIP服務(wù)的PC，模擬相應(yīng)的應(yīng)用業(yè)務(wù)。2基礎(chǔ)功能測試2.1網(wǎng)絡(luò)層攻擊防御功能測試2.1.1SYNFlood攻擊防御功能測試測試項(xiàng)目SYNFlood攻擊防御功能測試測試目的驗(yàn)證設(shè)備防范SYNFlood攻擊的能力和完成效果測試環(huán)境測試組網(wǎng)：詳見組網(wǎng)1前提條件：根據(jù)基本組網(wǎng)圖完成測試組網(wǎng)、并運(yùn)行正常；1）月艮務(wù)器上開啟FTP服務(wù)器功能；通過客戶端訪問FTP服務(wù)器可以正常訪問測試步驟1）關(guān)閉清洗系統(tǒng)的SYNFlood攻擊防御功能；2）使用攻擊測試儀對目標(biāo)FTP服務(wù)器進(jìn)行SYNFlood攻擊，攻擊流量統(tǒng)一設(shè)定為300Mbps；3）使用客戶端訪問FTP服務(wù)器，出現(xiàn)結(jié)果1；4）打開清洗設(shè)備的SYNFlood攻擊防御功能；5）查看路由器，出現(xiàn)結(jié)果2；

6）使用客戶端重新訪問FTP服務(wù)器，出現(xiàn)結(jié)果3；7）查看管理中心，可以看到結(jié)果4。預(yù)期結(jié)果結(jié)果1：此時(shí)應(yīng)無法訪問或者訪問延遲很大或者服務(wù)器網(wǎng)卡流量很大。結(jié)果2:此時(shí)清洗設(shè)備通過引流成功結(jié)果3:此時(shí)應(yīng)該可以正常訪問FTP月艮務(wù)；結(jié)果4:在管理中心可以查看到清洗設(shè)備上報(bào)的攻擊流量，攻擊類型以及經(jīng)過清洗之后的正常流量大小。測試結(jié)果口通過口部分通過口未通過口未測試備注客戶簽字廠家人員簽字2.1.2UDPFlood攻擊防御功能測試測試項(xiàng)目UDPFlood攻擊防御功能測試測試目的驗(yàn)證設(shè)備防范UDPFlood攻擊的能力和完成效果測試環(huán)境測試組網(wǎng)：詳見組網(wǎng)1前提條件：1）根據(jù)基本組網(wǎng)圖完成測試組網(wǎng)、并運(yùn)行正常；2）在被攻擊服務(wù)器上搭建TFTP服務(wù)器，客戶端TFTP下載正常。測試步驟1）關(guān)閉清洗設(shè)備的UDPFlood攻擊防御功能；

2）使用攻擊測試儀對目標(biāo)TFTP服務(wù)器進(jìn)行UDPFlood攻擊，目的端口固定為UDP69；3）通過客戶端進(jìn)行TFTP下載，出現(xiàn)結(jié)果1；4）打開清洗設(shè)備的UDPFlood攻擊防御功能；5）查看路由器，出現(xiàn)結(jié)果2；6）通過客戶端重新進(jìn)行TFTP下載，出現(xiàn)結(jié)果3；7）查看管理中心，可以看到結(jié)果4。預(yù)期結(jié)果結(jié)果1：此時(shí)下載速率很慢或者無法下載。結(jié)果2:此時(shí)清洗設(shè)備通過引流成功；結(jié)果3:此時(shí)能正常下載，業(yè)務(wù)恢復(fù)正常。結(jié)果4:在管理中心可以查看到清洗設(shè)備上報(bào)的攻擊流量，攻擊類型以及經(jīng)過清洗之后的正常流量大小。測試結(jié)果口通過口部分通過口未通過口未測試備注客戶簽字廠家人員簽字2.2成用層防護(hù)功能測試2.2.1HTTPFlood攻擊防御功能測試測試項(xiàng)目HTTPFlood攻擊防御功能測試測試目的驗(yàn)證設(shè)備防范HTTPCFlood攻擊的能力和完成效果

測試環(huán)境測試組網(wǎng)：詳見組網(wǎng)1前提條件：1）根據(jù)基本組網(wǎng)圖完成測試組網(wǎng)、并運(yùn)行正常；2）月服務(wù)器上開啟WEB月服務(wù)器功能；通過客戶端IE訪問WEB服務(wù)器的網(wǎng)頁，可以正常訪問。測試步驟1）關(guān)閉清洗設(shè)備的HTTPFlood攻擊防御功能；2）使用僵尸網(wǎng)絡(luò)或攻擊測試儀對目標(biāo)可￡日服務(wù)器進(jìn)行HTTPFlood攻擊；3）使用客戶端訪問WEB服務(wù)器的網(wǎng)頁，出現(xiàn)結(jié)果1；4）打開清洗設(shè)備的HTTPFlood攻擊防御功能；5）查看路由器，出現(xiàn)結(jié)果26）使用客戶端重新訪問WEB服務(wù)器的網(wǎng)頁，出現(xiàn)結(jié)果3；7）查看管理中心，可以看到結(jié)果4。預(yù)雌果結(jié)果1：此時(shí)應(yīng)無法訪問或者訪問延遲很大或者服務(wù)器網(wǎng)卡流量很大。結(jié)果2:此時(shí)清洗設(shè)備通過引流成功；結(jié)果3:此時(shí)應(yīng)該可以正常訪問頁面；結(jié)果4:在管理中心可以查看到清洗設(shè)備上報(bào)的攻擊流量，攻擊類型以及經(jīng)過清洗之后的正常流量大小。測試結(jié)果口通過口部分通過口未通過口未測試備注

客戶簽字廠家人員簽字2.2.2HTTPSFlood攻擊防御功能測試測試項(xiàng)目HTTPSFlood攻擊防御功能測試測試目的驗(yàn)證設(shè)備防范HTTPSFlood攻擊的能力和完成效果測試環(huán)境測試組網(wǎng)：詳見組網(wǎng)1前提條件：1）根據(jù)基本組網(wǎng)圖完成測試組網(wǎng)、并運(yùn)行正常；2）月服務(wù)器上開啟WEB月服務(wù)器功能；通過客戶端IE訪問WEB服務(wù)器的網(wǎng)頁，可以正常訪問。測試步驟1）關(guān)閉清洗設(shè)備的HTTPSFlood攻擊防御功能；2）使用僵尸網(wǎng)絡(luò)或攻擊測試儀對目標(biāo)可￡日服務(wù)器進(jìn)行HTTPSFlood攻擊；3）使用客戶端訪問WEB服務(wù)器的網(wǎng)頁，出現(xiàn)結(jié)果1；4）打開清洗設(shè)備的HTTPSFlood攻擊防御功能；5）查看路由器，出現(xiàn)結(jié)果2；6）使用客戶端重新訪問WEB服務(wù)器的網(wǎng)頁，出現(xiàn)結(jié)果3；7）查看管理中心，可以看到結(jié)果4。預(yù)期結(jié)果結(jié)果1:此時(shí)應(yīng)無法訪問或者訪問延遲很大或者服務(wù)器網(wǎng)卡流量很大。結(jié)果2:此時(shí)清洗設(shè)備通過引流成功；

結(jié)果3:此時(shí)應(yīng)該可以正常訪問頁面；結(jié)果4:在管理中心可以查看到清洗設(shè)備上報(bào)的攻擊流量，攻擊類型以及經(jīng)過清洗之后的正常流量大小。測試結(jié)果口通過口部分通過口未通過口未測試備注客戶簽字廠家人員簽字3管理功能和報(bào)表功能測試3.1管理功能測試3.1.1方案集中配置和管理測試測試項(xiàng)目方案集中配置、管理功能測試測試目的系統(tǒng)否提供可對整個(gè)方案實(shí)現(xiàn)集中監(jiān)控、配置、管理的WEB網(wǎng)管測試環(huán)境測試組網(wǎng)：詳見組網(wǎng)1前提條件：1）按組網(wǎng)要求搭建測試網(wǎng)絡(luò)，并調(diào)試通，抽取任何一個(gè)防御功能測試用例，按測試步驟要求完成測試，登錄業(yè)務(wù)網(wǎng)管系統(tǒng)。測試步驟1）查看系統(tǒng)是否支持通過SSL加密的WEB管理系統(tǒng)，得到結(jié)果1。2）查看系統(tǒng)是否支持集中監(jiān)控和管理整個(gè)防御方案：1）包括方案中檢測設(shè)備和清洗設(shè)備的連接狀態(tài)、CPU、內(nèi)存及接口流量；2）同一個(gè)

防護(hù)對象防御策略可以下發(fā)到同方案中的檢測設(shè)備和清洗設(shè)備。得到結(jié)果2。3）查看管理系統(tǒng)是否支持通過IP、IP地址段形式定義防護(hù)對象，并能基于防護(hù)對象配置相應(yīng)的防御策略。得到結(jié)果3。4）查看管理系統(tǒng)是否支持對防護(hù)對象的流量統(tǒng)計(jì)分析，分析結(jié)果是否能以圖表形式展現(xiàn)。得到結(jié)果4。5）查看管理系統(tǒng)是否支持攻擊事件分析，分析結(jié)果是否能以圖表形式展現(xiàn)。得到結(jié)果5。6）查看管理系統(tǒng)是否支持基于系統(tǒng)維度和防護(hù)對象維度定期自動生成綜合報(bào)表功能，并支持通過郵件自動發(fā)送給客戶。得到結(jié)果6。預(yù)期結(jié)果結(jié)果1：系統(tǒng)支持B/S架構(gòu)的圖形化管理界面，且強(qiáng)制使用HTTPS登錄。結(jié)果2:業(yè)務(wù)網(wǎng)管系統(tǒng)可集中監(jiān)控和管理整個(gè)防御方案結(jié)果3:支持通過IP、IP地址段形式定義防護(hù)網(wǎng)絡(luò)，并基于防護(hù)網(wǎng)絡(luò)配置相應(yīng)的防御策略。結(jié)果4:支持圖形化的流量統(tǒng)計(jì)分析。結(jié)果5：支持圖形化的攻擊事件分析。結(jié)果6:支持綜合報(bào)表自動定期生成功能，并能通過郵件自動發(fā)送給客戶。測試結(jié)果口通過口部分通過口未通過口未測試備注客戶簽字廠家人員簽字

3.1.2告警功能測試測試項(xiàng)目告警功能測試測試目的驗(yàn)證管理中心告警功能和展示效果測試環(huán)境測試組網(wǎng)：詳見組網(wǎng)1前提條件：1）根據(jù)基本組網(wǎng)圖完成測試組網(wǎng)、并運(yùn)行正常；2）月服務(wù)器上開啟WEB月服務(wù)器和DNS服務(wù)器，通過客戶端訪問服務(wù)器WEB界面，可以正常訪問；通過客戶端DNS請求服務(wù)器，可以正常解析。測試步驟1）登錄WEB管理系統(tǒng)配置攻擊告警方式，選擇記錄日志、郵件告警、短信告警。2）使用攻擊測試儀對WEB服務(wù)器進(jìn)行SYNFlood攻擊，持續(xù)1分鐘；登錄WEB管理系統(tǒng)查看管理界面提供的告警判斷系統(tǒng)是否對TCPSYNFlood攻擊進(jìn)行了告警，得到結(jié)果1。3）使用攻擊測試儀對WEB服務(wù)器進(jìn)行HTTPFlood攻擊，持續(xù)1分鐘；登錄WEB管理系統(tǒng)查看管理界面提供的告警判斷系統(tǒng)是否對HTTPFlood攻擊進(jìn)行了告警，得到結(jié)果2。

4）使用攻擊測試儀對DNS服務(wù)器進(jìn)行DNSFlood攻擊，持續(xù)1分鐘；登錄WEB管理系統(tǒng)查看管理界面提供的告警判斷系統(tǒng)是否對DNSQueryFlood攻擊進(jìn)行了告警，得到結(jié)果3。預(yù)期結(jié)果結(jié)果1：系統(tǒng)支持對SYNFlood攻擊的實(shí)時(shí)告警，告警方式包括攻擊日志、郵件、短信。結(jié)果2:系統(tǒng)支持對HTTPFlood攻擊的實(shí)時(shí)告警，告警方式包括攻擊日志、郵件、短信。結(jié)果3:系統(tǒng)支持對DNSQueryFlood攻擊的實(shí)時(shí)告警，告警方式包括攻擊日志、郵件、短信。測試結(jié)果口通過口部分通過口未通過口未測試備注客戶簽字廠家人員簽字3.2統(tǒng)計(jì)分析及報(bào)表功能測試3.2.1攻擊事件分析功能測試測試項(xiàng)目攻擊事件分析功能測試測試目的驗(yàn)證管理中心攻擊事件分析功能測試環(huán)境測試組網(wǎng)：詳見組網(wǎng)1前提條件：

1）執(zhí)行SYNFlood攻擊防御功能測試用例，按測試步驟要求完成測試，攻擊時(shí)間持續(xù)5分鐘；2）執(zhí)行UDPFlood攻擊防御功能測試用例，按測試步驟要求完成測試，攻擊時(shí)間持續(xù)10分鐘；3）登錄ATIC集中管理系統(tǒng)。測試步驟1）查看系統(tǒng)是否支持精細(xì)化的攻擊事件分析，得到結(jié)果1。2）查看統(tǒng)計(jì)結(jié)果是否支持導(dǎo)出，得到結(jié)果2。預(yù)期結(jié)果結(jié)果1：系統(tǒng)可以按照指定的防護(hù)對象進(jìn)行攻擊事件查詢和報(bào)表呈現(xiàn)，分析角度包括：1）攻擊詳情：展現(xiàn)維度包括受攻擊防護(hù)對象、受攻擊IP地址、攻擊開始時(shí)間、攻擊結(jié)束時(shí)間、攻擊持續(xù)時(shí)間、攻擊類型、當(dāng)前狀態(tài)（結(jié)束、持續(xù)^攻擊報(bào)文數(shù)、清洗前后流量對比；2）按攻擊持續(xù)時(shí)間和攻擊次數(shù)排序的TOPN攻擊IP統(tǒng)計(jì)分析3）按攻擊報(bào)文和持續(xù)時(shí)間排序的TOPN攻擊事件統(tǒng)計(jì)分析4）按攻擊次數(shù)和攻擊持續(xù)時(shí)間排序的攻擊類型分布5）攻擊報(bào)文丟棄原因趨勢分析結(jié)果2:查詢結(jié)果支持多種報(bào)表格式與導(dǎo)出，包括excel、pdf、csv。測試結(jié)果口通過口部分通過口未通過口未測試備注客戶簽字廠家人員簽字

3.2.2應(yīng)用流量統(tǒng)計(jì)分析及報(bào)表呈現(xiàn)測試項(xiàng)目應(yīng)用流量統(tǒng)計(jì)分析及報(bào)表呈現(xiàn)測試目的驗(yàn)證管理中心應(yīng)用流量統(tǒng)計(jì)分析和展示效果測試環(huán)境測試組網(wǎng)：詳見組網(wǎng)1前提條件：1）執(zhí)行DNSQueryFlood攻擊防御功能測試用例，按測試步驟要求完成測試，攻擊流量保持5分鐘；2）執(zhí)行HTTPFlood攻擊防御功能測試用例，按測試步驟要求完成測試，攻擊流量保持10分鐘；3）執(zhí)行HTTPSFlood攻擊防御功能測試用例，按測試步驟要求完成測試，攻擊流量保持15分鐘；4）執(zhí)行SIPFlood攻擊防御功能測試用例，按測試步驟要求完成測試，攻擊流量保持20分鐘；5）登錄ATIC業(yè)務(wù)網(wǎng)管系統(tǒng)。測試步驟1）查看系統(tǒng)是否支持DNS業(yè)務(wù)、WEB業(yè)務(wù)、SIP業(yè)務(wù)的應(yīng)用流量分析和報(bào)表呈現(xiàn)，得到結(jié)果1。2）查看統(tǒng)計(jì)結(jié)果是否支持導(dǎo)出，得到結(jié)果2。預(yù)期結(jié)果結(jié)果1