YD/T 1439-2006
基本信息
标准号: YD/T 1439-2006
中文名称:路由器设备安全测试方法——高端路由器(基于IPv4)
标准类别:通信行业标准(YD)
英文名称:Router security test methods-high end router(IPv4)
标准状态:已作废
发布日期:2006-05-31
实施日期:2006-10-01
作废日期:2024-04-01
下载格式:pdf zip
标准分类号
标准ICS号: 电信、音频和视频技术>>33.040电信系统
中标分类号:通信、广播>>通信设备>>M33光通信设备
关联标准
替代情况:被YD/T 1439-2023代替
出版信息
出版社:人民邮电出版社
页数:35页
标准价格:24.0
出版日期:2006-10-01
相关单位信息
起草人:高巍、魏亮、田辉、马科
起草单位:信息产业部电信研究院
归口单位:中国通信标准化协会
提出单位:中国通信标准化协会
发布部门:中华人民共和国信息产业部
标准简介
本标准规定了高端路由器涉及网络与信息安全方面的测试内容,包括数据转发平面安全测试、路由/控制平面安全测试和管理平面安全测试。本标准适用于基于IPv4的高端路由器设备。
标准图片预览
标准内容
ICs33.040
中华人民共和国通信行业标准
YD/T 1439-2006
路由器设备安全测试方法
~高端路由器(基于IPv4)
Router security test methods-high end router(IPv4)2006-05-31发布
2006-10-01实施
中华入民共和国信息产业部发布前言·
1范圈·
2规范性引用文件
3缩略语与定义
3.1缩略语
3.2定义..
4测试环境…
5数据转发平面安全测试
5.1IPSec协议测试
5.2常见网络攻击抵抗能力测试
5.3URPF功能测试.
5.4访问控制列表(ACL)测试
5.5网络地址翻译(NAT)测试-
5.6流量控制功能测试
6路由/控制平面安全测试
6.1路由协议安全测试
6.2 TCP/IP 协议安全测试
6.3MPLSVPN安全测试
6.4路由过滤功能测试
7管理平面安全测试
7.1端口镜像
7.2访问控制安全测试…
7.3SNMPv3功能测试
安全审计功能测试··
YD/T 1439-2006
YD/T 1439-2006
本标准是“支持IPv4的路由器”系列标准之一,本系列标准的结构和名称预计如下:1.路由器设备技术要求——中低端路由器2.路由器测试方法—中低端路由器3.路由器设备技术要求——高端路由器4.路由器测试方法—高端路由器5.路由器设备安全技术要求一一中低端路由器(基于 Pv4)6.路由器设备安全测试方法中低端路由器(基于IPv4)7.路由器设备安全技术要求一高端路由器(基于Pv4)8.路由器设备安全测试方法高端路由器(基于Pv4)本标准与《路由器设备安全技术要求一高端路由器(基于IPv4)》配套使用。与本标准相关的还有“支持IPv6的路由器”系列标准,该系列标准的结构和名称预计如下:1.IPv6网络设备技术要求一支持IPv6的边缘路由器2.IPv6网络设备测试方法一支持IPv6的缘路由器3、IPv6网络设备技术要求——支持IPv6的核心路由器4.IPv6 网络设备测试方法支持IPv6 的核心路由器本标准由中国通信标准化协会提出并归口。本标准主要起草单位:信息产业部电信研究院本标谁主要起草人:高魏魏亮田辉马科1范围
YD/T 1439-2006
路由器设备安全测试方法一一高端路由器(基于IPv4)本标准规定了高端路由器涉及网络与信息安全方面的测试内容,包括数据转发平面安全测试、路由!控制平面安全测试和管理平面安全测试。本标准适用于基于IPv4的高端路由器设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1359-2005
YD/T 1467-2006
IETF RFC3412
ETF RFC3413
IETF RFC3414
IETF草案
IETF草案
IETF草案
JETF草案
3 缩略语与定义
路由器设备安全技术要求—高端路由器(基于IPv4)IP安全协议(IPSec)测试方法
简单网管协议(SNMP)的消息处理和发送简单网管协议(SNMP)应用
简单网管协议版本3(SNMPv3)中基于用户的安全模型(USM)SSH协议框架
SSH传输层协议
SSH认证协议
SSH连接协议
下列缩略语和定义适用于本标准。3.f缩略语
Access Control List
Border Gate way Protocol
Customer Edge
Device Under Test
Intermet Control Message PortocolInternet Protocol
IP Security
访问控制列表
界网关协议
用户边界设备
被测设备
因特网控制消息协议
因特网协议
IP安全机制
Intermediate System to Intermediate SystemProtocol中间系统到中间系统协议MultiProtocol Label Switch
Netwark Address Port Translation多协议标记交换
网络地址端口翻译
YD/T 1439-2006
3.2定义
NetworkAddressTranslalin
Open Shortest Path First
Provider Edge
Route Information Protocol
Secure SHell Protocol
Transport Control Protocol
User Data Protocol
Unicast ReversePathForwardingVirtual Private Network
网络地址翻译
开放最然路径优先协议
网络边界设备
路由信息协议
安全外尧协议
传输控制协议
用户数据报协议
单播逆向路径转发
蔽拟专用网
全局ACL:.种ACL配置方式,在设备全局模式下进行ACL配置,且该ACL条目在设备所有接口上生效。
4测试环境
测试环境1如图1所示。
测试仪表
测试环境 1
测试环境2如图2所示。
测试仪表端口
测试仪表端口 A
图2测试环境 2
测试环境3 如图 3 所示。
测试环境 3
网路2
测试仪表端口B
测试环境4如图4所示
测试环境5如图5所示。
图4测试环境4
认证服务器
日志服幸器
图5测试环境5
以上各图中测试仪表与DUT间均采用同种接口相连。5数据转发平面安全测试
YD/T 1439-2006
高端路由器的数据转发平面负责处理进人设备的流量。基于流量或基于对报文中字段的非法使用所形成的攻击会占用设备大量的处理时间,使路由器的可用性降低,甚至崩溃,或者对与路由器连接的其他网络设备或主机造成攻击。对高端路由器数据转发平面的安全测试主要包括IPSec协议测试、对带见网络攻击的抵抗能力测试、访问控制列表功能测试以及网络地址翻译功能测试。5.1IPSec协设测试
IPSec协议测试内容参见YDT1467-2006(IP安全协议(IPSec)测试方法》。YD/T 1439-2006
5.2常见网络攻击抵抗能力测试
测试编号:1
测试项目:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置;试环境
测试过程:
(!)按测试环境连接设备:
(2)从测试仪表端A向测试仪表端口B以线速发送数据包:(3)DUT启用动态路出协议,从测试仪表端口A向DUT建立协议邻居关系;(4)停止步骤(2)中数据包的发送;(S)从测试仪表端口A向DUT的环回地址以线速发送数据包:(6)从测试仪表端口 A向DUT建立协议邻居关系预期结果:在步骤(3)和(6)中,测试仪表与DUT间应能正常建立协议邻居关系,不受端口上流量的影响。wwW.vv99.Net
判定原则:应符合预期结果要求,否则为不合格测试编号:2
测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)从测试仪表端口A向测试仪表端口B发送小于接口速率的背景流星;(3)由仪表端口A以端口剩余带宽速率向DUT1端口发送报文长度(包括IP包头:)大于65535字节的ICMPECHORequest报文(PingofDeath攻击仿真报文);(4)停止步骤(3)中报文的发送,由仪表端口A向DUT环回地址发送多个Offset字段重叠的P报文(Teardrop攻击仿真报文):(5)停止步骤(4)中报文的发送,由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误顿)报文;
(6)停止步骤(5)中报文的发送,由仪表端口A向仪表端口B发送长度小于64字节(以太网链路)的超短顿(Rurt);
(7)停止步骤(6)中报文的发送,由仪表端口A向仪表端I.tB发送长度大于链路MTU的超长顿(Giant);(8)停止步骤(7)中报文的发送,在DUT上启用OSPF路由协议,并由仪表端口A与DUT建立OSPF邻居关系,由仪表端口A向DUT发送错误的QSPFUpdate(如带有错误RauterID)报文,预期结巢:
(1)在步骤(3)巾,攻击报文应被丢弃,记录攻击对背景流量的影响:(2)在步骤(4)中,攻击报文应被丢弃,记录攻击对背景流量的影响;(3)在步骤(5)中,错误巅应被丢弃,并在错误月志中有相应记录,记录改击对背景流量的影响:(4)在步骤(6)中,超短恢应被丢弃,并提供统计数据,记录攻击对背景流量的影响:(5)在步骤(7)中,超长顿应被丢弃,并提供统计数据,记录攻击对背景流量的影响:(6)在步骤(8)中,应不接受错误的Update报文。判定原则:应符合预期结果要求,否则为不合格。4
测试编号:3
测试项县:PingFlod攻击处理能力測试(可选)测试目的:检验 DUT 处理 Ping Flood 攻击的能力测试配置:测试环境2
测试过程:
(1)按测试环境连接设备:
(2)仪表端口B与DUT建立OSPF邻居关系,并向DUT通告到网络2的路由;YD/T 1439-2006
(3)从测试仪表端口A向网络2中的某个IP地址以小于端速率的流量发送背景流量,并验证仪表端口B上流量能够正常接收:
(4)从测试仪表端口C向DUT环la地址以端口线速发送ICMPECHORequest数据包:(5)停止步骤(4)中流量的发送,从测试仪表端口C向网络2中的某个IP地址以端口线速发送JCMPECHORequest数据包。
预期结果:
(I)在步骤(4)中,DUT应对超量ICMP报文进行丢弃或限速,记录攻击对背景流量的影响:(2)在步骤(5)中,DUT应对超量ICMP报文进行丢弃或限速,记录攻击对背景流量的影响,判定原则:应符合预期结果要求,否则为不含格。测试编号:4
测试项目:SYNFlood攻击处理能力测试測试目的:检验DUT处理SYNFlood攻击的能力测试配置:测试环境2
试过程:
(1)按测试坏境连接设备;
(2)仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路由:(3)从测试仪表端口A向网络2中的某个卫地址以小于端口速率的流量发送背景流量,并验证仪表端口B上流量能够正常接收:
(4)从测试仪表端口C向网络2中的某个IP地址以端口剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址;
(5)停止步骤(4)中流量的发送,从测试仪表端口C向DUT环回地址土已开放的端口以端口剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址。预期结果:在步骤(4)和(5)中,DUT应对过量TCPSYN报文进行丢弃或降低优先级的排认处理,记录攻击对背景流量的影响。
判定原则:DUT 可以对过量 TCP SYN 报文进行丢弃或降低优先级的排队处理,背景流的流量和时延应不会受到严重影响。
YD/T 1439-2006
测试编号:5
测试项目:Smurf 攻击处理能力测试测试目的:检验DUT处理Smurf攻击的能力测试配置:测试环境2
测试过程:
(I)按测试环境连接设备:
(2)仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络「和网络2的路由;(3)从测试仪表端口A向网络2中的某个P地址以小于端口速率的流量发送背景流量,并验证仪表端口B上流量能够正常接收;
(4)从测试仪表端口C向网络1中的某个P地址以端口线速发送ICMPECHORequest数据包,数据包源地址为网络2的有限广播地址:(5)停止步骤(4)中流量的发送,从测试仪表端口C向DUT的环回地址以端口线速发送ICMPECHORequlest数据包,数据包源地址为网络2的有限广播地址:(6)停止步骤(5)中流量的发送,从测试仪表端口C向网络1以端口线速发送ICMPECHORequest数据包,数据包源地址为网络2中的某个IP地址,目的地址为网络1的有限广播地址。预期结果:步骤(4)到(6)中,DUT应对 ICMP报文进行丢弃,记录攻击对背流量的影响。判定原:应符合颈期结果要求,否则为不合格。5.3UAPF功能测试
测试编号:6
测试项目:严格URPF功能测试
测试目的:检验DUT实现严格URPF功能测试配置:测试环境2
衡试过程:
(1)按测试环境连接设备:
(2)仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址A.A.A.0/24配置到测试仪表端口A的静态路由;(3)在 DUT 上启用严格 URPF;
(4)从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;(5)停止步骤4)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为A.A.A.X:(6)停止步骤5)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为B.B.B.B(在路由器路由表中不存在到该地址的路由)。预期结果:
(1)在步骤(4)中,仪表端口B应可以收到测试数据包;(2)在步骤(5)和(6)中,仪表端口B不能收到测试数据包。判定原则:应符合预期结果要求,否则为不合格。6
测试编号:7
测试项目:松散URPF功能测试
测试目的:检验DUT实现松散URPF功能測试配置:测试环境2
测试过程:
(1)按测试环境连接设备;
YD/T 1439-2006
2)仪表端口A和B分别与DUT建立.OSPF邻居关系,并向DUT通告到网络I和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址A.A.A.0/24配置到测试仪表端口C的静态路由;(3)在DUT上启用松散URPF;
(4)从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;(5)停止步骤4冲数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为AA.A.X;(6)停止步骤(5)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为B.B.B,B(在路由器路由表中不存在到该地址的路由)。预期结果:
(1)在步骤(4)和(5)中,仪表端口B应可以收到测试数据包:(2)在步骤(6)中,仪表端口B不能收到测试数据包。判定原则:应符合预期结果要求,否则为不合格。测试编号:8
测试项目:基于ACL的URPF功能测试测试目的:检验DUT实现基于ACL的URPF功能测试配置:测试环境2
测试过程:
(1)按测试环境连接设备;
(2)仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址A.A.A.0/24配置到测试仪表端口C的静态路由:(3)在DUT上启用基于ACL的URPF,并配置ACL条目拒绝源地址为A.A.A,Y的数据包;(4)从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:(5)停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为A.A.A.X;(6)停止步骤5)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为A.A.A.Y;(7)停止步骤6)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为B.B,B.B(在路由器路由表中不存在到该地址的路由)预期结果:
(1)在步骤(4)和(5),仪表端口B应可以收到试数据包:(2)在步骤(6)和(7)中,仪表端口B不能收到测试数据包。判定原则:应符合预期结果要求,否则为不合格。YD/T 1439-2006
5.4 访问控制列表 ( ACL ) 测试测试编号:9
测试项目:基下源地址的ACL测试测试目的:检验 DUT是否实现基了源地址的 ACL测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于源地址的ACL(拒绝)条目:(3)从仪表端口A向仪表端口B发送符合过滤条件的IP包;(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包;(2)在步骤(4)中,仪表端口B可以收到数据包。判定原:应符合预期结果要求,否则为不合格。测试编号:10
测试项目:基于目的地址的ACL测试测试目的:检验DUT是否实现基于目的地址的ACL测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于目的地址的ACL(拒绝)条目:(3)从仪表端口A向仪表端口B发送符合过滤条件的IP包:(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包:(2)在步骤(4)中,仪表端口B可以收到数据包。判定原则:应符合预期结果要求,否则为不合格,测试编号:11
测试项目:基于协议类型的ACL测试测试目的:检验 DUT是否实现基于协议类型的 ACL测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于协议类型的ACL(拒绝)条目;(3)从仪表端口A向仪表端口B发送符合过滤条件的P包:(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果;
(1)在步骤(3)中,仪表端口B没有收到数据包:(2)在步骤(4)中,仪表端口B可以收到数据包。判定原则:应符合预期结果要求,否则为不合格。8
测试编号:12
测试项目:基于源端口的ACL测试测试目的:检验DUT是否实现基于源端口的ACL测试配置:测试环境t
测试过程:
(1)按测试环境连接设备;
(2)在DUT上配置基于源端凹的ACL(拒绝)条目;(3)从仪表端口A向仪表端口B发送符合过滤条件的P包:(4)从仪表端口A闻仪表端口B发送不符合过滤条件的IP包,预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包:(2)在步骤(4)中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格。测试编号:13
测试项目:基于目的端口的 ACL测试测试目的:检验DUT是否实现基于自的端口的ACL测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于目的端口的ACL(拒绝)条目;(3)从仪表端口A向仪表端口B发送符合过滤条件的IP包:(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包:(2)在步骤(4)中,仪表端几B可以收到数据包。判定原则:应符合预期结果要求,否则为不合格。测试编号:14
测试项目:基于五元组的ACE测试YD/T 1439-2006
测试目的:检验DUT是否实现基于五元组(源地址、目的地址、源端口、目的端口、协议类型)的ACL
测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于五元组的ACL(拒绝)条目;(3)从仪表端口A向仪表端口B发送符合过滤条件的IP包:(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包;(2)在步骤(4)中,仪表端口B可以收到数据包。判定原则:应符合预期结果要求,否则为不合格。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1439-2006
路由器设备安全测试方法
~高端路由器(基于IPv4)
Router security test methods-high end router(IPv4)2006-05-31发布
2006-10-01实施
中华入民共和国信息产业部发布前言·
1范圈·
2规范性引用文件
3缩略语与定义
3.1缩略语
3.2定义..
4测试环境…
5数据转发平面安全测试
5.1IPSec协议测试
5.2常见网络攻击抵抗能力测试
5.3URPF功能测试.
5.4访问控制列表(ACL)测试
5.5网络地址翻译(NAT)测试-
5.6流量控制功能测试
6路由/控制平面安全测试
6.1路由协议安全测试
6.2 TCP/IP 协议安全测试
6.3MPLSVPN安全测试
6.4路由过滤功能测试
7管理平面安全测试
7.1端口镜像
7.2访问控制安全测试…
7.3SNMPv3功能测试
安全审计功能测试··
YD/T 1439-2006
YD/T 1439-2006
本标准是“支持IPv4的路由器”系列标准之一,本系列标准的结构和名称预计如下:1.路由器设备技术要求——中低端路由器2.路由器测试方法—中低端路由器3.路由器设备技术要求——高端路由器4.路由器测试方法—高端路由器5.路由器设备安全技术要求一一中低端路由器(基于 Pv4)6.路由器设备安全测试方法中低端路由器(基于IPv4)7.路由器设备安全技术要求一高端路由器(基于Pv4)8.路由器设备安全测试方法高端路由器(基于Pv4)本标准与《路由器设备安全技术要求一高端路由器(基于IPv4)》配套使用。与本标准相关的还有“支持IPv6的路由器”系列标准,该系列标准的结构和名称预计如下:1.IPv6网络设备技术要求一支持IPv6的边缘路由器2.IPv6网络设备测试方法一支持IPv6的缘路由器3、IPv6网络设备技术要求——支持IPv6的核心路由器4.IPv6 网络设备测试方法支持IPv6 的核心路由器本标准由中国通信标准化协会提出并归口。本标准主要起草单位:信息产业部电信研究院本标谁主要起草人:高魏魏亮田辉马科1范围
YD/T 1439-2006
路由器设备安全测试方法一一高端路由器(基于IPv4)本标准规定了高端路由器涉及网络与信息安全方面的测试内容,包括数据转发平面安全测试、路由!控制平面安全测试和管理平面安全测试。本标准适用于基于IPv4的高端路由器设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1359-2005
YD/T 1467-2006
IETF RFC3412
ETF RFC3413
IETF RFC3414
IETF草案
IETF草案
IETF草案
JETF草案
3 缩略语与定义
路由器设备安全技术要求—高端路由器(基于IPv4)IP安全协议(IPSec)测试方法
简单网管协议(SNMP)的消息处理和发送简单网管协议(SNMP)应用
简单网管协议版本3(SNMPv3)中基于用户的安全模型(USM)SSH协议框架
SSH传输层协议
SSH认证协议
SSH连接协议
下列缩略语和定义适用于本标准。3.f缩略语
Access Control List
Border Gate way Protocol
Customer Edge
Device Under Test
Intermet Control Message PortocolInternet Protocol
IP Security
访问控制列表
界网关协议
用户边界设备
被测设备
因特网控制消息协议
因特网协议
IP安全机制
Intermediate System to Intermediate SystemProtocol中间系统到中间系统协议MultiProtocol Label Switch
Netwark Address Port Translation多协议标记交换
网络地址端口翻译
YD/T 1439-2006
3.2定义
NetworkAddressTranslalin
Open Shortest Path First
Provider Edge
Route Information Protocol
Secure SHell Protocol
Transport Control Protocol
User Data Protocol
Unicast ReversePathForwardingVirtual Private Network
网络地址翻译
开放最然路径优先协议
网络边界设备
路由信息协议
安全外尧协议
传输控制协议
用户数据报协议
单播逆向路径转发
蔽拟专用网
全局ACL:.种ACL配置方式,在设备全局模式下进行ACL配置,且该ACL条目在设备所有接口上生效。
4测试环境
测试环境1如图1所示。
测试仪表
测试环境 1
测试环境2如图2所示。
测试仪表端口
测试仪表端口 A
图2测试环境 2
测试环境3 如图 3 所示。
测试环境 3
网路2
测试仪表端口B
测试环境4如图4所示
测试环境5如图5所示。
图4测试环境4
认证服务器
日志服幸器
图5测试环境5
以上各图中测试仪表与DUT间均采用同种接口相连。5数据转发平面安全测试
YD/T 1439-2006
高端路由器的数据转发平面负责处理进人设备的流量。基于流量或基于对报文中字段的非法使用所形成的攻击会占用设备大量的处理时间,使路由器的可用性降低,甚至崩溃,或者对与路由器连接的其他网络设备或主机造成攻击。对高端路由器数据转发平面的安全测试主要包括IPSec协议测试、对带见网络攻击的抵抗能力测试、访问控制列表功能测试以及网络地址翻译功能测试。5.1IPSec协设测试
IPSec协议测试内容参见YDT1467-2006(IP安全协议(IPSec)测试方法》。YD/T 1439-2006
5.2常见网络攻击抵抗能力测试
测试编号:1
测试项目:抗大流量攻击能力测试测试目的:检验DUT处理大流量数据的能力测试配置;试环境
测试过程:
(!)按测试环境连接设备:
(2)从测试仪表端A向测试仪表端口B以线速发送数据包:(3)DUT启用动态路出协议,从测试仪表端口A向DUT建立协议邻居关系;(4)停止步骤(2)中数据包的发送;(S)从测试仪表端口A向DUT的环回地址以线速发送数据包:(6)从测试仪表端口 A向DUT建立协议邻居关系预期结果:在步骤(3)和(6)中,测试仪表与DUT间应能正常建立协议邻居关系,不受端口上流量的影响。wwW.vv99.Net
判定原则:应符合预期结果要求,否则为不合格测试编号:2
测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)从测试仪表端口A向测试仪表端口B发送小于接口速率的背景流星;(3)由仪表端口A以端口剩余带宽速率向DUT1端口发送报文长度(包括IP包头:)大于65535字节的ICMPECHORequest报文(PingofDeath攻击仿真报文);(4)停止步骤(3)中报文的发送,由仪表端口A向DUT环回地址发送多个Offset字段重叠的P报文(Teardrop攻击仿真报文):(5)停止步骤(4)中报文的发送,由仪表端口A向仪表端口B发送链路层错误(如以太网的FCS错误顿)报文;
(6)停止步骤(5)中报文的发送,由仪表端口A向仪表端口B发送长度小于64字节(以太网链路)的超短顿(Rurt);
(7)停止步骤(6)中报文的发送,由仪表端口A向仪表端I.tB发送长度大于链路MTU的超长顿(Giant);(8)停止步骤(7)中报文的发送,在DUT上启用OSPF路由协议,并由仪表端口A与DUT建立OSPF邻居关系,由仪表端口A向DUT发送错误的QSPFUpdate(如带有错误RauterID)报文,预期结巢:
(1)在步骤(3)巾,攻击报文应被丢弃,记录攻击对背景流量的影响:(2)在步骤(4)中,攻击报文应被丢弃,记录攻击对背景流量的影响;(3)在步骤(5)中,错误巅应被丢弃,并在错误月志中有相应记录,记录改击对背景流量的影响:(4)在步骤(6)中,超短恢应被丢弃,并提供统计数据,记录攻击对背景流量的影响:(5)在步骤(7)中,超长顿应被丢弃,并提供统计数据,记录攻击对背景流量的影响:(6)在步骤(8)中,应不接受错误的Update报文。判定原则:应符合预期结果要求,否则为不合格。4
测试编号:3
测试项县:PingFlod攻击处理能力測试(可选)测试目的:检验 DUT 处理 Ping Flood 攻击的能力测试配置:测试环境2
测试过程:
(1)按测试环境连接设备:
(2)仪表端口B与DUT建立OSPF邻居关系,并向DUT通告到网络2的路由;YD/T 1439-2006
(3)从测试仪表端口A向网络2中的某个IP地址以小于端速率的流量发送背景流量,并验证仪表端口B上流量能够正常接收:
(4)从测试仪表端口C向DUT环la地址以端口线速发送ICMPECHORequest数据包:(5)停止步骤(4)中流量的发送,从测试仪表端口C向网络2中的某个IP地址以端口线速发送JCMPECHORequest数据包。
预期结果:
(I)在步骤(4)中,DUT应对超量ICMP报文进行丢弃或限速,记录攻击对背景流量的影响:(2)在步骤(5)中,DUT应对超量ICMP报文进行丢弃或限速,记录攻击对背景流量的影响,判定原则:应符合预期结果要求,否则为不含格。测试编号:4
测试项目:SYNFlood攻击处理能力测试測试目的:检验DUT处理SYNFlood攻击的能力测试配置:测试环境2
试过程:
(1)按测试坏境连接设备;
(2)仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路由:(3)从测试仪表端口A向网络2中的某个卫地址以小于端口速率的流量发送背景流量,并验证仪表端口B上流量能够正常接收:
(4)从测试仪表端口C向网络2中的某个IP地址以端口剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址;
(5)停止步骤(4)中流量的发送,从测试仪表端口C向DUT环回地址土已开放的端口以端口剩余带宽发送TCPSYN数据包,数据包源地址为网络1中的某个地址。预期结果:在步骤(4)和(5)中,DUT应对过量TCPSYN报文进行丢弃或降低优先级的排认处理,记录攻击对背景流量的影响。
判定原则:DUT 可以对过量 TCP SYN 报文进行丢弃或降低优先级的排队处理,背景流的流量和时延应不会受到严重影响。
YD/T 1439-2006
测试编号:5
测试项目:Smurf 攻击处理能力测试测试目的:检验DUT处理Smurf攻击的能力测试配置:测试环境2
测试过程:
(I)按测试环境连接设备:
(2)仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络「和网络2的路由;(3)从测试仪表端口A向网络2中的某个P地址以小于端口速率的流量发送背景流量,并验证仪表端口B上流量能够正常接收;
(4)从测试仪表端口C向网络1中的某个P地址以端口线速发送ICMPECHORequest数据包,数据包源地址为网络2的有限广播地址:(5)停止步骤(4)中流量的发送,从测试仪表端口C向DUT的环回地址以端口线速发送ICMPECHORequlest数据包,数据包源地址为网络2的有限广播地址:(6)停止步骤(5)中流量的发送,从测试仪表端口C向网络1以端口线速发送ICMPECHORequest数据包,数据包源地址为网络2中的某个IP地址,目的地址为网络1的有限广播地址。预期结果:步骤(4)到(6)中,DUT应对 ICMP报文进行丢弃,记录攻击对背流量的影响。判定原:应符合颈期结果要求,否则为不合格。5.3UAPF功能测试
测试编号:6
测试项目:严格URPF功能测试
测试目的:检验DUT实现严格URPF功能测试配置:测试环境2
衡试过程:
(1)按测试环境连接设备:
(2)仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址A.A.A.0/24配置到测试仪表端口A的静态路由;(3)在 DUT 上启用严格 URPF;
(4)从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;(5)停止步骤4)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为A.A.A.X:(6)停止步骤5)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为B.B.B.B(在路由器路由表中不存在到该地址的路由)。预期结果:
(1)在步骤(4)中,仪表端口B应可以收到测试数据包;(2)在步骤(5)和(6)中,仪表端口B不能收到测试数据包。判定原则:应符合预期结果要求,否则为不合格。6
测试编号:7
测试项目:松散URPF功能测试
测试目的:检验DUT实现松散URPF功能測试配置:测试环境2
测试过程:
(1)按测试环境连接设备;
YD/T 1439-2006
2)仪表端口A和B分别与DUT建立.OSPF邻居关系,并向DUT通告到网络I和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址A.A.A.0/24配置到测试仪表端口C的静态路由;(3)在DUT上启用松散URPF;
(4)从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址;(5)停止步骤4冲数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为AA.A.X;(6)停止步骤(5)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为B.B.B,B(在路由器路由表中不存在到该地址的路由)。预期结果:
(1)在步骤(4)和(5)中,仪表端口B应可以收到测试数据包:(2)在步骤(6)中,仪表端口B不能收到测试数据包。判定原则:应符合预期结果要求,否则为不合格。测试编号:8
测试项目:基于ACL的URPF功能测试测试目的:检验DUT实现基于ACL的URPF功能测试配置:测试环境2
测试过程:
(1)按测试环境连接设备;
(2)仪表端口A和B分别与DUT建立OSPF邻居关系,并向DUT通告到网络1和网络2的路由,并发送流量验证路由的有效性,在DUT上为地址A.A.A.0/24配置到测试仪表端口C的静态路由:(3)在DUT上启用基于ACL的URPF,并配置ACL条目拒绝源地址为A.A.A,Y的数据包;(4)从仪表端口A向仪表端口B发送数据包,数据包源地址为网络1中的地址:(5)停止步骤4中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为A.A.A.X;(6)停止步骤5)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为A.A.A.Y;(7)停止步骤6)中数据流的发送,从仪表端口A向仪表端口B发送数据包,数据包源地址为B.B,B.B(在路由器路由表中不存在到该地址的路由)预期结果:
(1)在步骤(4)和(5),仪表端口B应可以收到试数据包:(2)在步骤(6)和(7)中,仪表端口B不能收到测试数据包。判定原则:应符合预期结果要求,否则为不合格。YD/T 1439-2006
5.4 访问控制列表 ( ACL ) 测试测试编号:9
测试项目:基下源地址的ACL测试测试目的:检验 DUT是否实现基了源地址的 ACL测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于源地址的ACL(拒绝)条目:(3)从仪表端口A向仪表端口B发送符合过滤条件的IP包;(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包;(2)在步骤(4)中,仪表端口B可以收到数据包。判定原:应符合预期结果要求,否则为不合格。测试编号:10
测试项目:基于目的地址的ACL测试测试目的:检验DUT是否实现基于目的地址的ACL测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于目的地址的ACL(拒绝)条目:(3)从仪表端口A向仪表端口B发送符合过滤条件的IP包:(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包:(2)在步骤(4)中,仪表端口B可以收到数据包。判定原则:应符合预期结果要求,否则为不合格,测试编号:11
测试项目:基于协议类型的ACL测试测试目的:检验 DUT是否实现基于协议类型的 ACL测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于协议类型的ACL(拒绝)条目;(3)从仪表端口A向仪表端口B发送符合过滤条件的P包:(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果;
(1)在步骤(3)中,仪表端口B没有收到数据包:(2)在步骤(4)中,仪表端口B可以收到数据包。判定原则:应符合预期结果要求,否则为不合格。8
测试编号:12
测试项目:基于源端口的ACL测试测试目的:检验DUT是否实现基于源端口的ACL测试配置:测试环境t
测试过程:
(1)按测试环境连接设备;
(2)在DUT上配置基于源端凹的ACL(拒绝)条目;(3)从仪表端口A向仪表端口B发送符合过滤条件的P包:(4)从仪表端口A闻仪表端口B发送不符合过滤条件的IP包,预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包:(2)在步骤(4)中,仪表端口B可以收到数据包判定原则:应符合预期结果要求,否则为不合格。测试编号:13
测试项目:基于目的端口的 ACL测试测试目的:检验DUT是否实现基于自的端口的ACL测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于目的端口的ACL(拒绝)条目;(3)从仪表端口A向仪表端口B发送符合过滤条件的IP包:(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包:(2)在步骤(4)中,仪表端几B可以收到数据包。判定原则:应符合预期结果要求,否则为不合格。测试编号:14
测试项目:基于五元组的ACE测试YD/T 1439-2006
测试目的:检验DUT是否实现基于五元组(源地址、目的地址、源端口、目的端口、协议类型)的ACL
测试配置:测试环境1
测试过程:
(1)按测试环境连接设备:
(2)在DUT上配置基于五元组的ACL(拒绝)条目;(3)从仪表端口A向仪表端口B发送符合过滤条件的IP包:(4)从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果:
(1)在步骤(3)中,仪表端口B没有收到数据包;(2)在步骤(4)中,仪表端口B可以收到数据包。判定原则:应符合预期结果要求,否则为不合格。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。