YD/T 2041-2009
基本信息
标准号: YD/T 2041-2009
中文名称:IPv6 网络设备安全测试方法 —— 宽带网络接入服务器
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1643563
相关标签: 网络设备 安全 测试方法 宽带 网络 接入服务器
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2041-2009.Security test specification of IPv6 network device —— Broadband network access serve.
1范围
YD/T 2041规定了支持IPv6的宽带网络接入服务器涉及安全相关测试的内容,包括数据平面、控制平面和管理平面的安全测试。
YD/T 2041适用于支持IPv6的宽带网络接入服务器。
本标准中出现的所有未特指的宽带网络接入服务器、接入服务器、设备等均指IPv6宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1265-2003网络接入服务器(NAS)测试方法一宽带网络接入服务器
YD/T 1467-2006IP安全协议(IPSec) 测试方法
3缩略语
下列缩略语适用于本标准。
ACL Access Control List 访问控制列表
BGP Border Gateway Protocol 边界网关协议
BGP4+ BGP version 4 Plus 支持IPv6的BGP协议版本4
5数据平面安全测试
5.1 IPSec 功能
PSec相关安全功能测试见YD/T 1467- 2006。
5.2 L2TP 功能
L2TP相关安全功能测试见YD/T 1265- 2003。
1范围
YD/T 2041规定了支持IPv6的宽带网络接入服务器涉及安全相关测试的内容,包括数据平面、控制平面和管理平面的安全测试。
YD/T 2041适用于支持IPv6的宽带网络接入服务器。
本标准中出现的所有未特指的宽带网络接入服务器、接入服务器、设备等均指IPv6宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1265-2003网络接入服务器(NAS)测试方法一宽带网络接入服务器
YD/T 1467-2006IP安全协议(IPSec) 测试方法
3缩略语
下列缩略语适用于本标准。
ACL Access Control List 访问控制列表
BGP Border Gateway Protocol 边界网关协议
BGP4+ BGP version 4 Plus 支持IPv6的BGP协议版本4
5数据平面安全测试
5.1 IPSec 功能
PSec相关安全功能测试见YD/T 1467- 2006。
5.2 L2TP 功能
L2TP相关安全功能测试见YD/T 1265- 2003。
标准图片预览
标准内容
ICS 33.040.40
中华人民共和国通信行业标准
YD/T 2041-2009
IPv6网络设备安全测试方法
宽带网络接入服务器
Security test specification of IPv6 network device-Broadbandnetworkaccessserver2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件·
3缩略语·
测试环境配置
数据平面安全测试
5.1IPSec 功能
L2TP功能
常见攻击防护,
URPF功能·
ACL功能·
流量控制功能
会话及应用监测功能…
6控制平面安全测试:
用户安全管理功能·
路由协议安全
路出过滤功能·
TCP/LP 协议安全·
VPN功能·
GTSM 功能-
管理平面安全测试
端口镜像功能
访问控制功能·
SSH 安全访问功能
SNMPv3 协议安全
用户口令安全·
安全审计边能·
基于采样的流信息输出功能
参考文献
YTKAOKAa
YD/T 2041-2009
YD/T2041-2009
本标准是“IPv6网络设备安全”系列标准之一,该系列标准预计的结构和名称如下:1. YD/T 2041-2009
IPv6网络设备安全技术要求—一宽带网络接入服务器IPv6网络设备安全测试方法一宽带网络接入服务器2. YD/T 1905-2009
9IPv6网络设备安全技术要求——宽带网络接入服务器配套使用。本标准与YD/T1905-2009
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:杨剑锋。
1范围
PV6网络设备安全测试方法
宽带网络接入服务器
YD/T 2041-2009
本标推规定了支持IPv6的宽带网络接入服务器涉及安全相关测试的内容,包括数据平面、控制平面和管理平面的安全测试。
本标准适用于支持V的宽带网络接入服务器。本标推中出现的所有未特指的宽带网络接入服务器、接入服务器、设备等均指V宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1265-2003
YD/T 1467-2006
3缩略语
网络接入服务器(NAS)测试方法宽带网络接入服务器
P安全协议(IPSec)测试方法
下列缩略语适用于本标准。
ICMPv6
IS-ISv6
Access Control List
BorderGateway Protocol
BGP version 4 Plus
Device Under Test
File Transfer Protocol
GeneralizedTrLSecurityMechanismHyperTextTransfer Protocol
Internet Control Message ProtocolICMP version 6
Intemet Protocol
Internet Protocol version 6
IPSecurity
IntermediateSystem to IntermediateSystemIS-IS version 6
Layer 2 Tunneling Protoco
Layer 2 VPN
YTKAOKAa
访问控制列表
边界网关协议
支持 IPv6的 BGP协议版本 4
被测设备
文件传输协议
通用 TTL 安全机制
超文本传输协议
互联网控制报文协议
ICMP 协议版本 6
互联网协议
互联网协议版本6
安全机制
中间系统一中间系统
IS-IS 协议版本 6
二层隧道协议
二层 VPN
YD/T 2041-2009
OSPFv3
SNMPv3
Layer 3 VPN
Media Access Control
Message Digest version 5
Network Access Server
Neighbor Discovery
Open Shortest Path First
OSPF version 3
Point-to-Point Protocol
Route Information Protocol
Routing Inforination Protocol, Next GenerationSimple Message Transfer ProtocolSimple Network Management ProtccolSNMP version 3
Secure Shell
SSH version 1
SSH version 2
Transmission Control ProtoxcolUser Datagram Protocol
UnicastReversePathForwardingVirtual Local Area Networks
Virtual Private Network
测试环境配置
测试环境1如图1所示。
测试环境2如图2所示。
网络a
测试环境3如图3所示。
俊表A
三层VPN
媒质访问控制
报文摘要版本5wwW.bzxz.Net
网络接入服务器
邻居发现
最短路径优先
OSPF协议版本 3
点到点协议
路由信息协议
下一代路由信息协议
简单邮件传输协议
简单网管协议
SNMP协议版本 3
安全外壳程序
SSH版本1
SSH版本2
传输控制协议
用户数据报协议
单播反向路径转发
虚拟局域网
虚拟专用网
仪表B
测试环境配量!
网络c
夜表C
图2测试环境配量2
两络女
网络:
网络c
测试环境4如图4所示。
用户b
测试环境5如图5所示。
测试环境6如图6所示。
测试环境7如图7所示。
用户b
仪表A
仪表A
仪表B
仪表A
仪表A
数据平面安全测试
IPSec功能
图 3 测试环境配重 3
俄表B
认证服务器
图 4 测试环境配置 4
认证服务器
测试环境配量5
测试环境配置6
Portl服务器
仪表C
仪表B
认证服务器
图 7 试环境配置 7
IPSec相关安全功能测试见YD/T1467-2006。5.2 L2TP 功能
L2TP相关安全功能测试见YD/T1265-2003。YTKAONYKACA
日志服务器
YD/T 2041-2009
YD/T 2041-2009
5.3常见攻击防护
测试编号:1
测试项目:抗大流量冲击测试
測试类别:必选
测试配置:测试配置图1
测试步骤:
1)按测试环境配置连接设备;
2)在仪表A,B间以线速发送数据包:3)DUT的1端口启用路由协议,仪表A通告路由信息:4)停止步骤2)中数据包的发送:5)仪表以线速向DUT的环回地址发送数据包:6)仪表A通告路由信息
预期结果:
在步骤3)、6)中,DUT能正确处理和更新路由信息,控制平面和管理平面功能不受背景流量影响判定原则:
应完全符合预期结果,否则判定不合格测试编号:2
测试项目;畸形包处理功能测试测试类别:必选
测试配置:测试配置图!
测试步骤:
1)按测试环境配置连接设备;
2)在仪表A、B间以小于吞吐量的速率发送数据包:3)由仪表A向仪表B发送链路层错误(如Aligment错误顿、FCS错误帧、CRC错误懒)报文;4)停止步骤3)中报文的发送,由仪表A向仪表B发送颠间隔低于最小规范值的报文(Dribble);S)停止步骤4)中报文的发送,由仪表A向仪表B发送超长帧(Giant):6)停止步骤5)中报文的发送,由仪表A向仪表B发送超短顿(Runt)预期结果:
1)在步骤3)、5)、6)中,错误帧应被丢弃,DUT在口志中有相应记录,记录错误顿对背景流景的影响;2)在步骤4)中,错误顿被丢弃或仪表B接收到被更正的报文,DUT在志中有相应记录判定原则:
应完全符合预期结果,否则判定不合格测试编号:3
测试项目:ICMPFlood攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
YD/T 2041-2009
2)仪表A和B分别与DUT的 1、2端口启用路出协议,并向DUT通告到网络a和网络 b 的路出;3)从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收:
4)从仪表C向DUT环回地址以线速发送ICMPv6攻击数据包及分片包(类型为EchoRequestFlood);5)停止步骤4)中流量的发送,从仪表C向DUT环向地址以端口吞吐量发送ICMPv6Flood攻击数据包(类型包括目的不可达、包过人、超时、参数错误等);6)停止:步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送ICMPv6攻市数据包(类型同步骤5)),源地址为网络b中的某个P地址预期结果:
在步骤4)、5)、6)中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格测试编号:4
测试项目:ICMPSpoxof攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备
2)仪表 A 和 B 分别与 DUT 的 1、2 端口启用路由协议,并向 DUT 通告到网络 a 和网络 b 的路由:3)从仪表A向网h 中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;
4)从仪表C向DUT环回地址以端凹吞吐量发送ICMPy6攻击数据包(类型包括目的不可达、包过大、超时、参数错误等),源地址为网络a中的某个P地址;5)停止步骤4)中流量的发送,从仪表B 向 DUT端口2的链路本地地址以端口吞吐量发送ICMPv6攻击数据包(类型同步骤4)),源地址为网络a中的某个P地址;6)停止步骤5)中流量的发送.从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送ICMPv6攻击数据包(类型为EchoReguestFlood),源地址为网络a的组播地址:7)停止步骤6)中流量的发送,从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送ICMPv6致击数据包(类型同步骤6)),源地址为DUT环向地址预期结果:
在步骤4),5)、6)、7)、中,攻击报文应被丢弃,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格YKAOYKAa
YD/T 2041-2009
测试编号:5
测试项目:TCP标记 Flood攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备
2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个P地址以小丁端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;
4)从仪表C向DUT环回地址以线速发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、CWR、ECE, FIN, URG FIOd)
5)停止步骤4)中流量的发送,从仪表C向DUT环回地址以线速发送TCP标记攻出数据包及分片包(类型为ErroneousFlagsFlood);6)停止步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP标记攻击数据包及分片包(类型同步骤4)),源地址为网络b中的某个地址预期结果:
在步骤4)、5)、6)中,政击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格测试编号:6
测试项日:TCP状态Flood防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按測试环境连接设备:
2)仪表 A 和 B 分别与 DUT 的1、2 端口启用路由协议,并向,DUT通告到网络 a和网络 b 的路出3)从仪表A向网络b 中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表 B能够正常接收:
4)从仪表C向 DUT环回地址:以线速发送TCP状态攻击数据包及分片包(类型 State Flood):5)停止步骤4)中流量的发送,从仪表C向DUT环回地址以端口香叮量发送TCP状态攻击数据包及分片包 (FIood类型包括 SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK 等);6)停止步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻击数据包及分片包(类型同步骤5)),源地址为网络b中的某个卫地址预期结果:
在步骤4)、5)、6)中,攻击报文应被丢弃或限速,DUT在日志中有柏应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格6
测试编号:7
测试项目:TCPSpoof攻击防扩功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
YD/T2041-2009
2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT道告到网络a和网络b的路由;3)从仪表A向网络b中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收
4)从仪表C向DUT环回地址以端凹吞吐量发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、CWR、ECE、FIN、URGFlood),源地址为网络a 中的某个P地址:5)停,l:步骤4)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP攻市数据包及分片包(类型同步骤4)),源地址为网络a中的某个P地址:6)停止步骤5)中流量的发送,从仪表A向网络b中的某个IP地址以端口吞吐量剩余带宽发送TCP攻击数据包(类型同步骤4)),源地址为网络a的组播地址;7)停止步骤6)中流冠的发送,从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送TCP攻击数据包(类型同步骤4)),源地址为DUT环回地址等预期结果:
在步骤4)、5)、6)、7)中,攻击报文应被丢弃,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格测试编号:8
测试项目:UDPFlood攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量:并验证仪表B能够正常接收:
4)从仪表C向DUT环回地址以线速发送UDPFlood攻击数据包及分片包(类型包括Echo、Chargen等);
5)停止步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送UDPFlood攻击数据包及分片包(类型同步骤4)),源地址为网络b中的某个卫地址预期结果:
在步骤4)、5)中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格YKAONYKAa
YD/T2041-2009
测试编号:9
测试项口:UDPSpoof攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
2)仪表 A和B分别与 DUT 的 T、2端口启用路由协议,并向DUT通告到网络a和网络 b的路出;3)从仪表A问网络 b 中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;
4)从仪表C向DUT环回地址以端口吞口量发送UDPSpof攻击数据包及分片包(类型括Echo和Chargen 等),源地址为网络a 中的个P地址;5)停:止步骤4)中流量的发送,从仪表B向DUT端山2的链路本地地址以端口吞吐量发送UDP Spoof攻击数据包及分片包(类型同步骤4)),源地址为网络b中的某个P地址;6)停止步骤5)中流量的发送,从仪表A间网络b中的某个IP地址以端口吞吐量剩余带宽发送UDFSpoof攻击数据包(类型同步骤4)),源地址为网络a的组播地址:7)停止步骤6)中流量的发送,从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送UDPSpoof攻止数据包(类型同步骤4)),源地址为DUT环回地址等预期结果:
在步骤4、5)、6)、7)中,攻击报文应被丢弃,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格5.4URPF功能
测试编号:10
测试项目:严格的URPF功能测试测试类别;必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
2)仪表A和B与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由,并发送流常验证路由的有效性:
3)在DUT上配置端口3到网络c的静态路由,启用严格的URPF;4)从仪表端口A间仪表端口B发送数据包,数据包源地址为网络a中的地址;5)停止步骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络c中的地址;6)停止步骤5)中数据流的发送,从仪表A向仪表日发送数据包,数据包源地址为路由表中不存的地址
预期结果:
1)在步骤4)中,仪表B应可以收到测试数据包;2)在步骤5)、6)中,仪表B不能收到测试数据包判定惊则:
应完全符合预期结果,否则判定不合格8
测试编号:11
测试项目:松散的URPF功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
YD/T2041-2009
2)仪表 A和 B 与 DUT 的 1、2端口启用路由协议,并向 DUT 通告到网络a和网络 b的路由,并发送流量验证路出的有效性;
3)在DUT,上配置端口3到网络 c的静态路出,启用松散的 URPF;4)从仪表A向仪表B发送数据包,数据包源地址为网络a中的地址:5)停止步骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络c中的地址:6)停山步骤5)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为路由表中不存的地址
预期结果:
1)在步骤4)、5)中,仪表B应可以收到测试数据包:2)在步骤6)中,仪表B不能收到测试数据包判定原则:
应完全符合预期结果,否则判定不合格测试编号:12
测试项目:基于ACL的URPF功能测试测试类别:必选
测试配置:测试配臂图3
测试步骤:
1)按测试环境连接设备:
2)仪表 A 和 B 与 DUT 的 1、2 端口启用路由协议,并向 DUT通告到网络a和网络 b 的路由,并发送流景验证路中的有效性;
3)在 DUT 上配置端口 1到网络 3 的静态路由,启用基于 ACL 的 URPF,配置 ACL 规则拒绝源地址为网络3中地址x的数据包;
4)从仪表A间仪表B发送数据包,数据包源地址为网络a中的地址:5)停止步骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络3中地址y:6)停止步骤5)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络3中地址x预期结果:
1)在步骤4)、5)中,仪表B应可以收到测试数据包:2)在步骤6)中,仪表B不能收到测试数据包判定原则:
应完全符合预期结果,否期判定不合格9
YTKAOKAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 2041-2009
IPv6网络设备安全测试方法
宽带网络接入服务器
Security test specification of IPv6 network device-Broadbandnetworkaccessserver2009-12-11发布
2010-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件·
3缩略语·
测试环境配置
数据平面安全测试
5.1IPSec 功能
L2TP功能
常见攻击防护,
URPF功能·
ACL功能·
流量控制功能
会话及应用监测功能…
6控制平面安全测试:
用户安全管理功能·
路由协议安全
路出过滤功能·
TCP/LP 协议安全·
VPN功能·
GTSM 功能-
管理平面安全测试
端口镜像功能
访问控制功能·
SSH 安全访问功能
SNMPv3 协议安全
用户口令安全·
安全审计边能·
基于采样的流信息输出功能
参考文献
YTKAOKAa
YD/T 2041-2009
YD/T2041-2009
本标准是“IPv6网络设备安全”系列标准之一,该系列标准预计的结构和名称如下:1. YD/T 2041-2009
IPv6网络设备安全技术要求—一宽带网络接入服务器IPv6网络设备安全测试方法一宽带网络接入服务器2. YD/T 1905-2009
9IPv6网络设备安全技术要求——宽带网络接入服务器配套使用。本标准与YD/T1905-2009
本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:杨剑锋。
1范围
PV6网络设备安全测试方法
宽带网络接入服务器
YD/T 2041-2009
本标推规定了支持IPv6的宽带网络接入服务器涉及安全相关测试的内容,包括数据平面、控制平面和管理平面的安全测试。
本标准适用于支持V的宽带网络接入服务器。本标推中出现的所有未特指的宽带网络接入服务器、接入服务器、设备等均指V宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1265-2003
YD/T 1467-2006
3缩略语
网络接入服务器(NAS)测试方法宽带网络接入服务器
P安全协议(IPSec)测试方法
下列缩略语适用于本标准。
ICMPv6
IS-ISv6
Access Control List
BorderGateway Protocol
BGP version 4 Plus
Device Under Test
File Transfer Protocol
GeneralizedTrLSecurityMechanismHyperTextTransfer Protocol
Internet Control Message ProtocolICMP version 6
Intemet Protocol
Internet Protocol version 6
IPSecurity
IntermediateSystem to IntermediateSystemIS-IS version 6
Layer 2 Tunneling Protoco
Layer 2 VPN
YTKAOKAa
访问控制列表
边界网关协议
支持 IPv6的 BGP协议版本 4
被测设备
文件传输协议
通用 TTL 安全机制
超文本传输协议
互联网控制报文协议
ICMP 协议版本 6
互联网协议
互联网协议版本6
安全机制
中间系统一中间系统
IS-IS 协议版本 6
二层隧道协议
二层 VPN
YD/T 2041-2009
OSPFv3
SNMPv3
Layer 3 VPN
Media Access Control
Message Digest version 5
Network Access Server
Neighbor Discovery
Open Shortest Path First
OSPF version 3
Point-to-Point Protocol
Route Information Protocol
Routing Inforination Protocol, Next GenerationSimple Message Transfer ProtocolSimple Network Management ProtccolSNMP version 3
Secure Shell
SSH version 1
SSH version 2
Transmission Control ProtoxcolUser Datagram Protocol
UnicastReversePathForwardingVirtual Local Area Networks
Virtual Private Network
测试环境配置
测试环境1如图1所示。
测试环境2如图2所示。
网络a
测试环境3如图3所示。
俊表A
三层VPN
媒质访问控制
报文摘要版本5wwW.bzxz.Net
网络接入服务器
邻居发现
最短路径优先
OSPF协议版本 3
点到点协议
路由信息协议
下一代路由信息协议
简单邮件传输协议
简单网管协议
SNMP协议版本 3
安全外壳程序
SSH版本1
SSH版本2
传输控制协议
用户数据报协议
单播反向路径转发
虚拟局域网
虚拟专用网
仪表B
测试环境配量!
网络c
夜表C
图2测试环境配量2
两络女
网络:
网络c
测试环境4如图4所示。
用户b
测试环境5如图5所示。
测试环境6如图6所示。
测试环境7如图7所示。
用户b
仪表A
仪表A
仪表B
仪表A
仪表A
数据平面安全测试
IPSec功能
图 3 测试环境配重 3
俄表B
认证服务器
图 4 测试环境配置 4
认证服务器
测试环境配量5
测试环境配置6
Portl服务器
仪表C
仪表B
认证服务器
图 7 试环境配置 7
IPSec相关安全功能测试见YD/T1467-2006。5.2 L2TP 功能
L2TP相关安全功能测试见YD/T1265-2003。YTKAONYKACA
日志服务器
YD/T 2041-2009
YD/T 2041-2009
5.3常见攻击防护
测试编号:1
测试项目:抗大流量冲击测试
測试类别:必选
测试配置:测试配置图1
测试步骤:
1)按测试环境配置连接设备;
2)在仪表A,B间以线速发送数据包:3)DUT的1端口启用路由协议,仪表A通告路由信息:4)停止步骤2)中数据包的发送:5)仪表以线速向DUT的环回地址发送数据包:6)仪表A通告路由信息
预期结果:
在步骤3)、6)中,DUT能正确处理和更新路由信息,控制平面和管理平面功能不受背景流量影响判定原则:
应完全符合预期结果,否则判定不合格测试编号:2
测试项目;畸形包处理功能测试测试类别:必选
测试配置:测试配置图!
测试步骤:
1)按测试环境配置连接设备;
2)在仪表A、B间以小于吞吐量的速率发送数据包:3)由仪表A向仪表B发送链路层错误(如Aligment错误顿、FCS错误帧、CRC错误懒)报文;4)停止步骤3)中报文的发送,由仪表A向仪表B发送颠间隔低于最小规范值的报文(Dribble);S)停止步骤4)中报文的发送,由仪表A向仪表B发送超长帧(Giant):6)停止步骤5)中报文的发送,由仪表A向仪表B发送超短顿(Runt)预期结果:
1)在步骤3)、5)、6)中,错误帧应被丢弃,DUT在口志中有相应记录,记录错误顿对背景流景的影响;2)在步骤4)中,错误顿被丢弃或仪表B接收到被更正的报文,DUT在志中有相应记录判定原则:
应完全符合预期结果,否则判定不合格测试编号:3
测试项目:ICMPFlood攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
YD/T 2041-2009
2)仪表A和B分别与DUT的 1、2端口启用路出协议,并向DUT通告到网络a和网络 b 的路出;3)从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收:
4)从仪表C向DUT环回地址以线速发送ICMPv6攻击数据包及分片包(类型为EchoRequestFlood);5)停止步骤4)中流量的发送,从仪表C向DUT环向地址以端口吞吐量发送ICMPv6Flood攻击数据包(类型包括目的不可达、包过人、超时、参数错误等);6)停止:步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送ICMPv6攻市数据包(类型同步骤5)),源地址为网络b中的某个P地址预期结果:
在步骤4)、5)、6)中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格测试编号:4
测试项目:ICMPSpoxof攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备
2)仪表 A 和 B 分别与 DUT 的 1、2 端口启用路由协议,并向 DUT 通告到网络 a 和网络 b 的路由:3)从仪表A向网h 中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;
4)从仪表C向DUT环回地址以端凹吞吐量发送ICMPy6攻击数据包(类型包括目的不可达、包过大、超时、参数错误等),源地址为网络a中的某个P地址;5)停止步骤4)中流量的发送,从仪表B 向 DUT端口2的链路本地地址以端口吞吐量发送ICMPv6攻击数据包(类型同步骤4)),源地址为网络a中的某个P地址;6)停止步骤5)中流量的发送.从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送ICMPv6攻击数据包(类型为EchoReguestFlood),源地址为网络a的组播地址:7)停止步骤6)中流量的发送,从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送ICMPv6致击数据包(类型同步骤6)),源地址为DUT环向地址预期结果:
在步骤4),5)、6)、7)、中,攻击报文应被丢弃,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格YKAOYKAa
YD/T 2041-2009
测试编号:5
测试项目:TCP标记 Flood攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备
2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个P地址以小丁端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;
4)从仪表C向DUT环回地址以线速发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、CWR、ECE, FIN, URG FIOd)
5)停止步骤4)中流量的发送,从仪表C向DUT环回地址以线速发送TCP标记攻出数据包及分片包(类型为ErroneousFlagsFlood);6)停止步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP标记攻击数据包及分片包(类型同步骤4)),源地址为网络b中的某个地址预期结果:
在步骤4)、5)、6)中,政击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格测试编号:6
测试项日:TCP状态Flood防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按測试环境连接设备:
2)仪表 A 和 B 分别与 DUT 的1、2 端口启用路由协议,并向,DUT通告到网络 a和网络 b 的路出3)从仪表A向网络b 中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表 B能够正常接收:
4)从仪表C向 DUT环回地址:以线速发送TCP状态攻击数据包及分片包(类型 State Flood):5)停止步骤4)中流量的发送,从仪表C向DUT环回地址以端口香叮量发送TCP状态攻击数据包及分片包 (FIood类型包括 SYN+ACK、SYN+FIN、SYN+RST、FIN+ACK、PSH+ACK 等);6)停止步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP状态攻击数据包及分片包(类型同步骤5)),源地址为网络b中的某个卫地址预期结果:
在步骤4)、5)、6)中,攻击报文应被丢弃或限速,DUT在日志中有柏应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格6
测试编号:7
测试项目:TCPSpoof攻击防扩功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
YD/T2041-2009
2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT道告到网络a和网络b的路由;3)从仪表A向网络b中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收
4)从仪表C向DUT环回地址以端凹吞吐量发送TCP标记攻击数据包及分片包(类型包括SYN、ACK、CWR、ECE、FIN、URGFlood),源地址为网络a 中的某个P地址:5)停,l:步骤4)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送TCP攻市数据包及分片包(类型同步骤4)),源地址为网络a中的某个P地址:6)停止步骤5)中流量的发送,从仪表A向网络b中的某个IP地址以端口吞吐量剩余带宽发送TCP攻击数据包(类型同步骤4)),源地址为网络a的组播地址;7)停止步骤6)中流冠的发送,从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送TCP攻击数据包(类型同步骤4)),源地址为DUT环回地址等预期结果:
在步骤4)、5)、6)、7)中,攻击报文应被丢弃,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格测试编号:8
测试项目:UDPFlood攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
2)仪表A和B分别与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由;3)从仪表A向网络b中的某个IP地址以小于端口吞吐量的流量发送背景流量:并验证仪表B能够正常接收:
4)从仪表C向DUT环回地址以线速发送UDPFlood攻击数据包及分片包(类型包括Echo、Chargen等);
5)停止步骤5)中流量的发送,从仪表B向DUT端口2的链路本地地址以端口吞吐量发送UDPFlood攻击数据包及分片包(类型同步骤4)),源地址为网络b中的某个卫地址预期结果:
在步骤4)、5)中,攻击报文应被丢弃或限速,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格YKAONYKAa
YD/T2041-2009
测试编号:9
测试项口:UDPSpoof攻击防护功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
2)仪表 A和B分别与 DUT 的 T、2端口启用路由协议,并向DUT通告到网络a和网络 b的路出;3)从仪表A问网络 b 中的某个P地址以小于端口吞吐量的流量发送背景流量,并验证仪表B能够正常接收;
4)从仪表C向DUT环回地址以端口吞口量发送UDPSpof攻击数据包及分片包(类型括Echo和Chargen 等),源地址为网络a 中的个P地址;5)停:止步骤4)中流量的发送,从仪表B向DUT端山2的链路本地地址以端口吞吐量发送UDP Spoof攻击数据包及分片包(类型同步骤4)),源地址为网络b中的某个P地址;6)停止步骤5)中流量的发送,从仪表A间网络b中的某个IP地址以端口吞吐量剩余带宽发送UDFSpoof攻击数据包(类型同步骤4)),源地址为网络a的组播地址:7)停止步骤6)中流量的发送,从仪表A向网络b中的某个P地址以端口吞吐量剩余带宽发送UDPSpoof攻止数据包(类型同步骤4)),源地址为DUT环回地址等预期结果:
在步骤4、5)、6)、7)中,攻击报文应被丢弃,DUT在日志中有相应记录,背景流量不受影响判定原则:
应完全符合预期结果,否则判定不合格5.4URPF功能
测试编号:10
测试项目:严格的URPF功能测试测试类别;必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
2)仪表A和B与DUT的1、2端口启用路由协议,并向DUT通告到网络a和网络b的路由,并发送流常验证路由的有效性:
3)在DUT上配置端口3到网络c的静态路由,启用严格的URPF;4)从仪表端口A间仪表端口B发送数据包,数据包源地址为网络a中的地址;5)停止步骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络c中的地址;6)停止步骤5)中数据流的发送,从仪表A向仪表日发送数据包,数据包源地址为路由表中不存的地址
预期结果:
1)在步骤4)中,仪表B应可以收到测试数据包;2)在步骤5)、6)中,仪表B不能收到测试数据包判定惊则:
应完全符合预期结果,否则判定不合格8
测试编号:11
测试项目:松散的URPF功能测试测试类别:必选
测试配置:测试配置图2
测试步骤:
1)按测试环境连接设备:
YD/T2041-2009
2)仪表 A和 B 与 DUT 的 1、2端口启用路由协议,并向 DUT 通告到网络a和网络 b的路由,并发送流量验证路出的有效性;
3)在DUT,上配置端口3到网络 c的静态路出,启用松散的 URPF;4)从仪表A向仪表B发送数据包,数据包源地址为网络a中的地址:5)停止步骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络c中的地址:6)停山步骤5)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为路由表中不存的地址
预期结果:
1)在步骤4)、5)中,仪表B应可以收到测试数据包:2)在步骤6)中,仪表B不能收到测试数据包判定原则:
应完全符合预期结果,否则判定不合格测试编号:12
测试项目:基于ACL的URPF功能测试测试类别:必选
测试配置:测试配臂图3
测试步骤:
1)按测试环境连接设备:
2)仪表 A 和 B 与 DUT 的 1、2 端口启用路由协议,并向 DUT通告到网络a和网络 b 的路由,并发送流景验证路中的有效性;
3)在 DUT 上配置端口 1到网络 3 的静态路由,启用基于 ACL 的 URPF,配置 ACL 规则拒绝源地址为网络3中地址x的数据包;
4)从仪表A间仪表B发送数据包,数据包源地址为网络a中的地址:5)停止步骤4)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络3中地址y:6)停止步骤5)中数据流的发送,从仪表A向仪表B发送数据包,数据包源地址为网络3中地址x预期结果:
1)在步骤4)、5)中,仪表B应可以收到测试数据包:2)在步骤6)中,仪表B不能收到测试数据包判定原则:
应完全符合预期结果,否期判定不合格9
YTKAOKAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。