YD/T 1659-2007
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1659-2007.Testing Methods of Security for Broadband Network Access Server.
1范围
YD/T 1659规定了宽带网络接入服务器涉及安全方面的测试内容,包括数据转发平面安全测试、控制平面测试和管理平面安全测试。
YD/T 1659适用于宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注8期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1265-2003网络接入服务器(NAS)测试方法
YD/T 1467-2006 IP安全协议(IPSec)测试方法
3缩略语
下列缩略语适用于本标准。
ACL Access Control List 访问控制列表
ATU-R ADSL Transceiver Unit Remote 非对称数字用户环路远端终止单元
BGP Border Gateway Protocol 边界网关协议
4测试环境配
测试环境配置如图1~图9。
5数据转发平面安全测试
5.1 IPSec 协议测试(可选)
IPSec协议测试内容参见YD/T 1467-2006 (IP安全协议(IPSec) 测试方法》。
5.2 L2TP 协议功能测试
1范围
YD/T 1659规定了宽带网络接入服务器涉及安全方面的测试内容,包括数据转发平面安全测试、控制平面测试和管理平面安全测试。
YD/T 1659适用于宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注8期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1265-2003网络接入服务器(NAS)测试方法
YD/T 1467-2006 IP安全协议(IPSec)测试方法
3缩略语
下列缩略语适用于本标准。
ACL Access Control List 访问控制列表
ATU-R ADSL Transceiver Unit Remote 非对称数字用户环路远端终止单元
BGP Border Gateway Protocol 边界网关协议
4测试环境配
测试环境配置如图1~图9。
5数据转发平面安全测试
5.1 IPSec 协议测试(可选)
IPSec协议测试内容参见YD/T 1467-2006 (IP安全协议(IPSec) 测试方法》。
5.2 L2TP 协议功能测试
标准图片预览
标准内容
ICS 33 040 40
中华人民共和国通信行业标准
YD/T 1659-2007
宽带网络接入服务器安全测试方法Testing Methods of Security for Broadband Network Access Server2007-07-20发布
2007-12-01实施
中华人民共和国信息产业部发布前
2规范性引用文件
缩略语·
测试环境配置
5数据转发平面安全测试.·
5.1IPSec协议测试(可选)
5.2L2TP协议功能测试
5.3常见网络攻击抵抗能力测试
5.4uRPF功能测试
5.5访问控制列表(ACL)功能测试·目
网络地址翻译(NAT)测试(可选)5.6
5.7流量控制/分类功能測试
6控制平面安全测试
IP地址分配控制
防止IP地址盗用功能·
6.3用户接入认证与授权控制-
路由协议安全测试
TCP/IP协议安全测试.
VPN安全测试·
6.7路由过滤功能测试
GTSM功能测试
管理平面的安全测试-·
7.1端口镜傲·
访问控制安全测试·
用片密码保护功能测试
7.4SNMP安金功能测试
7.5安全审让功能测试.,
YD/T 1659-2007
YD/T1659-2007
本标准是“宽带网络接入服务器安全”系列标准之一。该系列标准预计的结构及名称如下:1.YD/T1658-2007宽带网络接入服务器安全技术要求2.YD/1659-2007宽带网络接入服务器安全测试方法其中,YD/T1658-2007宽带网络接入服务器安全技术要求》是本标准的配套标准。本标准由中国通信标准化协会提出并归口。本标准主要起草单位:信息产业部电信研究院本标准主要起草人:马军锋、魏亮1范围
宽带网络接入服务器安全测试方法YD/T 1659-2007
本标准规定了宽带网络接入服务器涉及安全方面的测试内容,包括数据转发平面安全测试、控制平面测试和管理平面安全测试。
本标准适用于宽带网络接入服务器。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓刷根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1265-2003
YD/T 1467-2006
3缩略语
网络接入服务器(NAS)测试方法IP安全协议(IPSec)测试方法
下列缩略语适用于本标准。
Access Control List
ADSL Transceiver Unit RemoteBorder Gateway Protocol
Broadband Network Access ServerCustomer Edge
Digital SubseriberLine(DSL)AccessModuleDevice Under Test
Exterior Border Gateway PratocolGeneralized TTL Security MechanismInterior Border Gateway ProtocolIrnternet Control Message ProtocolInternet Protocol
IPSecurity
Intermediate System to IntermediateSystem Protccol
Layer Two Tunneling ProtocolMulti-Protacol Label Switeh
Network Address Translation
Open Shortest Path First
TT KAONT KAca=
访问控制列表
非对称数字用户环路远端终止单元边界网关协议
宽带网络接入服务器
用户边界设备
数字用户线接入模块
被测设备
外部边界网关协议
通用TTL安全机制
内部边界网关协议
网络控制报文协议
网际互连协议
IP安全机制
中间系统到中间系统协议
二层隧道协议
多协议标记交换
网络地址转换
开放最短路径优先协议
YD/T 1659-2007
Provider Edge
Pcint to Point Protocal
RADIUS Remote Authentication Dial In User ServiceRIP
Route Information Prctocol
Secure Shell
TransportControl Protocol
User Data Protocol
Unicast Reverse Path ForwardingVirtual Private Network
4测试环境配置
测试环境配置如图1~图9。
宽带网络
接入服务器
测试仅表
网络边界设备
点到点协议
远程验证用户拨入服务
路由信息协议
安金外壳程序协议
传输控制协议
用户数据报协议
单播逆向路径转发
虚拟专用网
测试配重环境1
仅表接口C
网络1
仪表接口A
仪表拨口A
玄网略
接入服务器
图2测试配量环境2
避网络www.bzxz.net
接入服务器
图 3 测试配量环境 3
收表接口B
服务器
收衰接口B
表接口C
PPP用户
PPP户
PPP用户
PPPo用户
PPPoE用户
PPPoE用户
PC用户
A1子口
仪表接口A
A.2子口
PPPOE用户
觉惜网站
接入服务器
图 4测试配置环境4
服务器
宽带网路
接入服务器
图 5 测试配置环境 5
RADLUS
联务器
宽带网络
接入服务婴
图6测试配置环境6
宽格网路
接入服务器
图7测试配置环境7
RADIUS
服务器
(BNAS)
围8 测试配重环境8
本地普理终端或
远程管理终增
服务端
RADIUS
服务群
Web Pordal
服务器
B.1子接别
收表接口B
YD/T 1659-2007
RADIUS
服务器
B.2子接口
口志服务器
宽带网络
接入服务
图9测试配宣环境9
5数据转发平面安全测试
5.1TPS协设测试(可选)
PSec协议测试内容参见YD/T1467-2006《IP安全协议(IPSec)测试方法》5.2L2TP协议功能测试
-TTT KAONT KAca=
YD/T 1659-2007
L2TP协议功能测试内容参见YDT1265-2003《网络接入服务器(NAS)测试方法》。5.3常见网络攻击抵抗能力测试
测试编号:1
测试项目:抗大流量攻击能力测试测试日的:检验DUT处理大流量数据的能力测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)从测试仪表A接口向B接口线速发送背景数据流:3)在DUT1接口启用路由协议,测试仪表A接口通告路由信息预期结果:
DUT能够更新路由表,不受背景流量的影响判定原则:
应符合预期结果要求,否则不合格测试编号:2
测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)从测试仪表A接口问B接口发送小丁接口速率的背景数据流:3)虫仪表接口A以接口剩余带宽速率向DUT1接口发送报文长度(包括IP头)大于65535字节的ICMPEchoRequest报文(Fingof Death攻击仿真报文):4)停止步骤3中报文的发送,由仪表A接口向DUT环回地址发送多个ofset字段重叠的IP报文(Teardrop攻击仿真报文):
5)停止步骤4中报文的发送,由仪表A接口向B接口发送链路层错误(如以太网的FCS错误帧)报文:6)停止步骤5中报文的发送,由仪表A接口向B接口发送长度小于64字节(以太网链路)的超短顿(Runt)
7)停止步骤6中报文的发送,由仪表A接口向B接口发送长度大于1518字节(以太网链路)的超长顿(Giant)
预期结果:
1)在出骤3中,攻击报文应被丢弃,记录攻击对背景流量的影响;2)在步骤4中,攻击报文应被丢弃,记录攻击对背景流量的影响:3)在步骤5中,错误的数据帧应被丢弃,记录攻击对背最流量的影响:4)在步骤6中,超短帧应被丢弃,记录攻击对背景流量的影响:5)在步骤7中,超长帧应被丢弃,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则不合格测试编号:3
测试项目:PingFlood攻击处理能力试测试目的:检验 DUT处理 Ping Flood 攻击的能力测试配置:测试配置坏境2
测试过程:
1)按测试环境连接设备
YD/T 1659-2007
2)在仪表B接口与直连的DUT接口间启用路由协议(如OSPF),并通过仪表仿真向DUT通告到网络2的路由:
3)从测试仪表A接口向网络2中的某个P地址以小于接口线速的速率发送背景流量,并验证仪表B接口能够正常接收;
4)从测试仪表C接口向DUT环回地址以线速发送ICMPEchoRequest数据包:S)停止步骤4f流量的发送,从测试仪表接口C向网络2中的某个P地址以接口线速发送ICMIPEchoRequest数据包
预期结果:
1)在步骤 4 中,DUT 应对超量的 ICMP报文进行丢弃或限速,记录攻击对背景流量的影响:2)在步骤5中,DUT应对超量ICMP报文进行丢弃或限速,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则不合格测试编号:4
测试项目:SYN Flood政击处理能力测试测试且的:检验DUT处理 SYN Flood攻诺的能力测试配置:测试配置环境2
测试过程:
1)按测试环境连接设备:
2)在仪表A、B接口分别与直连的DUT接口间启用路由协议,并通过仪表仿真间DUT通告到网络1和2的路由:
3)从测试仪表A接口向网络2中的某个P地址以小于接口线速的速率发送背景流量,并验证仪表B援口能够正常接收:
4)从测试仪表A 接口向网络 2 以剩余带宽发送TCP 5YN 数据包,源地址属于网络 1 的 IP地址:5)停止步骤4中流量的发送,从测试仪表接口A向DUT的环回地址以剩余带宽发送TCPSYN数据包:源地址属于网络1的IP地址:
6)停止步骤5中流最的发送,从测试仪表接口A向DUT的环回地址以剩余带宽发送TCPSYN数据包源地址为DUT不可达的P地址
预期结果:
1)在步骤 4和 5,DUT 应对过量的 TCP SYN数据包进行丢弃或降低优先级的排既处理,记录攻击对背景流量的影响:
2)在步骤6,DUT应丢弃TCP SYN数据包,记录攻击对背景流量的影响判定原则:
DUT能够对过量的TCPSYN数据包进行丢弃或者降低优先级的排队处理,背景流的流量和时延不受影响
TKAONIKAca=
YD/T1659-2007
测试编号:5
测试项目:Smurf 攻击处理能力测试测试日的:检验DUT处理Smurf攻击的能力测试配置:测试配置环境2
测试过程:
1)按测试环境连接设备:
2)测试仪表A、B接口分别与其直连的DUT接口启用路由协议(如OSPF),并向DUT通告到网络1和网络2的路由:
3)从测试仪表接口A向网络2中的某个地址以小于接口速率的流量发送背景流量,并验证仪表接口B上能够正常接收:
4)从测试仪表接口C向网络1中的某个P地址以接口线速发送ICMPEchoRequest数据包,数据包源地址为网络2的有限广播地址:
5)停止步骤4中流量的发送,从测试仪表接口C向DUT的环回地址以接口线速发送ICMPEchaRequest数据包,数据包源地址为网络2的有限广播地址:6)停止步骤5中流量的发送,从测试仪表接口C向网络1以接口线速发送ICMPEchoRequest数据包数据包源地址为网络2中的某个P地址,目的地址为网络1的有限广播地址预期结果:
从步骤4到6中,DUT应对ICMP报文进行丢弃,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则不合格5.4uRPF功能测试
测试编号:6
测试项目:严格uRPF功能测试(可选)测试目的:检验DUT产格uRPF功能的实现测试配置:测试配置环境2
测试过程:
1)按測试环境连接设备;
2)测试仪表B接口与其直逆的DUT接口启用路由协议(如OSPF2,并向DUT通告到网络2的路由,在DUTE配置静态路由A.A.A.0/24,下一跳指向仪表的C接口,发送流量验证路由的有效性;3)DUT启用严格μPRF
4)从测试仪表A接口发送到网络2中某个IP地址的数据流,数据包的源地址与接口A宜连的DUT的接口地址在同一网段:
5)停止步骤4数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为A.A.A.X;
6)停止步骤5数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为DUT 不可达网络的 IP 地址
预期结果:
1)在步骤4中,仪表接口B应能够收到测试数据包:2)在步骤5和6中,仪表接口B不能收到测试数据包判定原则:
应符合预期结果要求,否则不合格测试结果:
测试编号;{
测试项目:松散uRPF功能测试(可选)测试目的:捡验DUT松散uRPF功能的实现测试配置:测试配置环境2
测试过程:
1)按测试环境连接设备:
YD/T1659-2007
2)测试仪表B接口与其直连的DUT接口启用路由协议(如OSPF),并向DUT通告到网络2的路由,在DUT上配置静态路由A.A.A.0/24,下一跳指向仪表的C接口,发送流量验证路由的有效性:3)DUT肩用松散uPRF
4)从测试仪表A接口发送到网络2中某个P地址的数据流,数据包的源地址与接口A直连的DUT的接口地址在同一网段:
5)停止步骤4数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为A.A.A.X:
6)停止步骤5数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为DUT不可达网络的IP地址
预期结果:
1)在步骤4和5中,仪表接口B应能够收到测试数据包:2)在步骤6中,仪表接口B不能收到测试数据包判定原则:
应符合预期结果要求,否则不合格测试编号:8
测试项日:基于ACL的uRPF功能测试(可选)测试且的:检验 DUT 基于 ACL 的 uRPF 功能实现测试配置:测试配置环境2
测试过程:
1)按阙试环境连接设备,
2)测试仪表B接口与其直连的DUT接口启用路由协议(如OSPF),并向DUT通告到网络2的路由,在DUT上配置静态路由C.C.C.0/24,下一跳指向仪表的A接口,发送流量验证路由的有效性:3)在DUT上启用基于ACL的uRPF,并配置ACL禁止C.C.C.Y的流量通过DUT:4)从测试仪表A接口发送到网络2中某个IP地址的数据流,数据包的源地址与接口A直连的DUT的接口地址在同一网段:
5)停止步骤4数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为C.C.C.x
6)停止步骤5数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为C.C.C.Y
预期结果:
1)在步骤4和5中,仪表接口B应能够收到测试数据包:2)在步骤6中,仪表接口B不能收到测试数据包判定原则:
应符合预期结果要求,否则不合格-TT KAONT KAca=
YD/T1659-2007
5.5访问控制列表(ACL)功能测试测试编号:9
测试项目:基于源地址的ACL 测试测试目的:捡验DUT是否实现基于源地址的ACL过滤测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)在DUT.上配置基于源地址的ACL拒绝条目:3)从仪表A接口发送到仪表B接口符合过滤条件的数据流:4)从仪表A接口发送到仪表B接口不符合过滤条件的数据流预期结果:
1)仪表B接口无法收到测试数据流:2)仪表B接口能够收到测试数据流判定原则:
应符合预期结果要求,否则不合格测试编号:10
测试项日:基于目的地址的ACL测试测试日的:检验 DUT 是否实现基于目的地比的 ACL 过滤测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)在DUT 上配置基于目的地址的 ACL拒绝条目:3)从仪表A接口发送到仪表B接口符合过滤条件的P数据流:4)从仪表A接口发送到仪表B接口不符合过滤条件的P数据流预期结果:
1)步骤3,仪表B接口无法收到测试数据流:2)步骤4,仪表B接口能够收到测试数据流判定原则:
应符合预期结果要求,否则不合格测试编号:11
测试项目:基于协议的 ACL 测试测试目的:检验DUT是否实现基于协议的ACL过滤测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)在DUT上配置基于协议的ACL拒绝条目:3)从仪表 A 接口发送到仪表 B接口符合过滤条件的 IP数据流:4)从仪表A接口发送到仪表B接口不符合过滤条件的P数据流预期结果:
1)步骤3,仪表B接口无法收到测试数据流:2)步骤4,仪表B接口能够收到测试数据流判定原则:
应符合预期结果要求,否则不合格测试编号:12
测试项日:基于源接口的ACL测试测试目的:检验 DUT 是否实现基于源接口的 ACL 过滤测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)在 DUT上配置基于源接口的 ACL拒绝条月;3)从仪表A接口发送到仪表B接口符合过滤条件的P数据流:4)从仪表A接口发送到仪表B接口不符合过滤条件的P数据流预期结果:
1)步骤3,仪表B接口无法收到测试数据流:2)步骤4,仪表B接口能收到测试数据流判定原则:
应符合预期结果要求,否则不合格-TTKAONiIKAca=
YD/T1659-2007
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1659-2007
宽带网络接入服务器安全测试方法Testing Methods of Security for Broadband Network Access Server2007-07-20发布
2007-12-01实施
中华人民共和国信息产业部发布前
2规范性引用文件
缩略语·
测试环境配置
5数据转发平面安全测试.·
5.1IPSec协议测试(可选)
5.2L2TP协议功能测试
5.3常见网络攻击抵抗能力测试
5.4uRPF功能测试
5.5访问控制列表(ACL)功能测试·目
网络地址翻译(NAT)测试(可选)5.6
5.7流量控制/分类功能測试
6控制平面安全测试
IP地址分配控制
防止IP地址盗用功能·
6.3用户接入认证与授权控制-
路由协议安全测试
TCP/IP协议安全测试.
VPN安全测试·
6.7路由过滤功能测试
GTSM功能测试
管理平面的安全测试-·
7.1端口镜傲·
访问控制安全测试·
用片密码保护功能测试
7.4SNMP安金功能测试
7.5安全审让功能测试.,
YD/T 1659-2007
YD/T1659-2007
本标准是“宽带网络接入服务器安全”系列标准之一。该系列标准预计的结构及名称如下:1.YD/T1658-2007宽带网络接入服务器安全技术要求2.YD/1659-2007宽带网络接入服务器安全测试方法其中,YD/T1658-2007宽带网络接入服务器安全技术要求》是本标准的配套标准。本标准由中国通信标准化协会提出并归口。本标准主要起草单位:信息产业部电信研究院本标准主要起草人:马军锋、魏亮1范围
宽带网络接入服务器安全测试方法YD/T 1659-2007
本标准规定了宽带网络接入服务器涉及安全方面的测试内容,包括数据转发平面安全测试、控制平面测试和管理平面安全测试。
本标准适用于宽带网络接入服务器。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓刷根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1265-2003
YD/T 1467-2006
3缩略语
网络接入服务器(NAS)测试方法IP安全协议(IPSec)测试方法
下列缩略语适用于本标准。
Access Control List
ADSL Transceiver Unit RemoteBorder Gateway Protocol
Broadband Network Access ServerCustomer Edge
Digital SubseriberLine(DSL)AccessModuleDevice Under Test
Exterior Border Gateway PratocolGeneralized TTL Security MechanismInterior Border Gateway ProtocolIrnternet Control Message ProtocolInternet Protocol
IPSecurity
Intermediate System to IntermediateSystem Protccol
Layer Two Tunneling ProtocolMulti-Protacol Label Switeh
Network Address Translation
Open Shortest Path First
TT KAONT KAca=
访问控制列表
非对称数字用户环路远端终止单元边界网关协议
宽带网络接入服务器
用户边界设备
数字用户线接入模块
被测设备
外部边界网关协议
通用TTL安全机制
内部边界网关协议
网络控制报文协议
网际互连协议
IP安全机制
中间系统到中间系统协议
二层隧道协议
多协议标记交换
网络地址转换
开放最短路径优先协议
YD/T 1659-2007
Provider Edge
Pcint to Point Protocal
RADIUS Remote Authentication Dial In User ServiceRIP
Route Information Prctocol
Secure Shell
TransportControl Protocol
User Data Protocol
Unicast Reverse Path ForwardingVirtual Private Network
4测试环境配置
测试环境配置如图1~图9。
宽带网络
接入服务器
测试仅表
网络边界设备
点到点协议
远程验证用户拨入服务
路由信息协议
安金外壳程序协议
传输控制协议
用户数据报协议
单播逆向路径转发
虚拟专用网
测试配重环境1
仅表接口C
网络1
仪表接口A
仪表拨口A
玄网略
接入服务器
图2测试配量环境2
避网络www.bzxz.net
接入服务器
图 3 测试配量环境 3
收表接口B
服务器
收衰接口B
表接口C
PPP用户
PPP户
PPP用户
PPPo用户
PPPoE用户
PPPoE用户
PC用户
A1子口
仪表接口A
A.2子口
PPPOE用户
觉惜网站
接入服务器
图 4测试配置环境4
服务器
宽带网路
接入服务器
图 5 测试配置环境 5
RADLUS
联务器
宽带网络
接入服务婴
图6测试配置环境6
宽格网路
接入服务器
图7测试配置环境7
RADIUS
服务器
(BNAS)
围8 测试配重环境8
本地普理终端或
远程管理终增
服务端
RADIUS
服务群
Web Pordal
服务器
B.1子接别
收表接口B
YD/T 1659-2007
RADIUS
服务器
B.2子接口
口志服务器
宽带网络
接入服务
图9测试配宣环境9
5数据转发平面安全测试
5.1TPS协设测试(可选)
PSec协议测试内容参见YD/T1467-2006《IP安全协议(IPSec)测试方法》5.2L2TP协议功能测试
-TTT KAONT KAca=
YD/T 1659-2007
L2TP协议功能测试内容参见YDT1265-2003《网络接入服务器(NAS)测试方法》。5.3常见网络攻击抵抗能力测试
测试编号:1
测试项目:抗大流量攻击能力测试测试日的:检验DUT处理大流量数据的能力测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)从测试仪表A接口向B接口线速发送背景数据流:3)在DUT1接口启用路由协议,测试仪表A接口通告路由信息预期结果:
DUT能够更新路由表,不受背景流量的影响判定原则:
应符合预期结果要求,否则不合格测试编号:2
测试项目:畸形包处理能力测试测试目的:检验DUT处理畸形数据包的能力测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)从测试仪表A接口问B接口发送小丁接口速率的背景数据流:3)虫仪表接口A以接口剩余带宽速率向DUT1接口发送报文长度(包括IP头)大于65535字节的ICMPEchoRequest报文(Fingof Death攻击仿真报文):4)停止步骤3中报文的发送,由仪表A接口向DUT环回地址发送多个ofset字段重叠的IP报文(Teardrop攻击仿真报文):
5)停止步骤4中报文的发送,由仪表A接口向B接口发送链路层错误(如以太网的FCS错误帧)报文:6)停止步骤5中报文的发送,由仪表A接口向B接口发送长度小于64字节(以太网链路)的超短顿(Runt)
7)停止步骤6中报文的发送,由仪表A接口向B接口发送长度大于1518字节(以太网链路)的超长顿(Giant)
预期结果:
1)在出骤3中,攻击报文应被丢弃,记录攻击对背景流量的影响;2)在步骤4中,攻击报文应被丢弃,记录攻击对背景流量的影响:3)在步骤5中,错误的数据帧应被丢弃,记录攻击对背最流量的影响:4)在步骤6中,超短帧应被丢弃,记录攻击对背景流量的影响:5)在步骤7中,超长帧应被丢弃,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则不合格测试编号:3
测试项目:PingFlood攻击处理能力试测试目的:检验 DUT处理 Ping Flood 攻击的能力测试配置:测试配置坏境2
测试过程:
1)按测试环境连接设备
YD/T 1659-2007
2)在仪表B接口与直连的DUT接口间启用路由协议(如OSPF),并通过仪表仿真向DUT通告到网络2的路由:
3)从测试仪表A接口向网络2中的某个P地址以小于接口线速的速率发送背景流量,并验证仪表B接口能够正常接收;
4)从测试仪表C接口向DUT环回地址以线速发送ICMPEchoRequest数据包:S)停止步骤4f流量的发送,从测试仪表接口C向网络2中的某个P地址以接口线速发送ICMIPEchoRequest数据包
预期结果:
1)在步骤 4 中,DUT 应对超量的 ICMP报文进行丢弃或限速,记录攻击对背景流量的影响:2)在步骤5中,DUT应对超量ICMP报文进行丢弃或限速,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则不合格测试编号:4
测试项目:SYN Flood政击处理能力测试测试且的:检验DUT处理 SYN Flood攻诺的能力测试配置:测试配置环境2
测试过程:
1)按测试环境连接设备:
2)在仪表A、B接口分别与直连的DUT接口间启用路由协议,并通过仪表仿真间DUT通告到网络1和2的路由:
3)从测试仪表A接口向网络2中的某个P地址以小于接口线速的速率发送背景流量,并验证仪表B援口能够正常接收:
4)从测试仪表A 接口向网络 2 以剩余带宽发送TCP 5YN 数据包,源地址属于网络 1 的 IP地址:5)停止步骤4中流量的发送,从测试仪表接口A向DUT的环回地址以剩余带宽发送TCPSYN数据包:源地址属于网络1的IP地址:
6)停止步骤5中流最的发送,从测试仪表接口A向DUT的环回地址以剩余带宽发送TCPSYN数据包源地址为DUT不可达的P地址
预期结果:
1)在步骤 4和 5,DUT 应对过量的 TCP SYN数据包进行丢弃或降低优先级的排既处理,记录攻击对背景流量的影响:
2)在步骤6,DUT应丢弃TCP SYN数据包,记录攻击对背景流量的影响判定原则:
DUT能够对过量的TCPSYN数据包进行丢弃或者降低优先级的排队处理,背景流的流量和时延不受影响
TKAONIKAca=
YD/T1659-2007
测试编号:5
测试项目:Smurf 攻击处理能力测试测试日的:检验DUT处理Smurf攻击的能力测试配置:测试配置环境2
测试过程:
1)按测试环境连接设备:
2)测试仪表A、B接口分别与其直连的DUT接口启用路由协议(如OSPF),并向DUT通告到网络1和网络2的路由:
3)从测试仪表接口A向网络2中的某个地址以小于接口速率的流量发送背景流量,并验证仪表接口B上能够正常接收:
4)从测试仪表接口C向网络1中的某个P地址以接口线速发送ICMPEchoRequest数据包,数据包源地址为网络2的有限广播地址:
5)停止步骤4中流量的发送,从测试仪表接口C向DUT的环回地址以接口线速发送ICMPEchaRequest数据包,数据包源地址为网络2的有限广播地址:6)停止步骤5中流量的发送,从测试仪表接口C向网络1以接口线速发送ICMPEchoRequest数据包数据包源地址为网络2中的某个P地址,目的地址为网络1的有限广播地址预期结果:
从步骤4到6中,DUT应对ICMP报文进行丢弃,记录攻击对背景流量的影响判定原则:
应符合预期结果要求,否则不合格5.4uRPF功能测试
测试编号:6
测试项目:严格uRPF功能测试(可选)测试目的:检验DUT产格uRPF功能的实现测试配置:测试配置环境2
测试过程:
1)按測试环境连接设备;
2)测试仪表B接口与其直逆的DUT接口启用路由协议(如OSPF2,并向DUT通告到网络2的路由,在DUTE配置静态路由A.A.A.0/24,下一跳指向仪表的C接口,发送流量验证路由的有效性;3)DUT启用严格μPRF
4)从测试仪表A接口发送到网络2中某个IP地址的数据流,数据包的源地址与接口A宜连的DUT的接口地址在同一网段:
5)停止步骤4数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为A.A.A.X;
6)停止步骤5数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为DUT 不可达网络的 IP 地址
预期结果:
1)在步骤4中,仪表接口B应能够收到测试数据包:2)在步骤5和6中,仪表接口B不能收到测试数据包判定原则:
应符合预期结果要求,否则不合格测试结果:
测试编号;{
测试项目:松散uRPF功能测试(可选)测试目的:捡验DUT松散uRPF功能的实现测试配置:测试配置环境2
测试过程:
1)按测试环境连接设备:
YD/T1659-2007
2)测试仪表B接口与其直连的DUT接口启用路由协议(如OSPF),并向DUT通告到网络2的路由,在DUT上配置静态路由A.A.A.0/24,下一跳指向仪表的C接口,发送流量验证路由的有效性:3)DUT肩用松散uPRF
4)从测试仪表A接口发送到网络2中某个P地址的数据流,数据包的源地址与接口A直连的DUT的接口地址在同一网段:
5)停止步骤4数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为A.A.A.X:
6)停止步骤5数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为DUT不可达网络的IP地址
预期结果:
1)在步骤4和5中,仪表接口B应能够收到测试数据包:2)在步骤6中,仪表接口B不能收到测试数据包判定原则:
应符合预期结果要求,否则不合格测试编号:8
测试项日:基于ACL的uRPF功能测试(可选)测试且的:检验 DUT 基于 ACL 的 uRPF 功能实现测试配置:测试配置环境2
测试过程:
1)按阙试环境连接设备,
2)测试仪表B接口与其直连的DUT接口启用路由协议(如OSPF),并向DUT通告到网络2的路由,在DUT上配置静态路由C.C.C.0/24,下一跳指向仪表的A接口,发送流量验证路由的有效性:3)在DUT上启用基于ACL的uRPF,并配置ACL禁止C.C.C.Y的流量通过DUT:4)从测试仪表A接口发送到网络2中某个IP地址的数据流,数据包的源地址与接口A直连的DUT的接口地址在同一网段:
5)停止步骤4数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为C.C.C.x
6)停止步骤5数据流的发送,从仪表接口A发送到网络2中某个P地址的数据流,数据包的源地址为C.C.C.Y
预期结果:
1)在步骤4和5中,仪表接口B应能够收到测试数据包:2)在步骤6中,仪表接口B不能收到测试数据包判定原则:
应符合预期结果要求,否则不合格-TT KAONT KAca=
YD/T1659-2007
5.5访问控制列表(ACL)功能测试测试编号:9
测试项目:基于源地址的ACL 测试测试目的:捡验DUT是否实现基于源地址的ACL过滤测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)在DUT.上配置基于源地址的ACL拒绝条目:3)从仪表A接口发送到仪表B接口符合过滤条件的数据流:4)从仪表A接口发送到仪表B接口不符合过滤条件的数据流预期结果:
1)仪表B接口无法收到测试数据流:2)仪表B接口能够收到测试数据流判定原则:
应符合预期结果要求,否则不合格测试编号:10
测试项日:基于目的地址的ACL测试测试日的:检验 DUT 是否实现基于目的地比的 ACL 过滤测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)在DUT 上配置基于目的地址的 ACL拒绝条目:3)从仪表A接口发送到仪表B接口符合过滤条件的P数据流:4)从仪表A接口发送到仪表B接口不符合过滤条件的P数据流预期结果:
1)步骤3,仪表B接口无法收到测试数据流:2)步骤4,仪表B接口能够收到测试数据流判定原则:
应符合预期结果要求,否则不合格测试编号:11
测试项目:基于协议的 ACL 测试测试目的:检验DUT是否实现基于协议的ACL过滤测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)在DUT上配置基于协议的ACL拒绝条目:3)从仪表 A 接口发送到仪表 B接口符合过滤条件的 IP数据流:4)从仪表A接口发送到仪表B接口不符合过滤条件的P数据流预期结果:
1)步骤3,仪表B接口无法收到测试数据流:2)步骤4,仪表B接口能够收到测试数据流判定原则:
应符合预期结果要求,否则不合格测试编号:12
测试项日:基于源接口的ACL测试测试目的:检验 DUT 是否实现基于源接口的 ACL 过滤测试配置:测试配置环境1
测试过程:
1)按测试环境连接设备:
2)在 DUT上配置基于源接口的 ACL拒绝条月;3)从仪表A接口发送到仪表B接口符合过滤条件的P数据流:4)从仪表A接口发送到仪表B接口不符合过滤条件的P数据流预期结果:
1)步骤3,仪表B接口无法收到测试数据流:2)步骤4,仪表B接口能收到测试数据流判定原则:
应符合预期结果要求,否则不合格-TTKAONiIKAca=
YD/T1659-2007
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。