YD1659-2007 宽带网络接入服务器安全测试方法

YD1659-2007 宽带网络接入服务器安全测试方法 本标准规定了宽带网络接入服务器涉及安全方面的测试内容，包括数据转发平面安全测试、控制平面测试和管理平面安全测试. 本标准适用于宽带网络接入服务器。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单《不包括勘误的内容》或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本，凡是不注日期的引用文件，其最新版本适用于本标准。 YDT 1265-2003网络接入服务器（NAS）测试方法 YD/T 1467-2006 IP安全协议（IPSec）测试方法 缩略语 下列缩略语适用于本标准 ACL Access Control List访问控制列表 ATU-R ADSL Transceiver Unit Remote非对称数字用户环路远端终止单元 BGP Border Gateway Protocol边界网关协议 BNAS Broadband Network Access Server宽带网络接入服务器 CE Customer Edge用户边界设备 DSLAM Digital Subscriber Line（DSL）Access Module数字用户线接入模块 DUT Device Under Test被测设备EBGP Exterior Border Gateway Protocol外部边界网关协议 GTSM Generalized TTL Security Mechanism IBGP Interior Border Gateway Protocol ICMP Internet Control Message Protocol通用TTL安全机制 内部边界网关协议网络控制报文协议 IP Internet Protocol网际互连协议 IPSec IP Security IP安全机制 IS-IS Intermediate System to Intermediate中间系统到中间系统协议 System Protocol L2TP Layer Two Tunneling Protocol二层隧道协议 MPLS Multi-Protocol Label Switch多协议标记交换 NAT Network Address Translation网络地址转换 OSPF Open Shortest Path First开放最短路径优先协议 测试编号：2测试项目：畸形包处理能力测试 测试目的：检验DUT处理畸形数据包的能力 测试配置：测试配置环境1测试过程； 1>按测试环境连接设备： 2>从测试仪表 A 接口向 B 接口发送小于接口速率的背景数据流3）由仪表接口A以接口剩余带宽速率向DUTI接口发送报文长度（包括IP头）大于65535字节的ICMP Echo Request报文（Ping of Death攻击仿真报文）； 4）停止步骤3中报文的发送，由仪表A接口向DUT环回地址发送多个offset字段重叠的IP报文（Teardrop攻击仿真报文）； 5）停止步骤4中报文的发送，由仪表A接口向B接口发送链路层错误（如以太网的FCS错误帧）报文： 6）停止步骤5中报文的发送，由仪表A接口向B接口发送长度小于64字节（以太网链路）的超短帧 （Runt）； 7）停止步骤6中报文的发送，由仪表A接口向B接口发送长度大于1518字节（以太网链路）的超长帧（Giant） 预期结果： 1）在步骤 3 中，攻击报文应被丢弃，记录攻击对背景流量的影响；2）在步骤 4 中，攻击报文应被丢弃，记录攻击对背景流量的影响；3）在步骤5中，错误的数据帧应被丢弃，记录攻击对背景流量的影响； 4）在步骤 6 中，超短帧应被丢弃，记录攻击对背景流量的影响； 5）在步骤 7 中，超长帧应被丢弃，记录攻击对背景流量的影响判定原则： 应符合预期结果要求，否则不合格 测试编号：3测试项目：Ping Flood攻击处理能力测试 测试目的：检验DUT处理Ping Flood攻击的能力 测试配置：测试配置环境 2测试过程： 1）按测试环境连接设备： 2）在仪表B 接口与直连的 DUT 接口间启用路由协议（如 OSPF），并通过仪表仿真向 DUT 通告到网络2 的路由； 3）从测试仪表A接口向网络2中的某个IP地址以小于接口线速的速率发送背景流量，并验证仪表B接口能够正常接收； 4）从测试仪表C接口向DUT环回地址以线速发送ICMP Echo Request数据包： 5）停止步骤4中流量的发送，从测试仪表接口C向网络2中的某个IP地址以接口线遮发送ICMP Echo Request 数据包 预期结果； 1）在步骤4中，DUT应对超量的ICMP报文进行丢弃或限速，记录攻击对背景流量的影响2）在步骤5中，DUT应对超量ICMP报文进行丢弃或限速，记录攻击对背景流量的影响判定原则： 应符合预期结果要求，否则不合格 测试编号；4测试项目：SYN Flood 攻击处理能力测试 测试目的：检验DUT处理SYN Flood攻击的能力 测试配置：测试配置环境 2测试过程： 1）按测试环境连接设备： 2）在仪表A、B接口分别与直连的DUT接口间启用路由协议，并通过仪表仿真向DUT通告到网络1和 2 的路由： 3）从测试仪表A接口向网络2中的某个IP地址以小于接口线速的速率发送背景流量，并验证仪表B接口能够正常接收 4）从测试仪表 A接口向网络 2 以剩余带宽发送TCP SYN 数据包，源地址属于网络1 的IP 地址： 5）停止步骤4中流量的发送，从测试仪表接口A向DUT的环回地址以剩余带宽发送TCPSYN数据包，源地址属于网络1的IP 地址： 6）停止步骤5中流量的发送，从测试仪表接口A向DUT的环回地址以剩余带宽发送TCP SYN数据包源地址为DUT不可达的IP地址