YDT1659-2007 宽带网络接入服务器安全测试方法

范围 本标准规定了宽带网络接入服务器涉及安全方面的测试内容，包括数据转发平面安全测试、控制平面测试和管理平面安全测试 本标准适用于宽带网络接入服务器。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单《不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本，凡是不注日期的引用文件，其最新版本适用于本标准。 YD/T 1265-2003网络接入服务器（NAS）测试方法 YD/T 1467-2006 IP安全协议（IPSec）测试方法 3缩略语 下列缩略语适用于本标准。 ACL Access Control List访问控制列表 ATU-R ADSL Transceiver Unit Remote非对称数字用户环路远場终止单元 BGP Border Gateway Protocol边界网关协议 BNAS Broadiband Network Access Server宽带网络接入服务器 CE Customer Edge用户边界设备 DSLAM Digital Subscriber Line（DSL）Access Module数字用户线接入模块 DUT Device Under Test被测设备EBGP Exterior Border Gateway Protocol外部边界网关协议 GTSM Generalized TTL Security Mechanism IBGP Interior Border Gateway Protocol通用TTL安全机制 内部边界网关协议 ICMP Intemet Control Message Protocol网络控制报文协议 IP Internet Protocol网际互连协议 IPSec IP Security IP安全机制 IS-IS Intermediate System to Intermediate中间系统到中间系统协议 System Protocol L2TP Layer Two Tunneling Protocol二层隧道协议 MPLS Multi-Protocol Label Switch多协议标记交换 测试编号：2测试项目：畸形包处理能力测试 测试目的：检验 DUT 处理畸形数据包的能力 测试配置：测试配置环境 1测试过程： 1）按测试环境连接设备： 2）从测试仪表A接口向B接口发送小于接口速率的背景数据流； 3）由仪表接口A以接口剩余带宽速率向DUTI接口发送报文长度（包括 IP头）大于65535字节的ICMP Echo Request报文（Ping of Death攻击仿真报文）； 4）停止步骤3中报文的发送，由仪表A接口向DUT环回地址发送多个offset字段重叠的IP报文（Teardrop攻击仿真报文）： 5）停止步骤4中报文的发送，由仪表A接口向B接口发送链路层错误（如以太网的FCS错误帧）报文： 6）停止步骤5 中报文的发送，由仪表 A 接口向 B 接口发送长度小于 64 字节（以太网链路）的超短帧 （Runt）： 7）停止步骤6中报文的发送，由仪表A接口向B接口发送长度大于1518字节（以太网链路）的超长幀（Giant）预期结果： 1）在步骤 3中，攻击报文应被丢弃，记录攻击对背景流量的影响： 2）在步骤 4 中，攻击报文应被丢弃，记录攻击对背景流量的影响；3）在步骤5中，错误的数据帧应被丢弃，记录攻击对背景流量的影响； 4）在步骤6中，超短帧应被丢弃，记录攻击对背景流量的影响； 5）在步骤7中，超长帧应被丢弃，记录攻击对背景流量的影响 判定原则： 应符合预期结果要求，否则不合格 测试编号：3测试项目：Ping Flood攻击处理能力测试 测试目的：检验DUT处理Ping Flood攻击的能力测试配置：测试配置环境2测试过程： 1）按测试环境连接设备； 2）在仪表B接口与直连的DUT接口间启用路由协议（如OSPF），并通过仪表仿真向DUT通告到网络2 的路由； 3）从测试仪表A 接口向网络2中的某个IP地址以小于接口线速的速率发送背景流量，并验证仪表B接口能够正常接收； 4）从测试仪表C接口向DUT环回地址以线速发送ICMP Echo Request数据包； 5）停止步骤4中流量的发送，从测试仪表接口C向网络2中的某个IP地址以接口线速发送ICMP Echo Request 数据包 预期结果： 1）在步骤 4 中，DUT应对超量的ICMP 报文进行丢弃或限速，记录攻击对背景流量的影响； 2）在步骤5中，DUT应对超量ICMP报文进行丢弃或限速，记录攻击对背景流量的影响判定原则： 应符合预期结果要求，否则不合格 测试编号：4测试项目：SYN Flood攻击处理能力测试 测试目的：检验DUT处理SYN Flood攻击的能力测试配置：测试配置环境 2测试过程： 1）按测试环境连接设备； 2）在仪表 A、B接口分别与直连的DUT接口间启用路由协议，并通过仪表仿真向DUT通告到网络1和 2 的路由： 3）从测试仪表A接口向网络2中的某个IP地址以小于接口线速的速率发送背景流量，并验证仪表B接口能够正常接收； 4）从测试仪表A接口向网络2以剩余带宽发送TCPSYN数据包，源地址属于网络1的IP地址5）停止步骤4中流量的发送，从测试仪表接口A向DUT的环回地址以剩余带宽发送TCPSYN数据包，源地址属于网络1 的 IP地址： 6）停止步骤5中流量的发送，从测试仪表接口A向DUT的环回地址以剩余带宽发送TCPSYN数据包，源地址为 DUT 不可达的 IP 地址。 测试编号：5测试项目：Smurf 攻击处理能力测试 测试目的：检验DUT处理Smurf攻击的能力 测试配置：测试配置环境2测试过程： 1）按测试环境连接设备 2）测试仪表 A、B 接口分别与其直连的 DUT 接口启用路由协议《如 OSPF），并向 DUT 通告到网络 1和网络 2 的路由 3）从测试仪表接口A向网络 2 中的某个地址以小于接口速率的流量发送背景流量，并验证仪表接口 B上能够正常接收 4）从测试仪表接口C向网络1中的某个IP地址以接口线速发送ICMP Echo Request数据包，数据包源地址为网络 2 的有限广播地址： 5）停止步骤4中流量的发送，从测试仪表接口C向DUT的环回地址以接口线速发送ICMP Echo Request数据包，数据包源地址为网络2的有限广播地址： 6）停止步骤5中流量的发送，从测试仪表接口C向网络1以接口线速发送ICMP Echo Request数据包，数据包源地址为网络2 中的某个IP 地址，目的地址为网络 1 的有限广播地址预期结果： 从步骤4到6中，DUT应对ICMP报文进行丢弃，记录攻击对背景流量的影响判定原则： 应符合预期结果要求，否则不合格 5.4 uRPF 功能测试 测试编号：6测试项目：严格 uRPF 功能测试（可选）测试目的：检验DUT严格uRPF功能的实现 测试配置：测试配置环境 2测试过程： 1）按测试环境连接设备： 2）测试仪表B接口与其直连的DUT接口启用路由协议（如OSPF），并向DUT通告到网络2的路由，在DUT上配置静态路由 A.A.A.0/24，下一跳指向仪表的C接口，发送流量验证路由的有效性3）DUT 启用严格uPRF： 4）从测试仪表 A 接口发送到网络 2 中某个IP地址的数据流，数据包的源地址与接口 A 直连的 DUT 的接口地址在同一网段 5）停止步骤4数据流的发送，从仪表接口A发送到网络2中某个IP地址的数据流，数据包的源地址为 |A.A.A.X；