网络协议安全性测试

网络协议安全性测试包括安全协议测试和协议安全性测试。网络协议安全性测试的主要功能是对Internet 体系中的安全协议和TCP/IP协议族进行安全性测试，这种测试是针对包含协议实现的产品或独立模块进行的。安全协议测试的功能是对包含了SSL、IPSec和Kerberos安全协议实现的产品（如IPSec产品）或独立模块进行各种标称安全功能的测试；协议安全性测试要求对TCP/IP协议族的具体实现模块进行抗攻击测试；另外，安全机制对协议实现性能的影响也是测试的内容。
  一、 主要技术指标
网络协议安全性测试系统按照测试集管理、测试过程管理和测试结果管理为主线进行开发，提供友好的用户界面，有效支持测试准备、测试执行、测试结果采集、测试结果分析和测试报告生成，同时具有良好的开放性和可扩展性，便于系统的功能扩充和动态升级。
1． 能对包含IPSec、SSL和Kerberos协议的产品或模块进行功能测试。
2．采用Benchmark测试在上述协议典型应用中（如 VPN ）各种使用方式的吞吐量、时延等数据。
3．能对TCP/IP协议族的具体实现模块进行抗攻击性测试，如抗IP地址欺骗能力、抗物理地址欺骗能力、抗TCP序列号攻击能力等。
  二、总体方案
 1． 集成环境
网络协议安全性测试系统以测试集管理、测试过程管理、测试结果管理为主线分别集成为用户界面友好的一体化环境，有效支持测试准备、测试执行、测试结果采集、测试结果分析、测试报告生成。
2． 系统架构
如下图所示。

(1) 测试集管理
建立、维护测试集数据库，访问、浏览、入库、出库、修改、更新、扩充、管理测试集数据库内容。
(2) 测试过程管理
有效测试准备、测试执行、测试结果采集、测试结果分析、测试结果输出等功能，基本实现测试过程的自动化。
 网络协议安全性的测试环境l
在安全协议测试部分，测试管理、测试执行和结果收集等模块一般分布在网络中，测试集一般由某种分布式应用构成。其一般结构如下：

(3) 测试结果管理
建立、维护测试结果数据库，访问、浏览、入库、出库、修改、更新、扩充、显示、管理测试结果数据库内容。
(4) 测试集数据库
测试集数据库用来存网络协议安全性测试集。测试集主要包括：
 安全功能测试集：各种安全功能的测试集。包括针对多数产品普遍的功能测试用例以及产品一些特定功能的测试用例，新的模块可通过系统维护接口添加升级。l
 安全性能测试集：进行性能测试的程序集合，其中主要是对基本的网络性能，如吞吐率和延迟的标准测试程序。l
 脆弱性测试集：针对各种系统脆弱性、安全漏洞进行攻击的测试集。包括针对普遍的安全漏洞的攻击测试用例及系统特定的脆弱性测试用例，需要及时的更新、升级。l
(5) 测试结果数据库
测试结果数据库用来存储各种测试结果。测试结果数据库的主要内容包括中间测试结果、最终测试结果、历史测试结果、测试分析报告等。
在测试之前，系统首先要进行测试准备，建立测试过程；然后，通过测试过程管理提交测试程序，激活测试程序，控制测试程序执行，收集、采集测试结果；最后，进行测试结果分析，生成测试分析报告，打印、显示测试结果，产生评测报告。

三、系统配套设备和软件方案
1. 配套设备方案
(1) 测试集成管理环境配套设备方案
测试集成管理环境的主要作用是对网络产品安全性的各种测试集进行集中的管理和控制，它本身对硬件环境的要求比较单一。其配套设备为Windows 或Unix硬件平台、数据库管理系统以及相应的编程工具。
(2) 协议安全性测试系统配套设备方案
本系统的运行环境要求： 高性能PC及被测系统硬件平台； 运行平台为WINDOWS 及被测系统软件平台；还有配套设备，如数据发生器等。
本测试软件安装在WINDOWS 及与被测系统发生交互的主机上，它通过对安全协议软件的通信数据进行分析或通过运行在被测协议上的有关测试程序来判断软件的功能、性能和符合性。本测试软件还可发送特定的数据包来测试TCP/IP协议的性能和健壮性。网络拓扑结构示意图如下所示：
 

图三

  主机H1到Hn上安装安全协议软件所要求的运行环境及可能的测试程序，测试控制系统和它们在同一个网段，通过对安全协议软件的传输数据进行分析，及与各个主机上的测试程序的通信来判断安全协议的功能、性能以及和标准的符合程度。系统通过发送特定数据包来完成对TCP/IP协议软件性能和健壮性测试。
2．软件方案
 (1) 测试集成管理环境软件方案
测试集成管理环境的设计主要考虑支持主流平台Windows或Unix，在这些平台上的GUI界面风格一致，操作一致，使各测试步骤具有统一的操作风格，测试步骤更清晰，测试过程更方便且自动化程度更高。
集成环境主要包括以下几个部分：测试集管理工具、测试配置工具、测试准备工具、测试执行工具、测试结果采集工具、测试结果分析工具、测试报告生成工具、测试结果管理工具以及测试集数据库和测试结果数据库。
 （2) 协议安全性测试系统软件方案
协议安全性测试系统对基于TCP/IP协议的安全协议软件进行测试，同时为了保证安全协议的运行基础的可靠性，需要测试TCP/IP的性能和健壮性。测试系统采用自顶而下的方式设计，整个系统按测试对象分成若干个测试集，由各个测试集完成对各安全协议的测试。系统软件结构图如下所示：

图四

 SSL协议测试集：完成对SSL协议软件的测试。对包含SSL实现产品或模块的主要功能和性能进行测试，测试集应能覆盖SSL协议的鉴别、完整、保密等功能，对SSL上的各种典型应用如l SHTTP等也应有所覆盖。在功能测试方面，主要测试SSL软件的身份鉴别功能、数据加密功能、数据完整性功能等；在性能测试方面，主要测试SSL连接协商时间、数据吞吐量等；在符合性测试方面，主要测试SSL软件是否符合Internet Draft Secure Socket Layer Protocol Version 3.0之要求。

IPSec协议测试集：完成对IPSec协议软件的测试。对包含IPSec实现产品或模块的主要功能和性能进行测试，测试集应能覆盖IPSec协议的鉴别、完整、保密等功能，对 VPN 等典型应用也应有所覆盖。在功能测试方面，主要测试IPSec协议软件的身份鉴别功能、数据加密功能和数据完整性功能；在性能测试方面，主要测试IPSec协议软件的数据吞吐量、连接协商时间等；在符合性测试方面，主要测试IPSec软件是否满足相关协议之要求。
 l Kerberos协议测试集：完成对Kerberos协议软件的测试。对包含Kerberos实现产品或模块的主要功能和性能进行测试，测试集应能覆盖Kerberos协议的鉴别等功能，对Kerberos的各种典型应用也应有所覆盖。在功能测试方面，主要测试Kerberos协议软件的票据发放功能、票据验证功能和数据加密功能；在性能测试方面，主要测试Kerberos协议软件数据吞吐量、连接协商时间等；在符合性测试方面，主要测试Kerberos协议软件与MIT Kerberos V5协议的符合程度。
 TCP/IP协议测试集：完成对TCP/IP协议的性能和健壮性测试。对TCP/IP协议簇的具体实现模块的安全脆弱性进行测试，测试集应覆盖协议族中各协议的安全脆弱问题。在性能测试方面，主要测试TCP/IP协议软件的连接时间、处理连接的速度；在健壮性测试方面，主要测试抗IP地址欺骗能力、抗物理地址欺骗能力、抗TCP序列号攻击能力、抗极小数据段攻击能力和抗源路由攻击能力。l
各个协议的测试软件由数据发生模块、数据捕获模块、数据分析模块和报告生成模块组成，其组成如下图所示：

 
图五

  其中数据发生模块用来产生所需要的数据，数据捕获模块的主要任务是从网络中获取安全协议通信时所产生的数据，数据分析模块对得到的数据进行分析，分析的结果交给报告生成模块来生成分析报告。
该系统在设计时充分考虑到未来安全协议发展的情况，各个模块相对独立，可以独立开发和升级，能够满足协议本身发展的需要和新的协议出现时的扩展需要，具有良好的可扩展性。

 

第二篇：借助网络分析系统测试网络的安全性

借助网络分析系统测试网络的安全性

1.1. 前言

一般情况下，大多数公司或企业，都部署有IDS入侵检测系统，同时通过IDS对网络的安全状况进行监控。当网络中出现攻击行为时，IDS会自动进行告警。虽然IDS目前在网络中应用非常广泛，但它存在两个非常大的不足。

IDS只能对网络中正在进行的攻击行为进行监控，对于潜伏在网络中的攻击行为，IDS无能为力。 IDS只能匹配规则库中存在的攻击行为，对于规则库中不存在的新型攻击、变种攻击，IDS不能对其进行识别和告警。

由于网络中的攻击行为复杂多变，且IDS存在不足，为全面了解网络的安全状况，我们必须找到另一种更加合理的解决方案。这里，我们提出一种通过网络分析系统对网络进行安全性测试的思路，仅供大家探讨。

PS：1、本文仅讨论使用网络分析系统对网络进行的安全测试。2、文中使用的网络分析系统是“科来网络分析系统2010”。

1.2. 安装部署及抓包

1. 安装部署

测试之前，我们需要先进行正确的安装部署。

? 将科来网络分析系统安装到分析用的机器上。

? 将安装科来的机器连接到交换机的镜像端口上。一般情况下对全网进行测试，则将分析用的机器连接到核心交换机的镜像端口；如果只需要对某个部门进行测试，则将分析用的机器连接到该部门交换机镜像端口。

? 在相应交换机上，配置好端口镜像或流镜像。配置好后，可登录交换机，使用show int …或dis int …之类的命令，查看端口的流量情况，如果端口流量较大，说明配置成功，反之则可能配置有问题。

2. 捕获数据包

正确部署后，即开始捕获网络中的通讯内容，具体步骤如下：

? 启动科来网络分析系统2010。

? 选择正确的网卡。如果机器上有多个网卡，请确保选择的是连接交换机镜像端口的网卡。

? 选择恰当的分析方案并对其进行编辑，根据实际情况调整数据包缓存的大小，建议设置不超过300M。由于我们这儿做的是安全测试，所以选择“安全分析”方案。

? 网络档案使用默认即可，其它不进行设置，选择好后开始页面如下图。一切就绪后，点击开始页右下角的开始捕获。

注意：系统支持的分析方式有实时分析和回放分析。如果是对网络进行实时抓包分析，选择“实时分析”；如果是对已经保存好的数据包进行分析，选择“回放分析”。（系统默认情况下选中的是实时分析。）

（图1 科来网络分析系统开始页）

1.3. 详细分析

进行安全分析时，建议抓取数据的时间稍长，最好不要低于10分钟，这样可以得出的测试结果将会更有说服力。测试后的分析主要从攻击行为和安全隐患两个方面进行。

1. 攻击行为分析

从科来网络分析系统2010的多个与安全相关的视图，查看网络中是否存在攻击行为。

? ARP攻击

如图2所示，如果网络中存在ARP攻击，“疑似ARP攻击分析“视图会自动分析出ARP攻击的源地址，同时下面有详细的物理会话信息，双击物理会话的下面的条目，系统会继续分析具体的攻击数据包。同时，ARP攻击分析，也可以直接在诊断视图中查看。

（图2 疑似ARP攻击分析）

? 蠕虫病毒

当网络中存在蠕虫病毒泛滥的情况时，系统会自动对其进行分析，并准确定位已经被感染蠕虫病毒的主机。图3所示的疑似蠕虫病毒分析视图，会自动显示出感染的主机，并将感染主机的详细信息，如流量、数据包、发送数据包、接收数据包、IP会话、TCP会话、原始数据包等进行显示。

（图3 蠕虫病毒分析）

? DOS攻击

针对网络中的DOS攻击分析，系统可以检测出正在进行的主动DOS攻击行为，以及正在遭受DOS攻击的情况，如图4所示。疑似DOS攻击分析视图列出了可能正在进行DOS攻击的主机，疑似受到DOS攻击分析视图列出了可能正在遭受DOS攻击的主机，两个视图对这些主机的流量、发包、收包、会话、原始数据包等详细信息进行详细统计。

（图4 DOS攻击分析）

? TCP端口扫描

TCP端口扫描一般情况是后续攻击的前奏，系统的TCP端口扫描视图，可以对网络中的TCP端口扫描行为，进行准确检测 和定位，如图5所示。

（图5 TCP端口扫描）

2. 安全隐患分析

此处的安全隐患，包括设备管理安全隐患、电子邮件安全隐患、FTP文件传输安全隐患。

? 设备管理安全隐患

通常情况下，管理人员对已经投入使用的网络设备（交换机、路由器等）、安全设备（防火墙、UTM、IDS/IPS等）的管理，一般使用的方式有Web（HTTP，HTTPS）和命令行（Telnet，SSH）。这其中，HTTPS和SSH是加密协议，通过这两种方式的管理相对安全，但HTTP和Telnet则是明文传输协议，如果使用这两种方式进行设备管理，则存在巨大的安全隐患。

备注：大部分的设备都还支持一种Console调试，使用这种方式时，管理人员必须到达设备的物理位置，使用Console线连接进行操作，一般仅在初步调试设备时使用。正常投入网络使用的设备，很少采用这种方式。

HTTP明文传输隐患查找：节点浏览器中选择HTTP协议，右边选择TCP会话视图，查看与网络中设备进行通讯的TCP会话信息。如网络中设备地址是192.168.8.1，则查看与192.168.8.1通讯的会话，并查看下面的数据流信息，如图6，找到用户名和密码均是admin的明文传输。

（图6 HTTP明文传输）

Telnet明文传输隐患查找：节点浏览器中选择Telnet协议，右边选择TCP会话视图，查看与网络中设备进行通讯的TCP会话信息。与HTTP明文传输方法一致，即可找到网络中使用Telnet的明文传输。

3. 电子邮件安全隐患

现在，使用Outlook和Foxmail进行电子邮件收发的用户较多，默认情况下，这两种协议都是明文传输，存在电子邮件安全隐患。

查找明文邮件密码：节点浏览器中选择SMTP和POP3协议（一次只能选择一个），右边选择TCP会话视图，查看下面的电子邮件会话信息以及数据流，可以查找明文传输的用户名和密码，如图7。

（图7 电子邮件明文密码）

查找明文邮件内容：节点浏览器中选择SMTP和POP3协议（一次只能选择一个），右边选择日志->Email信息，查看邮件的通讯情况，可以查找明文传输的邮件通讯情况，如图8。

（图8 电子邮件明文传输）

4. FTP文件传输安全隐患

默认情况下，通过CMD窗口、浏览器窗口、部分FTP客户端等方式的FTP访问，都是明文传输，存在巨大的安全隐患。

查找FTP明文密码：节点浏览器中选择FTP协议，右边选择TCP会话视图，查看下面的FTP会话信息以及数据流，可以查找明文传输的FTP用户名和密码，如图9。

（图9 FTP明文密码）

查找FTP明文内容：节点浏览器中选择根节点，右边选择日志->FTP传输，可以查看到网络中使用明文进行的FTP文件传输情况，如图10。

（图10 FTP明文传输）

1.4. 分析结论

通过上述的抓包和测试分析，可以对网络的安全情况进行全面体验，让管理人员知道网络的当前安全状况，以及网络中是否存在潜在的安全隐患，从而有效确保网络的安全。所以，使用网络分析系统，从宏观上对网络的安全性进行测试，是网络安全整体防御体系中必不可少的一部分，是当前网络安全防护状态的必要补充。