收藏
下载资源下载资源 加入VIP,免费下载

IDS测试方案11.docx

上传人:b****8 文档编号:30199801 上传时间:2023-08-07 格式:DOCX 页数:22 大小:21.64KB
下载 相关 举报
IDS测试方案11.docx_第1页
第1页 / 共22页
IDS测试方案11.docx_第2页
第2页 / 共22页
IDS测试方案11.docx_第3页
第3页 / 共22页
IDS测试方案11.docx_第4页
第4页 / 共22页
IDS测试方案11.docx_第5页
第5页 / 共22页
点击查看更多>>
下载资源
资源描述

IDS测试方案11.docx

《IDS测试方案11.docx》由会员分享,可在线阅读,更多相关《IDS测试方案11.docx(22页珍藏版)》请在冰豆网上搜索。

IDS测试方案11.docx

IDS测试方案11

 

IDS

测试方案

 

2014-01-01

 

 

一、典型攻击测试

1.扫描类攻击

测试目的

检测扫描类攻击

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

使用Iris软件,回放扫描类攻击包

1.回放nmap–sF

2.回放fscan

3.回放HTTP—Xscan—CGI扫描

4.回放UNICODE

5.回放FTP—口令穷举探测

6.回放HTTP_口令穷举探测

7.回放NNTP_口令穷举探测

8.回放IMAP_口令穷举探测

9.回放POP3_口令穷举探测

10.回放TCP_冲击波蠕虫扫描

预期结果

可以检测到以上所作扫描攻击

测试结果

Nmap–sF

□Pass□Fail

Fscan

□Pass□Fail

HTTP—Xscan—CGI扫描

□Pass□Fail

UNICODE

□Pass□Fail

FTP—口令穷举探测

□Pass□Fail

HTTP_口令穷举探测

□Pass□Fail

NNTP_口令穷举探测

□Pass□Fail

IMAP_口令穷举探测

□Pass□Fail

POP3_口令穷举探测

□Pass□Fail

TCP_冲击波蠕虫扫描

□Pass□Fail

2.DoS类攻击

测试目的

检测DOS类攻击

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

使用Iris软件,回放DOS类攻击包

1、回放DOSTearDrop攻击

2、回放DOSVOOBS攻击

3、回放DOSWinNUKES攻击

4、回放Synflood攻击

5、回放TCP_拒绝服务_winnuke_攻击

6、回放udpflood攻击

预期结果

可以检测到以上所作DOS攻击

测试结果

Synflood攻击

□Pass□Fail

udpflood攻击

□Pass□Fail

DOSTearDrop攻击

□Pass□Fail

DOSWinNUKES攻击

□Pass□Fail

3.后门类攻击

测试目的

检测后门类攻击

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

使用Iris软件,回放后门类攻击包

1、回放Backdoor灰鸽子辐射版v0.3连接客户端

2、回放glac84-7626攻击

3、回放glac84-9000攻击

4、回放winshell攻击

5、回放Wollf攻击

6、回放广外女生攻击

预期结果

可以检测到以上所做的后门类攻击

测试结果

Backdoor灰鸽子辐射版v0.3连接客户端

□Pass□Fail

glac84-7626攻击

□Pass□Fail

glac84-9000攻击

□Pass□Fail

winshell攻击

□Pass□Fail

Wollf攻击

□Pass□Fail

广外女生攻击

□Pass□Fail

4.代码类攻击

测试目的

检测代码攻击

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

使用Iris软件,回放后门类攻击包

1.回放12-IDA(溢出)攻击

2.回放bsd-tele攻击

3.回放CDEToolTalk远程堆溢出漏洞攻击

4.回放cgi_gcuhl_u_webdistcgi2攻击

5.回放HTTPcgixpU攻击

6.回放Http_htsearch_读取任意文件尝试攻击

7.回放Http_IIS_传输头查看代码aaaaaaaaaaaaaaaaaaaaaaaaaaaaa攻击

8.回放idq攻击

9.回放iisx攻击

10.回放MSRPCDCOM攻击

11.回放MSSQLHACK攻击

12.回放WEBDAV攻击

预期结果

可以检测到以上所做的代码类攻击

测试结果

IDA(溢出)攻击

□Pass□Fail

bsd-tele攻击

□Pass□Fail

CDEToolTalk远程堆溢出漏洞攻击

□Pass□Fail

cgi_gcuhl_u_webdistcgi2攻击

□Pass□Fail

HTTPcgixpU攻击

□Pass□Fail

Http_htsearch_读取任意文件尝试攻击

□Pass□Fail

Http_IIS_传输头查看代码aaaaaaaaaaaaaaaaaaaaaaaaaaaaa攻击

□Pass□Fail

idq攻击

□Pass□Fail

iisx攻击

□Pass□Fail

MSRPCDCOM攻击

□Pass□Fail

MSSQLHACK攻击

□Pass□Fail

WEBDAV攻击

□Pass□Fail

5.规避测试

测试目的

检测分片及编码攻击

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

使用Iris软件,回放规避类攻击包

1.回放fragroutebase-1攻击

2.回放fragroutefrag-1攻击

3.回放fragroutefrag-2攻击

4.回放fragroutefrag-3攻击

5.回放fragroutefrag-4攻击

6.回放fragroutefrag-5.攻击

7.回放fragroutefrag-6攻击

8.回放fragroutefrag-7-unix攻击

9.回放fragroutefrag-7-win32攻击

10.回放fragrouteins-2攻击

11.回放fragroutetcbc-2攻击

12.回放fragroutetcp-3攻击

13.回放fragroutetcp-7攻击

14.回放fragroutetcp-9攻击

15.回放whiskerI0攻击

16.回放whiskerI1攻击

17.回放whiskerI2攻击

18.回放whiskerI3攻击

19.回放whiskerI4攻击

20.回放whiskerI5攻击

21.回放whiskerI6攻击

22.回放whiskerI7攻击

23.回放whiskerI8攻击

24.回放whiskerI9攻击

预期结果

IDS不受影响,还可以正常工作,报告攻击

测试结果

fragroutebase-1攻击

□Pass□Fail

fragroutefrag-1攻击

□Pass□Fail

fragroutefrag-2攻击

□Pass□Fail

fragroutefrag-3攻击

□Pass□Fail

fragroutefrag-4攻击

□Pass□Fail

fragroutefrag-5.攻击

□Pass□Fail

fragroutefrag-6攻击

□Pass□Fail

fragroutefrag-7-unix攻击

□Pass□Fail

fragroutefrag-7-win32攻击

□Pass□Fail

fragrouteins-2攻击

□Pass□Fail

fragroutetcbc-2攻击

□Pass□Fail

fragroutetcp-3攻击

□Pass□Fail

fragroutetcp-7攻击

□Pass□Fail

fragroutetcp-9攻击

□Pass□Fail

whiskerI0攻击

□Pass□Fail

whiskerI1攻击

□Pass□Fail

whiskerI2攻击

□Pass□Fail

whiskerI3攻击

□Pass□Fail

whiskerI4攻击

□Pass□Fail

whiskerI5攻击

□Pass□Fail

whiskerI6攻击

□Pass□Fail

whiskerI7攻击

□Pass□Fail

whiskerI8攻击

□Pass□Fail

whiskerI9攻击

□Pass□Fail

二、入侵检测功能测试

1.基于会话的入侵检测

测试目的

验证测试IDS是否为基于会话进行入侵分析

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.使用报文回放软件回放一个基于TCP的攻击,确保测试IDS可以报警;

2.回放同一个攻击,但不包括TCP三次握手部分的三个数据包,并验证测试IDS是否报警;

预期结果

测试IDS时基于会话进行入侵分析,针对无TCP三次握手的攻击不报警

测试结果

2.自定义事件

测试目的

验证测试IDS是否支持自定义事件功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.针对telnet协议root账号登录设置自定义事件;

2.针对FTP协议下载指定文件名称设置自定义事件;

3.针对HTTP协议内容部分指定字符串设置自定义事件;

4.执行相应操作,验证测试IDS是否报警

预期结果

自定义事件灵活、简便,并能准确报警

测试结果

3.响应策略编辑

测试目的

验证测试IDS是否支持响应策略编辑功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

要求测试IDS可以支持源地址、目的地址、时间、响应等可选参数,并能设置响应策略优先级

1.确定一个测试IDS可以报警的事件;

2.设置策略来自攻击主机A的攻击在早9点至下午5点时的响应方式为控制台报警+记录日志+切断会话;

3.设置策略来自攻击主机B的攻击在早9点至下午5点时的响应方式为控制台报警+记录日志+报文回放;

4.设置在早9点至下午9点之外的所有时间,来自所有攻击主机的响应方式为控制台报警+记录日志;

预期结果

可灵活编辑响应策略

测试结果

4.日志归并

测试目的

验证测试IDS是否支持日志归并功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

要求测试IDS可以支持源地址、目的地址、事件等归并基准,并可设置显示周期

1.设置按事件进行归并;

2.设置按源地址+事件进行归并;

3.设置按目的地址+事件进行归并;

4.设置1分钟显示一次;

5.设置2分钟显示一次;

预期结果

可以按不同条件进行归并

测试结果

5.并行数据采集

测试目的

验证测试IDS是否支持并行数据采集功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.在交换机上将被攻击主机所在接口的TX、RX分别镜像到交换机的2个端口;

2.在攻击主机上向被攻击发起基于TCP的攻击;

3.验证测试IDS是否可以报警;

预期结果

可以报警

测试结果

6.虚拟引擎

测试目的

验证测试IDS是否支持虚拟引擎功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.在交换机上将被攻击主机所在端口镜像到2个不同的接口;

2.在IDS上设置虚拟引擎,每个虚拟引擎分别接不同的镜像口;

3.为每个虚拟引擎设置不同的策略;

4.查看每个虚拟的入侵检测日志;

5.查看每个虚拟监控的流量信息;

预期结果

支持虚拟引擎功能,可为每个虚拟引擎单独配置策略,并单独查看日志及监控信息

测试结果

7.高级协议识别

测试目的

验证测试IDS是否支持高级协议识别功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.针对HTTP80、FTP21、Telnet23知名端口进行攻击,并确保测试IDS可以报警;

2.修改HTTP、FTP、Telnet为非知名端口;

3.进行相同的攻击;

4.验证测试IDS是否可以报警;

预期结果

测试IDS根据协议特征而非端口进行检测

测试结果

8.SSL加密数据检测

测试目的

验证测试IDS是否支持SSL加密数据检测功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.搭建HTTPS服务器;

2.在HTTPS下进行攻击;

3.验证测试IDS是否可以报警;

预期结果

可以对SSL加密数据进行检测

测试结果

9.VLANTrunk封装数据检测

测试目的

验证测试IDS是否支持VLANTrunk封装数据检测功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.确定测试IDS可以报警的攻击事件;

2.搭建环境,让攻击报文进行802.1Q封装;

3.搭建环境,让攻击报文进行ISL封装;

4.验证测试IDS是否可以报警;

预期结果

测试IDS支持VLANTrunk封装数据检测

测试结果

10.IP盗用监控

测试目的

验证测试IDS是否支持IP盗用监控功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.在IDS上设置IP、MAC地址绑定;

2.修改一台主机的IP地址,验证测试IDS是否报警;

3.将本机IP地址配置到另外一台主机上,验证测试IDS是否报警;

预期结果

可以对IP、MAC地址盗用进行报警

测试结果

11.会话参数调整

测试目的

验证测试IDS是否支持会话生成确认时间和会话维持时间调整

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.在IDS上设置会话生成确认时间;

2.使用报文回放软件回放某个会话的TCP三次握手报文,三个报文依次回放,在会话生成确认时间内回放完成,并验证测试IDS是否可以建立会话;

3.使用报文回放软件回放某个会话的TCP三次握手报文,三个报文依次回放,回放完前两个报文后,等超过会话生成确认时间再回放第三个报文,并验证测试IDS是否可以建立会话;

4.在IDS上设置会话维持时间;

5.建立telnet会话,登录后不做任何操作,并验证在等待设定的会话维持时间后测试IDS是否会清除该会话;

预期结果

测试IDS支持对会话生成确认时间和会话维持时间进行调整

测试结果

12.实时会话监控

测试目的

验证测试IDS是否支持实时会话监控功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.建立HTTP、TELNET、FTP等会话;

2.验证测试IDS是否可以实时显示会话列表,并可以手动切断会话或保存会话内容;

预期结果

测试IDS可以实时显示会话列表,并可以手动切断会话或保存会话内容;

测试结果

实时会话列表显示

□Pass□Fail

手动切断会话

□Pass□Fail

保存会话内容

□Pass□Fail

13.流量监控

测试目的

验证测试IDS是否支持实时会话监控功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.在攻击主机与被攻击主机之间进行正常访问生成正常网络流量,进行攻击生成攻击流量;

2.验证测试IDS是否可以显示网络流量和攻击流量;

预期结果

测试IDS可以显示网络流量和攻击流量

测试结果

14.入侵日志缓存

测试目的

验证测试IDS在控制台没有连接引擎时是否支持引擎日志缓存功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.关闭控制台软件;

2.进行攻击;

3.重新打开控制台软件,验证测试IDS是否保存了此前的攻击日志;

预期结果

测试IDS在控制台没有连接引擎时是否支持引擎日志缓存功能

测试结果

15.入侵响应

测试目的

验证测试IDS是否支持丰富的入侵响应方式

预制条件

需要准备网御防火墙、CISCO路由器和中国移动短信网关

测试方法

1.设置不同的响应方式;

2.进行攻击回放;

3.验证测试IDS是否支持相应的响应方式;

预期结果

测试IDS支持丰富的入侵响应方式

测试结果

控制台报警

□Pass□Fail

记录数据库

□Pass□Fail

声音报警

□Pass□Fail

邮件报警

□Pass□Fail

短信报警

□Pass□Fail

SNMPTrap

□Pass□Fail

报警消息器

□Pass□Fail

报文回放

□Pass□Fail

切断会话

□Pass□Fail

网御防火墙联动

□Pass□Fail

CISCO路由器联动

□Pass□Fail

二次报警

□Pass□Fail

三、管理功能测试

1.用户管理功能

测试目的

验证测试IDS是否支持用户管理功能

预制条件

测试IDS控制台已经开启并正常工作

测试方法

1.添加不同权限的用户,并验证是否具有不同的权限;

2.是否可以设置用户登录失败锁定;

3.用户登录失败锁定后是否可以邮件通知管理员;

预期结果

测试IDS具有用户管理功能

测试结果

用户权限分级

□Pass□Fail

登录失败锁定

□Pass□Fail

登录失败锁定邮件通知

□Pass□Fail

2.引擎状态监控

测试目的

验证测试IDS是否支持引擎状态监控功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.打开控制台,打开引擎状态监控窗口;

2.查看引擎运行时间、CPU、内容、监控网络信息,并验证是否准确;

3.控制台不能连接引擎时,是否可以通过邮件通知管理员

预期结果

测试IDS可以查看引擎状态

测试结果

引擎运行时间

□Pass□Fail

CPU使用率

□Pass□Fail

内存使用率

□Pass□Fail

流量

□Pass□Fail

报文

□Pass□Fail

会话数

□Pass□Fail

丢包数

□Pass□Fail

引擎断开邮件通知

□Pass□Fail

3.日志管理

测试目的

验证测试IDS是否支持日志管理功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.进行攻击,生成入侵日志;

2.进行日志查看,是否可以支持丰富的查询参数;

3.日志删除,是否可以灵活删除指定时间范围内的日志;

4.是否支持手动备份日志功能;

5.是否支持按周期、按时间、按大小等条件的自动日志备份功能;

6.是否支持日志恢复功能;

预期结果

测试IDS支持日志管理功能

测试结果

日志查看

□Pass□Fail

日志删除

□Pass□Fail

手动备份日志

□Pass□Fail

自动备份日志

□Pass□Fail

日志恢复

□Pass□Fail

4.报表

测试目的

验证测试IDS是否支持报表功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.进行攻击,生成入侵日志;

2.生成入侵报表;

3.生成汇总报表;

4.生成流量报表;

5.报表导出:

rpt、doc、excel、html、xml、rtf格式;

6.按周、月、年自动生成报表并上传到指定的FTP服务器;

预期结果

测试IDS支持入侵、流量、汇总报表,支持报表导出功能,支持自动生成报表功能

测试结果

入侵报表

□Pass□Fail

流量报表

□Pass□Fail

汇总报表

□Pass□Fail

报表导出

□Pass□Fail

自动生成报表

□Pass□Fail

5.升级管理

测试目的

验证测试IDS是否支持升级管理功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.在控制台执行在线升级;

2.在控制台执行脱机升级;

3.在引擎执行在线升级;

4.在引擎执行脱机升级

预期结果

测试IDS可以支持在线、脱机升级功能

测试结果

控制台在线升级

□Pass□Fail

控制台脱机升级

□Pass□Fail

引擎在线升级

□Pass□Fail

引擎脱机升级

□Pass□Fail

6.分级管理

测试目的

验证测试IDS是否支分级管理功能

预制条件

测试IDS引擎及控制台已经开启并正常工作,准备2个以上控制台主机

测试方法

1.设置好分级管理;

2.下级管理中心接一台IDS;

3.进行攻击,并验证上级管理中心是否可以收到下级管理中心的报警;

4.在上级管理中心向下级管理中心下发策略,并验证下级管理中心是否可以正常接收并应用;

5.在上级管理中心向下级管理中心发送全局消息和文件,并验证是否可以正常发送;

6.在上级管理中心查看下级管理中心的引擎状态;

7.在上级管理中心查看下级管理中心的特征库版本;

预期结果

测试IDS支持分级管理功能

测试结果

日志上报

□Pass□Fail

策略下发

□Pass□Fail

全局消息、文件共享

□Pass□Fail

全局引擎状态监控

□Pass□Fail

全局特征库版本监控

□Pass□Fail

7.引擎时间修正

测试目的

验证测试IDS是否支持引擎时间修正功能

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

一、登录引擎串口,修改系统时间,并验证是否可以正确修改;

二、将控制台与引擎设备设置为不同的时间,在控制台执行引擎时间同步,并验证是否正确同步;

三、将引擎系统时间设置为非标准时间,设置NTP时间同步,并验证是否可以正确同步时间;

预期结果

可以通过串口、控制台、NTP时间服务器进行引擎的时间修正

测试结果

串口时间设置

□Pass□Fail

控制台时间同步

□Pass□Fail

NTP时间同步

□Pass□Fail

8.上下文相关联机帮助

测试目的

验证测试IDS是否支持上下文相关的联机帮助

预制条件

测试IDS控制台已经开启并正常工作

测试方法

打开控制台软件,验证测试IDS是否在相关操作界面提供了具有上下文相关的联机帮助功能

预期结果

IDS支持上下文相关的联机帮助

测试结果

四、引擎自身安全性测试

测试目的

验证测试IDS引擎设备自身是否存在安全隐患

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

1.扫描测试IDS的监听端口,验证是否可以扫描到地址、端口等信息;

2.在引擎上设置访问控制列表,限制访问,验证测试IDS是否可以正常管理;

3.修改引擎的监听端口,验证测试IDS是否可以正常工作;

预期结果

测试IDS支持隐蔽部署,访问控制,并可以修改监听端口

测试结果

隐蔽部署

□Pass□Fail

访问控制列表

□Pass□Fail

通讯端口可修改

□Pass□Fail

五、性能测试

测试目的

验证测试IDS的性能参数

预制条件

测试IDS引擎及控制台已经开启并正常工作

测试方法

使用专业的性能测试设备,如:

IXIA、SmartBits等进行吞吐、并发和新建连接测试

预期结果

测试IDS性能可以满足用户需求

测试结果

吞吐(Mbps)

并发

新建

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > PPT模板 > 其它模板

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1