IDS测试方案11.docx

1、IDS测试方案11IDS测试方案2014-01-01目 录一、 典型攻击测试 41. 扫描类攻击 42. DoS类攻击 43. 后门类攻击 54. 代码类攻击 55. 规避测试 6二、 入侵检测功能测试 71. 基于会话的入侵检测 72. 自定义事件 83. 响应策略编辑 84. 日志归并 85. 并行数据采集 86. 虚拟引擎 97. 高级协议识别 98. SSL加密数据检测 99. VLAN Trunk封装数据检测 1010. IP盗用监控 1011. 会话参数调整 1012. 实时会话监控 1013. 流量监控 1114. 入侵日志缓存 1115. 入侵响应 11三、 管理功能测试 12

2、1. 用户管理功能 122. 引擎状态监控 123. 日志管理 124. 报表 135. 升级管理 136. 分级管理 147. 引擎时间修正 148. 上下文相关联机帮助 14四、 引擎自身安全性测试 15五、 性能测试 15一、 典型攻击测试1. 扫描类攻击测试目的检测扫描类攻击预制条件测试IDS引擎及控制台已经开启并正常工作测试方法使用Iris软件，回放扫描类攻击包1. 回放nmap sF2. 回放fscan3. 回放HTTPXscanCGI 扫描4. 回放UNICODE5. 回放FTP口令穷举探测6. 回放HTTP_口令穷举探测7. 回放NNTP_口令穷举探测8. 回放IMAP_口令穷

3、举探测9. 回放POP3_口令穷举探测10. 回放TCP_冲击波蠕虫扫描预期结果可以检测到以上所作扫描攻击测试结果Nmap sFPass FailFscanPass FailHTTPXscanCGI 扫描Pass FailUNICODE Pass FailFTP口令穷举探测Pass FailHTTP_口令穷举探测Pass FailNNTP_口令穷举探测Pass FailIMAP_口令穷举探测Pass FailPOP3_口令穷举探测Pass FailTCP_冲击波蠕虫扫描Pass Fail2. DoS类攻击测试目的检测DOS类攻击预制条件测试IDS引擎及控制台已经开启并正常工作测试方法使用Iri

4、s软件，回放DOS类攻击包1、 回放DOS TearDrop攻击2、 回放DOS VOOB S攻击3、 回放DOS WinNUKE S攻击4、 回放Synflood攻击5、 回放TCP_拒绝服务_winnuke_攻击6、 回放udpflood攻击预期结果可以检测到以上所作DOS攻击测试结果Synflood攻击Pass Failudpflood攻击Pass FailDOS TearDrop攻击Pass FailDOS WinNUKE S攻击Pass Fail3. 后门类攻击测试目的检测后门类攻击预制条件测试IDS引擎及控制台已经开启并正常工作测试方法使用Iris软件，回放后门类攻击包1、 回放B

5、ackdoor 灰鸽子 辐射版v0.3 连接客户端2、 回放glac84-7626攻击3、 回放glac84-9000攻击4、 回放winshell攻击5、 回放Wollf攻击6、 回放广外女生攻击预期结果可以检测到以上所做的后门类攻击测试结果Backdoor 灰鸽子 辐射版v0.3 连接客户端Pass Failglac84-7626攻击Pass Failglac84-9000攻击Pass Failwinshell攻击Pass FailWollf攻击Pass Fail广外女生攻击Pass Fail4. 代码类攻击测试目的检测代码攻击预制条件测试IDS引擎及控制台已经开启并正常工作测试方法使用I

6、ris软件，回放后门类攻击包1. 回放12-IDA（溢出）攻击2. 回放bsd-tele攻击3. 回放CDE ToolTalk远程堆溢出漏洞攻击4. 回放cgi_gcuhl_u_webdistcgi2攻击5. 回放HTTP cgixp U攻击6. 回放Http_htsearch_读取任意文件尝试攻击7. 回放Http_IIS_传输头查看代码aaaaaaaaaaaaaaaaaaaaaaaaaaaaa攻击8. 回放idq攻击9. 回放iisx攻击10. 回放MS RPC DCOM攻击11. 回放MSSQLHACK攻击12. 回放WEBDAV攻击预期结果可以检测到以上所做的代码类攻击测试结果IDA（

7、溢出）攻击Pass Failbsd-tele攻击Pass FailCDE ToolTalk远程堆溢出漏洞攻击Pass Failcgi_gcuhl_u_webdistcgi2攻击Pass FailHTTP cgixp U攻击Pass FailHttp_htsearch_读取任意文件尝试攻击Pass FailHttp_IIS_传输头查看代码aaaaaaaaaaaaaaaaaaaaaaaaaaaaa攻击Pass Failidq攻击Pass Failiisx攻击Pass FailMS RPC DCOM攻击Pass FailMSSQLHACK攻击Pass FailWEBDAV攻击Pass Fail5.

8、规避测试测试目的检测分片及编码攻击预制条件测试IDS引擎及控制台已经开启并正常工作测试方法使用Iris软件，回放规避类攻击包1. 回放fragroute base-1攻击2. 回放fragroute frag-1攻击3. 回放fragroute frag-2攻击4. 回放fragroute frag-3攻击5. 回放fragroute frag-4攻击6. 回放fragroute frag-5.攻击7. 回放fragroute frag-6攻击8. 回放fragroute frag-7-unix攻击9. 回放fragroute frag-7-win32攻击10. 回放fragroute ins

9、-2攻击11. 回放fragroute tcbc-2攻击12. 回放fragroute tcp-3攻击13. 回放fragroute tcp-7攻击14. 回放fragroute tcp-9攻击 15. 回放whiskerI0攻击16. 回放whiskerI1攻击17. 回放whiskerI2攻击18. 回放whiskerI3攻击19. 回放whiskerI4攻击20. 回放whiskerI5攻击21. 回放whiskerI6攻击22. 回放whiskerI7攻击23. 回放whiskerI8攻击24. 回放whiskerI9攻击预期结果IDS不受影响，还可以正常工作，报告攻击测试结果frag

10、route base-1攻击Pass Failfragroute frag-1攻击Pass Failfragroute frag-2攻击Pass Failfragroute frag-3攻击Pass Failfragroute frag-4攻击Pass Failfragroute frag-5.攻击Pass Failfragroute frag-6攻击Pass Failfragroute frag-7-unix攻击Pass Failfragroute frag-7-win32攻击Pass Failfragroute ins-2攻击Pass Failfragroute tcbc-2攻击Pass

11、Failfragroute tcp-3攻击Pass Failfragroute tcp-7攻击Pass Failfragroute tcp-9攻击Pass FailwhiskerI0攻击Pass FailwhiskerI1攻击Pass FailwhiskerI2攻击Pass FailwhiskerI3攻击Pass FailwhiskerI4攻击Pass FailwhiskerI5攻击Pass FailwhiskerI6攻击Pass FailwhiskerI7攻击Pass FailwhiskerI8攻击Pass FailwhiskerI9攻击Pass Fail二、 入侵检测功能测试1. 基于会话

12、的入侵检测测试目的验证测试IDS是否为基于会话进行入侵分析预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 使用报文回放软件回放一个基于TCP的攻击，确保测试IDS可以报警；2. 回放同一个攻击，但不包括TCP三次握手部分的三个数据包，并验证测试IDS是否报警；预期结果测试IDS时基于会话进行入侵分析，针对无TCP三次握手的攻击不报警测试结果2. 自定义事件测试目的验证测试IDS是否支持自定义事件功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 针对telnet协议root账号登录设置自定义事件；2. 针对FTP协议下载指定文件名称设置自定义事件；3. 针对HTTP

13、协议内容部分指定字符串设置自定义事件；4. 执行相应操作，验证测试IDS是否报警预期结果自定义事件灵活、简便，并能准确报警测试结果3. 响应策略编辑测试目的验证测试IDS是否支持响应策略编辑功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法要求测试IDS可以支持源地址、目的地址、时间、响应等可选参数，并能设置响应策略优先级1. 确定一个测试IDS可以报警的事件；2. 设置策略来自攻击主机A的攻击在早9点至下午5点时的响应方式为控制台报警+记录日志+切断会话；3. 设置策略来自攻击主机B的攻击在早9点至下午5点时的响应方式为控制台报警+记录日志+报文回放；4. 设置在早9点至下午9点之

14、外的所有时间，来自所有攻击主机的响应方式为控制台报警+记录日志；预期结果可灵活编辑响应策略测试结果4. 日志归并测试目的验证测试IDS是否支持日志归并功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法要求测试IDS可以支持源地址、目的地址、事件等归并基准，并可设置显示周期1. 设置按事件进行归并；2. 设置按源地址+事件进行归并；3. 设置按目的地址+事件进行归并；4. 设置1分钟显示一次；5. 设置2分钟显示一次；预期结果可以按不同条件进行归并测试结果5. 并行数据采集测试目的验证测试IDS是否支持并行数据采集功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 在交换

15、机上将被攻击主机所在接口的TX、RX分别镜像到交换机的2个端口；2. 在攻击主机上向被攻击发起基于TCP的攻击；3. 验证测试IDS是否可以报警；预期结果可以报警测试结果6. 虚拟引擎测试目的验证测试IDS是否支持虚拟引擎功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 在交换机上将被攻击主机所在端口镜像到2个不同的接口；2. 在IDS上设置虚拟引擎，每个虚拟引擎分别接不同的镜像口；3. 为每个虚拟引擎设置不同的策略；4. 查看每个虚拟的入侵检测日志；5. 查看每个虚拟监控的流量信息；预期结果支持虚拟引擎功能，可为每个虚拟引擎单独配置策略，并单独查看日志及监控信息测试结果7.

16、高级协议识别测试目的验证测试IDS是否支持高级协议识别功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 针对HTTP80、FTP21、Telnet23知名端口进行攻击，并确保测试IDS可以报警；2. 修改HTTP、FTP、Telnet为非知名端口；3. 进行相同的攻击；4. 验证测试IDS是否可以报警；预期结果测试IDS根据协议特征而非端口进行检测测试结果8. SSL加密数据检测测试目的验证测试IDS是否支持SSL加密数据检测功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 搭建HTTPS服务器；2. 在HTTPS下进行攻击；3. 验证测试IDS是否可以报警；预

17、期结果可以对SSL加密数据进行检测测试结果9. VLAN Trunk封装数据检测测试目的验证测试IDS是否支持VLAN Trunk封装数据检测功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 确定测试IDS可以报警的攻击事件；2. 搭建环境，让攻击报文进行802.1Q封装；3. 搭建环境，让攻击报文进行ISL封装；4. 验证测试IDS是否可以报警；预期结果测试IDS支持VLAN Trunk封装数据检测测试结果10. IP盗用监控测试目的验证测试IDS是否支持IP盗用监控功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 在IDS上设置IP、MAC地址绑定；2. 修

18、改一台主机的IP地址，验证测试IDS是否报警；3. 将本机IP地址配置到另外一台主机上，验证测试IDS是否报警；预期结果可以对IP、MAC地址盗用进行报警测试结果11. 会话参数调整测试目的验证测试IDS是否支持会话生成确认时间和会话维持时间调整预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 在IDS上设置会话生成确认时间；2. 使用报文回放软件回放某个会话的TCP三次握手报文，三个报文依次回放，在会话生成确认时间内回放完成，并验证测试IDS是否可以建立会话；3. 使用报文回放软件回放某个会话的TCP三次握手报文，三个报文依次回放，回放完前两个报文后，等超过会话生成确认时间再回放

19、第三个报文，并验证测试IDS是否可以建立会话；4. 在IDS上设置会话维持时间；5. 建立telnet会话，登录后不做任何操作，并验证在等待设定的会话维持时间后测试IDS是否会清除该会话；预期结果测试IDS支持对会话生成确认时间和会话维持时间进行调整测试结果12. 实时会话监控测试目的验证测试IDS是否支持实时会话监控功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 建立HTTP、TELNET、FTP等会话；2. 验证测试IDS是否可以实时显示会话列表，并可以手动切断会话或保存会话内容；预期结果测试IDS可以实时显示会话列表，并可以手动切断会话或保存会话内容；测试结果实时会话列

20、表显示Pass Fail手动切断会话Pass Fail保存会话内容Pass Fail13. 流量监控测试目的验证测试IDS是否支持实时会话监控功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 在攻击主机与被攻击主机之间进行正常访问生成正常网络流量，进行攻击生成攻击流量；2. 验证测试IDS是否可以显示网络流量和攻击流量；预期结果测试IDS可以显示网络流量和攻击流量测试结果14. 入侵日志缓存测试目的验证测试IDS在控制台没有连接引擎时是否支持引擎日志缓存功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 关闭控制台软件；2. 进行攻击；3. 重新打开控制台软件，验

21、证测试IDS是否保存了此前的攻击日志；预期结果测试IDS在控制台没有连接引擎时是否支持引擎日志缓存功能测试结果15. 入侵响应测试目的验证测试IDS是否支持丰富的入侵响应方式预制条件需要准备网御防火墙、CISCO路由器和中国移动短信网关测试方法1. 设置不同的响应方式；2. 进行攻击回放；3. 验证测试IDS是否支持相应的响应方式；预期结果测试IDS支持丰富的入侵响应方式测试结果控制台报警Pass Fail记录数据库Pass Fail声音报警Pass Fail邮件报警Pass Fail短信报警Pass FailSNMP TrapPass Fail报警消息器Pass Fail报文回放Pass F

22、ail切断会话Pass Fail网御防火墙联动Pass FailCISCO路由器联动Pass Fail二次报警Pass Fail三、 管理功能测试1. 用户管理功能测试目的验证测试IDS是否支持用户管理功能预制条件测试IDS控制台已经开启并正常工作测试方法1. 添加不同权限的用户，并验证是否具有不同的权限；2. 是否可以设置用户登录失败锁定；3. 用户登录失败锁定后是否可以邮件通知管理员；预期结果测试IDS具有用户管理功能测试结果用户权限分级Pass Fail登录失败锁定Pass Fail登录失败锁定邮件通知Pass Fail2. 引擎状态监控测试目的验证测试IDS是否支持引擎状态监控功能预制

23、条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 打开控制台，打开引擎状态监控窗口；2. 查看引擎运行时间、CPU、内容、监控网络信息，并验证是否准确；3. 控制台不能连接引擎时，是否可以通过邮件通知管理员预期结果测试IDS可以查看引擎状态测试结果引擎运行时间Pass FailCPU使用率Pass Fail内存使用率Pass Fail流量Pass Fail报文Pass Fail会话数Pass Fail丢包数Pass Fail引擎断开邮件通知Pass Fail3. 日志管理测试目的验证测试IDS是否支持日志管理功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 进行攻击，生

24、成入侵日志；2. 进行日志查看，是否可以支持丰富的查询参数；3. 日志删除，是否可以灵活删除指定时间范围内的日志；4. 是否支持手动备份日志功能；5. 是否支持按周期、按时间、按大小等条件的自动日志备份功能；6. 是否支持日志恢复功能；预期结果测试IDS支持日志管理功能测试结果日志查看Pass Fail日志删除Pass Fail手动备份日志Pass Fail自动备份日志Pass Fail日志恢复Pass Fail4. 报表测试目的验证测试IDS是否支持报表功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 进行攻击，生成入侵日志；2. 生成入侵报表；3. 生成汇总报表；4. 生成

25、流量报表；5. 报表导出：rpt、doc、excel、html、xml、rtf格式；6. 按周、月、年自动生成报表并上传到指定的FTP服务器；预期结果测试IDS支持入侵、流量、汇总报表，支持报表导出功能，支持自动生成报表功能测试结果入侵报表Pass Fail流量报表Pass Fail汇总报表Pass Fail报表导出Pass Fail自动生成报表Pass Fail5. 升级管理测试目的验证测试IDS是否支持升级管理功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法1. 在控制台执行在线升级；2. 在控制台执行脱机升级；3. 在引擎执行在线升级；4. 在引擎执行脱机升级预期结果测试ID

26、S可以支持在线、脱机升级功能测试结果控制台在线升级Pass Fail控制台脱机升级Pass Fail引擎在线升级Pass Fail引擎脱机升级Pass Fail6. 分级管理测试目的验证测试IDS是否支分级管理功能预制条件测试IDS引擎及控制台已经开启并正常工作，准备2个以上控制台主机测试方法1. 设置好分级管理；2. 下级管理中心接一台IDS；3. 进行攻击，并验证上级管理中心是否可以收到下级管理中心的报警；4. 在上级管理中心向下级管理中心下发策略，并验证下级管理中心是否可以正常接收并应用；5. 在上级管理中心向下级管理中心发送全局消息和文件，并验证是否可以正常发送；6. 在上级管理中心查

27、看下级管理中心的引擎状态；7. 在上级管理中心查看下级管理中心的特征库版本；预期结果测试IDS支持分级管理功能测试结果日志上报Pass Fail策略下发Pass Fail全局消息、文件共享Pass Fail全局引擎状态监控Pass Fail全局特征库版本监控Pass Fail7. 引擎时间修正测试目的验证测试IDS是否支持引擎时间修正功能预制条件测试IDS引擎及控制台已经开启并正常工作测试方法一、 登录引擎串口，修改系统时间，并验证是否可以正确修改；二、 将控制台与引擎设备设置为不同的时间，在控制台执行引擎时间同步，并验证是否正确同步；三、 将引擎系统时间设置为非标准时间，设置NTP时间同步，并验证是否可以正确同步时间；预期结果可以通过串口、控制台、NTP时间服务器进行引擎的时间修正测试结果串口时间设置Pass Fail控制台时间同步Pass FailNTP时间同步Pass Fail8. 上下文相关联机帮助测试目