通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  少将

注册:2004-10-20
跳转到指定楼层
1#
发表于 2005-5-16 09:36:00 |只看该作者 |倒序浏览
在选择IDS的时候,我们除了考虑功能以外,还需要从性能方面考虑,因此,我们从尽可能多的方面来考察了送测产品的性能,因为根据我们以往测试的经验,每款产品在不同的方面都会有自己的长处,只有这样才能给用户足够多的参考信息。



  我们在测试环境中采用了多样化的测试方法和测试工具,流量发生器采用美国思博伦通信公司的Avalanche和Reflector测试仪,攻击产生工具是BLADE IDS Informer软件,以及Nessus 2.0,这是一个扫描软件,能够对目标主机或者网络进行各种试探,其中包括了我们需要的几种变形入侵。硬件部分当然包括测试用的平台:一台用作控制台的PC,一台邮件服务器,还有用作镜像网络流量的千兆交换机。



  攻击的识别率



  这部分我们采用了美国《网络世界》的测试方案,从IDS Informer软件能够模拟的600个攻击测试集里面分HTTP、BackDoor、Other三大类,随机选择出100个攻击,这样可以从某种程度上反映出IDS 产品对任意攻击的识别率。我们采用了最简单的IDS应用网络结构(见图1),BLADE IDS Informer工作的时候,两个网络接口互相连接,我们只需要把其中发送攻击的接口的网络流量镜像到IDS的检测口就可以了,然后在IDS Informer上发送攻击,通过查看IDS控制台的事件输出来判断攻击是否被成功的检测到。



  逃避的识别能力



  逃避的识别我们通过两个方法来进行测试。



  ● 首先是采用Nessus对目标PC进行扫描,在确认IDS能够识别出攻击后,再依次选择Nessus中的三种变形方式,通过控制台就可以看出IDS对这2种形式的伪装入侵是否能够正确地识别。(见图2)








  ● 第二种方法是采用 BLADE IDS Informer自身具备的变形功能,来对同一个 HTTP攻击进行10种变形。(见图1)








  误报测试



  误报测试采用两种伪攻击。第一种通过一台客户端访问邮件服务器来进行(见图3),我们通过Telnet方式来进行一个SMTP会话,在命令行敲入SMTP命令来模拟一个攻击: 在第一个SMTP会话中,我们直接在交互阶段敲入vrfy decode命令来验证服务器是否存在decode 这个用户,IDS会有一个警告出现; 第二个会话中,我们把这条命令vrfy decode放到了邮件正文中,虽然在会话中也有这个特征字串,但是没有实际的威胁,如果IDS报警便是误报。








  第二种伪攻击是通过改变攻击包的TTL(生存时间)值来实现的。首先挑选被测IDS可以检测出的一种攻击,然后将TTL值设置为零(这样的攻击包不会产生有效攻击)。如果被测IDS报警也是一种误报。(见图1)



  状态检测



  这个环节分为两个部分,主要是检测IDS是否能够确认完整的网络连接状态,从而更准确地检测攻击,而不是浪费宝贵的处理能力在一些并不是真正攻击的网络流量上。



  ● 在IDS Informer中确定IDS能够正确检测到的攻击,然后采用routable方式,发送目标地址和源地址相同的单向攻击。(见图1)对于正常的网络来说,这样的网络流量是不可能持续下去的。



  ● 在IDS Informer中确定IDS能够正确检测到的攻击,然后用Sniffer录制,并且去掉3次握手包,再重复发送。这样的连接根本不可能建立起来。



  HTTP仿真环境测试



  由于在 IDS的实际使用当中,IDS是通过重组这些网络流量进行分析检测的,如果流量超过了IDS所能处理的限度,就会发生丢包,网络流量也无法正确地被重组分析。



  我们在这个测试中,采用了Avalanche/Reflector组合来产生HTTP仿真背景流,来查看IDS在当时流量下对攻击的检测能力。由于会同时用到BLADE IDS Informer,所以需要两台交换机一起工作(见图4)。










举报本楼

本帖有 1 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-24 09:17 , Processed in 0.397441 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部