作者/孙震 Keysight Technology , Ixia Solutions Group运用和安全事务开展总监
通讯技能自以太网和IP技能呈现以来,针对网络设备以及网络,包含现在的虚拟网络,云渠道的测验技能也在一向开展中。其作业原理,简略来说便是通过专用外表模仿发生并发送网络数据包来对网络设备和网络架构进行功能,压力,以及安全型测验。在这里外表起到的作用是模仿实践网络流量环境,用于网络设备的研制,网络功能和安全的验证,各种网络通讯技能试验室评价,以及各种检测组织的日常测验作业。这种用外表来模仿网络环境流量的办法,在本钱,技能完成,和测验可重复性方面都有着巨大的优势。
1流量仿真测验技能的开展
测验外表往往是跟着网络设备的研制和演从而开展的。九十年代初以太网交换机刚刚呈现时,美国的一位以太网交换机研制者为验证其交换机的功能,专门制作了一台能够发送以太网数据帧的数据包发生器,依据的测验办法首要是RFC1944以及后来的RFC2544,测验吞吐量,时延,丢包率等目标;
到九十年代晚期,防火墙等网络安全产品成为网络技能的新重视点。相同的,关于防火墙这种新式的网络设备,选用何种办法来进行其功能测验也成了防火墙设备研制者面临的一道课题。为此,思科公司PIX防火墙系列研制团队通过种种尽力制作了一台能够测验防火墙并发连接数以及模仿用户上网行为的设备,它能够支撑的运用协议包含HTTP, FTP,DNS, Email等十几种。这也促成了RFC3511在2003年推出。其规则的HTTP新建/并发等测验目标,现在仍然是测验有状况流量设备的必测验项目。
时刻进入二十一世纪,网络设备硬件处理技能不断提高。多核, NP技能的呈现使得网络设备数据处理运用事务的才能大大提高。运用层辨认技能成为焦点,尤其是DPI(深度报文检测)与内容感知(Content Aware)等技能的运用。 “一般报文检测”仅剖析IP包的4层以下的内容,包含源地址、意图地址、源端口、意图端口以及协议类型,而深度报文检测和内容感知技能除了对前面的层次剖析外,还要剖析辨认各种运用及其内容;别的,网络安全成为人们的重视的另一个焦点。各种网络进犯此伏彼起,重要材料暗码的失窃率大大提高,进犯技能通过假装能够绕过防火墙和防护技能,进犯特征更难被发现,更难进行检测。面临呈现的安全缝隙新类型,IT和安全管理人员需求不断用最新的补丁修补这些缝隙。面临这样的状况,需求一款新式外表来来测设备和网络的内容辨认和安全才能。2005年BreakingPoint的诞生,便是为了处理这个问题。
BreakingPoint率先把流量场景概念引进到了测验中,并且能够仿真呈现网相同的高功能高带宽。流量场景是网络中各种运用,传输内容,流量形状按必定份额的混合。BreakingPoint通过自己的研讨和第三方协作,现已在产品中内置了上百种典型的流量场景,如企业网流量场景,数据中心流量场景,校园网流量场景,移动网流量场景,等等。便使用户能够试验室里进行挑选和测验。别的,用户也能够依据自己的研讨和了解来完成自己想要的流量场景。BreakingPoint渠道现在支撑(截止2017年9月): 400多种典型运用,3700多种典型应有库,8000多种特征进犯办法,180多种躲避技能,30000多种病毒和歹意软件,以及其它典型的Botnet,DDOS进犯办法。 为了实时盯梢网络中的最新动态,这些运用和进犯库还能够每2周得到一次更新。 有了这些运用和进犯库的支撑,BreakingPoint就能够便利的构建出各种杂乱的运用场景,进犯场景,并通过高功能测验外表把发送出来。其根本进程如图1所示。
图1 BreakingPoint渠道能够便利的构建出各种杂乱的运用场景
流量场景测验能够发生接近于实在网络流量形状,能够确保被测设备的测验目标与实践运用中的功能目标相符合,是衡量设备或网络在典型实在环境流量里体现的重要办法。也是现在业界进行安全和运用层测验的干流办法,和重要目标。比方,NSSLAB也在其系列测验办法学中规则了不同流量场景测验的详细办法。
BreakingPoint现在是最为常用的试验室进行流量场景仿真测验渠道,但仍没有处理一个问题:便是怎么针对一个详细客户,一个详细网络的流量状况在试验室能够完好的重现? 而不只仅是发送一些典型的流量场景。 近期,TrafficRewind技能的呈现,协助用户完成了这样的要求。
2在试验室内再现出产网络实在流量场景
在试验室环境内完好反映某特定出产网络流量在某个时刻段的流量进程,被认为是一个适当有挑战和扎手的问题。各种组织和试验室为测验复实际在网络流量状况也一向投入很多的时刻和资源。前期的做法是,运用高功能网卡+大存储去捕捉出产网流量,然后通过网卡高功能的进行回放。这种办法的首要问题是,花费高,回放流量无状况,测验不灵敏,内容不行修正,成果也不行重复。
TrafficREWIND交融了Ixia流量可视化计划和专业测验东西才能,通过记载和再现出产网络流量,供给愈加高效的服务与网络布置。详细的完成是将对出产网络流量方式的监听和记载转化为高度实在的测验流量装备, 所生成的测验装备文件用在BreakingPoint测验渠道上,然后对产品和网络计划进行评价和测验。对出产网络的监听会充分使用运用与安全要挟情报处理器(Application and Threat Intelligence Processor,ATIP)技能,通过共同的NetFlow扩展来记载丰厚的元数据,触及各种网络运用,协议散布,流量行为,带宽改变等内容。
TrafficREWIND可在恣意出产网络恣意方位轻松布置,供给了可扩展的实时体系架构,以记载并组成较长时刻段内(长达7天)的流量特征。因为不记载数据的Payload实践负载,所以不存在任何法令或合规问题。TrafficREWIND不只能够仿制实践国际中运用的流量状况,并且还史无前例地增加了在必守时期内流量构成动态改变的测验维度,从而对网络及运用的实时特征进行建模。
图2 TrafficREWIND使用ATIP元数据在BreakingPoint测验台内重建出产网络流量形状
图2展现了整个TrafficREWIND体系的作业进程: 左面的运用流量处理器很多实时侦听出产网络里的流量并记载流量形状,然后将流量形状的实时发送给中心的虚拟设备,虚拟设备通过过滤和挑选来构成需求测验的流量摘要,然后以装备文件的方式发送给右边的BreakingPoint测验外表,测验外表重建流量模型,对 被测设备/体系/网络 进行测验。
从流量仿真测验技能的开展来看,其特色从最早的简略Bit级的测验,现已逐渐过渡到了能够实在反映某个特定网络特守时刻的流量状况测验。其更大的技能布景是:以太网和IP技能作为基础架构的网络,从本来的简略数据传送管道,已逐渐过渡到一个安全的,事务辨认的,高效的智能管道。流量仿真测验技能,不管是曩昔,现在,仍是在未来,都是保证这个管道愈加智能愈加强健的重要技能手段。
