【通信行业标准(YD)】 路由器设备安全测试方法——中低端路由器(基于IPv4)

ICS33.040
中华人民共和国通信行业标准
YD/T 1440-2006
路由器设备安全测试方法
中低端路由器（基于『Pv4）
Router security test methods-middle/low end router(tPv4)2006-05-31发布
2006-10-01实施
中华人民共和国信息产业部发布前言
1范围
2规范性引用文件·
3缩略语和定义·
3.1缩略语：
3.2定义
4测试环境-
5数据转发平面安全测试
5.1IPSec 协议测试
5.2常见网络攻击抵抗能力测试·URPF功能测试·
访问控制列表（ACL）测试
网络地址翻译（NAT）测试.
流量控制功能测试·
6路由/控制平面安全测试
路由协议安全测试.
TCP/IP协议安全测试-
VPN安全测试·
路由过滤功能测试·
管理平面安全测试
端口镜像
访问控制安全测试…
SNMPv3功能测试--
安全审计功能测试·
YD/T 1440-2006
··26
YD/T 1440-2006
本标准是“支持EPv4的路由器”系列标准之-。本系列标准的结构和名称预计如下：1．路由器设备技术要求-一中低端路由器2路由器测试方法---中低端路由器3.路由器设备技术要求-·.一高端路由器4.路由器测试方法高端路由器
5.路由器设备安全技术要求—低端路出器（基于Pv4）6.路由器设备安全测试方法——1低端路寸器（基于IPv4）7.路由器设备安全技术要求—高端路由器（基于IPv4）8。路出器设备安全测试方法高端路由器（基丁IPv4）本标准与《路由器设备安金技术要求一中低端路由器（基于IPv4）》配套使用。与本标准相关的还有“支持IPv6的路由器”系列标准。该系列标准的结构和名称预计如下：1.IPv6网络设备技术要求——支持IPv6的边缘路由器2.IPv6网络设备测试方法——支持IPv6的边缘路由器3.IPv6网络设备技术要求——支持IPv6的核心路由器4.IPv6网络设备测试方法—支持IPv6的核心路出器本标准由中国通信标准化协会提出并归口。本标准主要起草单位：信息产业部电信研究院本标准主要起草人：商巍魏亮田辉马科路由器设备安全测试方法
1范围
YD/T 1440-2006
一中低端路由器（基于IPv4）
本标准规定广中低端路出器涉及网络及信息安全方面的测试内容：包括数据转发平面安全测试、路由/控制平面安全测试和管理平面安全测试本标准适用于基于TPv4的中低端路出器设备2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本，：凡是不注日期的引用文件，其最新版木适用于本标准。YD/T1358-2005
YD/T 1467-2006
HETFRFC3412
IETF RFC3413
IETF RFC3414
ETF草案
IBTF草案
IETF草案
ETF草案
3缩略语和定义
路由器设备安全技术要求—一中低端路由器（基于Pv4）IP安全协议（IPSec）测试方法
简单网管协议(SNMP)的消息处理和发送简单网管协议(SNMP)应用
简单网管协议版本3(SNMPv3)中基于用户的安全模型(USM)SSH协议耗架
SSH传输层协议
SSH认证协议
SSH连接协议
下列缩略语和定义适用于本标准。3.1缩略语
Access Control List
BorderGatewayProrocol
Commit Access Rate
Customer Edge
Device Under Test
Internet Control Message PortocolInternet Protocol
P Security
访问控制列表
边界网关协议
承诺接人速率
用户边界设备
被测设备
因特网控制消息协议
因特网协议
IP安全机制
Intermediate System to Inlermediate System Protocol中间系统到中间系统协议MultiProtocol Label Switch
多协议标记交换
YD/T 1440-2006
3.2定义
NetworkAddressPortTranslationNetworkAddressTranslation
Open Shortest Path First
Provider Edge
Route Infummation Protoco
Secure Shell Protoco!
Transport Controf Protocol
User Data Protocol
UnicastReversePathForwardingVirtual Private Network
网络地址端门翻译
网络地址翻译
开放最短路径优先协议
网络边界设备
路出信息协议
安全外壳协议
传输控制协议
用户数据报协议
单播逆向路径转发
虚拟专用网
全局ACL：一种ACL配置方式，在设备全局模式下进行ACL配置，且该ACL条目在设备所有接口上生效。
测试环境
测试环境1如图1所示。
谢试仪表
图 1 测试环境 1
测试环境2如图2所示。
测试仪表端口心
测试设表端口 A
测试环境3如图3所示：
测试环境 2
测试环境3
测试仪表端口B
测试坏境4如图4所示，
测试环境5如图5所示。
渺试环境 6 如图 6 所示。
图 4 测试环境 4
认证服务器
口志服务器
图 5 测试环境 5
测试收表
图 6 测试环境 6
以上各图中测试仪表与DUT间均采用同种接口相连。5数据转发平面安全测试
YD/T 1440-2006
中低端路由器的数据转发平面负责处理进入设备的流量。基于流量或基于对报文中学段的非法使用所形成的攻击会占用设备大量的处理时间，使路由器的可用性降低，其至崩溃；或者对与路由器连接的其它网络设备或主机造成攻击。对中低端路由器数据转发平面的安全测试主要包括IPSec协议测试，对带见网络攻击的抵抗能力测试，访闻控制列表功能测试以及网络地址翻译功能测试。5.1 IPSec 协议测试
IPSec协议测试内容参地YD/T1467-2006《IP安全协议（IPSee）测试方法》。3
YD/T 1440-2006
5.2常见网络攻击抵抗能力测试
测试编号：1
测试项目：抗大流量攻击能力测试测试目的：检验DUT处理大流量数据的能力测试配置：测试环境
测试过程：
（1）按测试环境连接设备：
（2）从测试仪表端口A向测试仪表端口B以接口吞吐量发送数据包：（3）DUT开启动态路由协议，从测试仪表端口A向DUT建立OSPF邻居关系；（4）停止步骤（2）中数据包的发送：（5）从测试仪表端口A向DUT的环向地址以线速发送数据包：（6）从测试仪表端口 A向 DUT建立协议邻居关系预期结果：在步骤（3）和（6）中，测试仪表与DUT间应能正常建立协议邻居关系，不受端口上流量的影响。
判定原则：应符合预期结果要求，否则为不合格，潮试编号：2
测试项目：畸形包处理能力测试测试目的：检验DUT处理畸形数据包的能力测试配置：测试环境1
测试过程：
（1）按测试环境连接设备；
（2）从测试仪表端口A向测试仪表端口B发送小于接口吞吐量的背景流量；（3）由仪表端口A以端口吞叶量剩余带宽速率向DUT1端口发送报文长度（包括IP包头）大于65535字节的ICMPECHOReyuest报文（PingafDeath攻击仿真报文）；（4）停止步骤（3）中报文的发送，由仪表端口A向DUT 环回地址发送多个Offset字段重登的 IP报文（Teardrop攻击仿真报文）；（5）停止步骤（4）中报文的发送，出仪表端口A向仪表端口B发送链路层错误（如以太网的FCS错误顿）报文；
（6）停止步骤（5）中报文的发送，用仪表端口A向仪表端B发送长度小于64字节（以太网链路）的超短顿（Runt)：
（7）停止步骤6中报文的发送，由仪表端口A向仪表端口B发送长度大于链路MTU的超长顿Giant)：（8）停止步骤（7）报文的发送，在DUT上启用OSPF路由协议，并出仪表端口A与DUT建立OSPF邻居关系，由仪表端口A向DUT发送错误的OSPFUpdate（如带有错误RouterD）报文，预期结果：
（1）在步骤（3）中，攻击报文应被丢弃，记录攻击对背景流量的影响；（2）在步骤（4）中，攻击报文应被丢弃，记录攻击对背景流量的影响：（3）在步骤（5）中，错误愤应被丢弃，并在错误日志中有相应记录，记录攻击对背景流量的影响；（4）在步骤（6）中，超短颇应被丢弃，并提供统计数据，记录攻击对背景流量的影响；（5）在步骤（7）中，超长顿应被丢弃，并提供统计数据，记录攻击对背景流量的影响；（6）在步骤（8）中，应不接受错误的Update报文。判定原则：应符合预期结果要求，否则为不合格。d
测试编号：3
测试项目：PingFlaod攻击处理能力测试测试目的；检验DUT处理PingFlood攻击的能力测试配置：测试环境2
测试过程：
（I）按测试环境连接设备：
（2）仪表端口B与DUT建立OSPF邻居关系，并向DUT遵告到网络2的路由：YD/T 144Q-2006
（3）从测试仪表端口A向网络2中的某个IP地址以小于端口否吐量的流量发送背景流量，并验证仪表端口B上流量能够正常接收；
（4）从测试仪表端C向DUT环回地址以端口吞吐量发送ICMPECHORequest数据包；（5）停止步骤（4）中流量的发送，从测试仪表端口C向网络2中的某个IP地址以端口吞吐单发送ICMPECHORequest数据包：
预期结果：
（1）在步骤（4）中，DUT应对超量ICMP报文进行丢弃或限速，记录攻击对背景流量的影响：（2）在步骤（5）中，DUT应对超量ICMP报文进行丢弃或限速，记录攻击对背景流量的影响。判定原则：应符合预期结果要求，否则为不合格。测试编号：4
测试项目：SYNFlood攻击处理能力测试测试目的：检验DUT处理SYNFlood攻击的能力测试配置：测试环境2
测试过程：
（I）按测试环境连接设备：
（2）仪表端口A和B分别与DUT建立OSPF邻居关系，开向DUT通告到网络1和网络2的路由；（3）从测试仪表端口A向网络2中的某个地址以小于端口吞吐量的流量发送背景流量，并验证仪表端口B上流量能够正常接收：
（4）从测试仪表端口C向网络2中的某个IP地址以端口吞吐量剩余带宽发送TCPSYN数据包，数据包源地址为网络1中的某个地址；（5）停止步骤（4）中流量的发送，从测试仪表端口C向DUT的环回地址已开放的端口以端口吞吐量剩余带宽发送TCPSYN数据包，数据包源地址为网络1中的某个地址。预期结果：在步骤（4）和（5）中，DUT应对过量TCPSYN报文进行丢弃或降低优先级的排队处理，记录攻击对背景流量的影响
判定原则：DUT可以对过量TCPSYN报文进行丢弃或降低优先级的排队处理，背景流的流盘和时延应不会受到严重影响。bzxz.net
YD/T1440-2006
测试编号：5
测试项目：Smurf攻升处理能力测试测试目的：检验DUT处理Smurf攻击的能力测试配置：测试环境2
测试过程：
（1）按测试环境连接设备；
（2）仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由：（3）从测试仪表端口A向网络2中的某个P地址以小十端口否吐量的流量发送背景流量，并验证仪表端口B上流量能够正常接收：
【4）从测试仪表端口C向网络I中的某个P地证以端口吐量发送ICMPECHORequest数据包，数据包源地址为网络2的有限广播地址：（5）停止步骤（4中流量的发送，从测试仪表端C向DUT的环回地址以端口吞吐量发送ICMPECHORequest数据包，数据包源地址为网络2的有限广播地址；（6）停t步骤（5）中流量的发送，从测试仪表端口C向网络1以端口弄吐量发送ICMPECHORequest数据包，数据包源地址为网络2中的某个P地址，目的地址为网络1的有限播地址。预期结果：在步骤（4）～（6）中，DUT应对ICMP报文进行丢充，记录攻击对背景流量的影响。判定原则：应符合预期结果要求，否则为不合格。5.3URPF功能测试
测试编号：6
测试项月：严格URPF功能测试
测试目的：检验DUT实现严格URPF功能测试配置：测试环境2
测试过程：
（1）按测试环境连接设备：
（2仪表端口A和1B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路中，并发送流量验证路由的有效性，在DUT上为地证A.A.A.0/24配置到测试仪表端口C的静态路由：（3）在DUT上启用严格URPF：
（4）从仪表端口A向仪表端口B发送数据包、数据包源地址为网络「中的地址；（5）停止步骤4)中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为A.A.A.X；（6）停止步骤（5）中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为B.B.B.B（在路由器路由表中不存在到该地址的路由）。预期结果：
【1）在步骤（4）中，仪表端口B应可以收到测试数据包：（2）在步骤（5）和（6），仪表端口B不能收到测试数据包。判定原则：应符合预期结果要求，否卿为不合格。6
测试编号：7
测试项目：松散URPF功能测试
测试目的：检验DUT实现松散URPF功能测试配置：测试环境2
测试过程：
YD/T 1440-2006
（1）按测试环境连接设备；
（2）仪表端口A和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络1和网络2的路由，并发送流量验证路由的有效性，在DUT上为地址A,A.A.0/24配置到测试仪表端口C的静态路由；（3）在DUT上启用讼散URPF:
（4）从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1中的地班：（5）停止步骤4冲数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为A.A.A.X：（6）停让步骤（5)巾数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为B.B.B.B（在路由器路由表中不存在到该地址的路由）。预期结果：
（1）在步骤（4）和（5）中，仪表端口B应可以收到测试数据包：（2）在步骤（6）中，议表端口B不能吸到测试数据包，判定原则：应符合预期结果要求，否则为不合格，测试编号：8
测试项目：基于ACI.的URPF功能测试测试日的：检验DUT实现苯于ACL的URPF功能测试配置：测试环境2
测试过程：
【1】按测试环境逆接设备；
（2）仪表端IIA和B分别与DUT建立OSPF邻居关系，并向DUT通告到网络I和络2的路由，并发送流量验证路出的有效性，在DUT上为地址A.A.A.0/24配置到测试仪表端口C的静态路由；（3）在DUT上启用基丁ACL的URPF，并配置ACL条日拒绝源地址为A.A.A.Y的数据包；【4）从仪表端口A向仪表端口B发送数据包，数据包源地址为网络1的地址；（5）停止步骤4)中数据流的发送，从仪表端口A向仪表端I1B发送数据包，数据包源地址为A.A.A.X；（6）停止步骤5冲数据流的发送、从仪表端口A向仪表端口B发送数据包，数据包源地址为A.A.A.Y；（7）停止步骤（6）中数据流的发送，从仪表端口A向仪表端口B发送数据包，数据包源地址为B.B.B.B（在路出器路由表中不存在到该地址的路由）预期结果：
（1）在步骤（4）和（5），仪表端口B应可以收到测试数据包；（2）在步骤（6）和（7）中，仪表端口B不能收到测试数据包：判定原则：应符合预期结果要求，否则为不合格，YD/T 1440-2006
5.4访问控制列表【ACL】测试
测试编号：9
测试项耳：基于源地址的ACL测试测试目的：检验DUT是否实现基于源地址的ACL测试配置：测试环境1
测试过程：
（1）按测试环境连接设备；
（2）在DUT上配置基于源地址的ACL（拒绝）条月（3）从仪表端口A向仪表端口B发送符合过滤条件的IP包；（4）从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果：
（1）在步骤（3）中，仪表端IB没有收到数据包；（2）在步骤（4）中，仪表端口B可以收到数据包，判定原则：应符合预期结果要求，否则为不合格。测试编号：10
测试项目：基于目的地址的ACL 测试测试日的：检验DUT是否实现基于月的地址的 ACL测试配置：测试环境1
测试过程：
（1）按测试环境连接设备；
（2）在DUT上配置基于日的地址的ACE（拒绝）条目：（3）从仪表端口A向仪表端口B发送符合过滤条件的IP包：（4）从仪表端口A向仪表端口B发送不符合过滤条仆的IP包。预期结果：
（1）在步骤（3）中，仪表端口B没有收到数据包：（2）在步骤（4）中，仪表端口B可以收到数据包。判定原则：应符合预期结果要求，否则为不合格。测试编号：11
测试项目：基于协议类型的ACL测试测试目的：检验DUT是否实现基于协议类型的ACL测试配置：测试环境1
测试过程：
（1）按测试环境连接设备：
（2）在DUT上配置基于协议类型的ACL（拒绝）条月：（3）从仪表端口A向仪表端B发送符合过滤条件的IP包：（4）从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果：
（1）在步骤（3）中，仪表端口B没有收到数据包；（2）在步骤（4）中，仪表端口B可以收到数据包。判定原则：应符合预期结果要求，否则为不合格。8
测试编号：12
测试项日：基于源端口的ACL测试测试日的：检验DUT是否实现基于源端口的ACL测试配置：测试环境1
测试过程
（1）按测试环境连接设备：
（2）在DUT上配置基于源端口的ACL（拒绝）条目：（3）从仪表端口A向仪表端口B发送符合过滤条件的IP包：（4）从仪表端口A向仪表端口B发送不符含过滤条件的P包。预期结果：
（1）在步骤（3）中，仪表端口B没有收到数据包：（2）在步骤（4）中，仪表端口B可以收到数据包。判定原则：应符合预期结果要求，否则为不合格。测试编号：13
测试项目：基于目的端口的ACL测试测试目的：检验DUT是否实现基于目的端口的ACL测试配置：測试环境1
测试过程：
（1）按测试环境连接设备;
（2）在DUT上配置基于目的端口的ACI（拒绝）条目：（3）从仪表端口A向仪表端口B发送符合过滤条件的IP包：（4）从仪表端口A向仪表端口B发送不符合过滤条件的IP包。预期结果：
（1）在步骤（3）中，仪表端口B没有收到数据包：【2）在步骤（4）中，仪表端口B可以收到数据包。判定原则：应符合预期结果要求，否则为不合格。测试编号：14
YD/T 1440-2006
测试项目：基于五元组的ACL测试测试目的：检验DUT是否实现基于五元组（源地址、目的地址、源端口，目的端口、协议类型）的ACL
测试配置：测试环境！
测试过程：
（1）按测试环境连接设备：
（2）在DUT上配置H于五元组的ACL（扳绝）条目；（3）从仪表端口A向仪表端口B发送符合过滤条件的IP包；（4）从仪表端口A向仪表端口B发送不符合过滤条件的P包。预期结果：
（1）在步骤（3）中，仪表端口B没有收到数据包：（2）在步骤（4）中，仪表端口B可以收到数据包判定原则：应符合预期结果要求，否则为不合格9
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。