- 路由容量测试、方法/如何测试
一、使用控制台读数法测试路由容量
1、将仪表的端口与被测路由设备的端口相连,通过仪表向被测设备注入一定数量带有特定网络前缀的路由条目,然后在被测路由设备上通过控制台命令观察路由表中是否已正确学习到仪表所发送的路由信息。
2、通常,对于一般路由设备,如果其路由表的容量超过了其最大值,就会在控制台上显示异常结果。
3、采用二分法注入路由条目数量进行测试,测出被测设备的最大路由容量。
二、使用控制层面学习法测试路由容量
1、使用仪表的两个端口。
2、其中的一个端口仿真成发送路由更新信息的邻居路由器向被测设备下发一定数量带有特定网络前缀的路由条目。
3、通过在仪表上直接观测端口B所学到的路由信息量与端口A所发送的路由信息量,并进行相应的比较就可以判断出被测设备的最大路由容量,如果端口B学到的路由信息量小于端口A所发送的路由信息量,则表示注入的路由条目数超过了被测设备的最大路由容量。
4、采用二分法减少所注入的路由条目再次测试,直到测出被测设备的最大路由容量。
三、使用数据转发层面和控制层面结合法测试路由容量
1、是一种最为客观有效的方式,也是目前路由测试中所推荐或建议的方式。需要使用测试仪表的两个端口。
2、仪表端口A仿真成DUT的一个邻居路由器R1向DUT注入一定数量带有特定网络前缀的路由条目。
3、然后从路由学习的反方向,由仪表端口B仿真成一个主机向仪表端口A仿真的路由器R1发送路由测试流量, 测试流量目的IP地址为仪表端口A向被测设备所发布的IP路由前缀。
4、并观测仪表端口A的接收流量速率与端口中发送测试流量的速率是否相同。
2、ARP攻击原理、过程、改进方法
ARP攻击原理: ARP攻击主要是通过伪造IP地址和MAC地址进行欺骗。使以太网数据包的源地址、目标地址和ARP通信数量剧增导致网络中断或中间人攻击。ARP攻击主要存在于局域网中。若其中一台计算机感染ARP病毒。就会试图通过ARP欺骗截获局域网内其他计算机的信息,造成局域网内的计算机通信故
ARP欺骗过程:以图2中PC3为ARP病毒宿主机为例,当PC1和PC2通信开始之前,PC1发送ARP请求包,请求包经过交换机进行广播之后分别到达PC2和PC3。PC2和PC3同时向PC1返回ARP应答包。PC2的应答包地址映射为IP2-MAC2,而此时中了ARP病毒的PC3的应答包地址映射却为IP2-MAC3,PC2和PC3同时向PC1返回ARP应答包。PC2的应答包地址映射为IP2-MAC2,而此时中了ARP病毒的PC3的应答包地址映射却为IP2-MAC3。PC3截断所有去向PC2的数据包,达到ARP攻击的目的。反之,PC3同样攻击PC1,造成PC1和PC2之间的通信全部经过PC3。PC3通过丢弃收到的数据包达到断网的目的
攻击防护:
1、不要把网络信任关系单纯地建立在IP基础上或MAC基础上(RARP同样存在欺骗的问题),应在网络中架设DHCP服务器,绑定网关与客户端IP+MAC,该做法需要注意的是要保证网络中的dhcp服务器相互之间不冲突。
2、添加静态的ARP映射表,不让主机刷新设定好的映射表,该做法适用于网络中主机位置稳定,不适用在主机更换频繁的局域网中。
3、停止使用ARP,将ARP作为永久条目保存在映射表中。
4、架设ARP服务器。通过该服务器查找自己的ARP映射表来响应其他机器的ARP广播。
5、IP的传输使用“proxy”代理。
6、使用防火墙等连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
3、负载、吞吐量、转发速率之间的关系
吞吐量:在没有出现丢帧的条件下,能够传输给交换机让其转发到指定输出端口的每秒 最大帧数 负载:信道或设备在单位时间内所承受的通信流量称为负载 丢帧率:传输过程中丢失的数据帧占应转发数据帧的比例称为丢帧率
如图所示,x轴表示(期望)负载(Load),y轴表示转发速率(FR)。在没有丢帧的理想状态下,随着负载从零开始逐渐增大到线速,转发速率应该随着负载的增加而线性增加,而且两者应该相等,如图直线所示。但在实际设备中,由于交换结构、CPU与内存资源等方面的限制,会在负载超过某个临界值之后因拥塞而导致帧丢失,所以转发速率与负载之间并不是一种理想的线性关系,如图中的曲线所示。
可将上述FR-Load曲线分成3个子区间来描述。在半闭子区间1(0,Load_T]内,由于负载相对 较小,没有出现丢帧现象,转发速率随着负载的增加而线性增加,直到负载达到Load_T这个 临界点。当负载继续增大并超过Load_T这个临界点后,交换机开始出现丢帧。在Load_T这个 临界点,y轴所对应的转发速率就是交换机在没有丢帧情况下的最大转发速率,也就是吞吐 量。进入第二个子区间(Load_T,Load_MaxF]后,随着负载继续加大,丢失的帧数也随着 增加,丢帧率以(x-y)/x来衡量。在该子区间内,尽管有丢帧现象,而且帧丢失的数量在增 加,但数据转发速率仍然在随着负载的增加而增长,直至达到最大转发速率。
4、某种交换机是否有拥塞控制功能,如何测试、测试拓扑图、测试过程
思路一:直接给出一些传输控制层面的功能或性能指标,然后对这些指标进行直接的测试;
思路二:控制层面的功能实现与否及其效果最终必然会反映到数据转发层面上来提出一些测试数据转发层面的性能指标,通过对些指标的测试来间接反映传输控制层面的功能与性能。
1、对于拥塞控制功能的测试,我们采用思路二,由DUT上的4个具有相同MOL的端口组成一个测试块。两个端口作为源发送端口,另两个为目标接收端口且分别被配置成拥塞端口和非拥塞端口。
2、通过观测到拥塞控制机制对拥塞端口和非拥塞端口所产生的不同效果或影响,并可通过对不同结果的比对来确定DUT上是否执行了拥塞控制功能,是否采用了背压机制,是否存在线头阻塞现象。
3、测试帧帧长、帧间隔、双工模式、每端口地址数和测试时长等,可参照前面吞吐量、丢帧率和转发率测试中的做法。
4、判断DUT是否执行了拥塞控制功能,若DUT没有执行拥塞控制,那么对拥塞端口而言,在150%的超载下,测试帧的丢失比例将要达到33%。若拥塞端口的丢帧率为零,即没有检测到帧丢失,则表明在DUT内有背压机制存在。对于非拥塞端口,若丢帧率报告为0,但是检测到的最大转发率又低于50%的MOL,则表明在DUT上执行了拥塞控制。
5、判断DUT中是否存在线端阻塞,若非拥塞端口检测到有帧丢失,即非拥塞端口的丢帧率不等于零时,则表明DUT中出现了列头阻塞现象。
5、交换机地址缓存能力、地址容量测试
地址缓冲容量的测试是为了确定在RFC2285中定义的LAN交换设备地址缓冲的能力。
设计思想:地址处理属于传输控制层面的功能,利用数据转发层面指标测试来验证传输控制层面功能。
1、使用DUT上的至少三个端口。分别作为学习端口、 测试端口和监听端口。
2、为了达到通过数据层面的测试来度量DUT地址表容量的目的,采用了将测试端口所接收的测试帧回传到学习端口,并由DUT上的监听端口担当检查端口,以监听是否有洪泛帧或错误转发的帧:①若监听端口所统计到的洪泛帧计数不等于零,即它收到了洪泛帧,说明在此前的地址学习过程中,地址表已经发生溢出 ;②若监听端口的洪泛帧计数为零,即它没有收到洪泛帧,说明在此前的地址习中,DUT还拥有足够的地址缓存空间,来确保所有的源地址被DUT所学习并写入地址表 。
3、为了确定地址表容量,也需要采用某种查找算法来进行反复的测试,以找到DUT所能支持的最大地址数目。
4、采用二分迭代算法时,需要设定的测试参数包括最小地址数Low、最大地址数High和初始地址数N。测试端口以初始地址数发送测试帧,并判断监听端口的洪泛帧计数是否为零。
• If为零,再度观测监听端口的洪泛帧计数,反复迭代,一旦监听端口的洪泛帧计数不为零时停止迭代,且将当前地址学习数作为地址表容量;
• If不为零,再度观测监听端口的洪泛帧计数,反复迭代,一旦监听端口的洪泛帧计数为零时停止迭代,且将当前地址学习数作为地址表容量。
几个参数的设置:
- 设置合适的地址老化时间:不可太小, 须长于在指定速率下生成测试帧所需的时间, 以免过多的老化帧;不可太长,以免每次迭代测试时需要较长的地址表清空时间。
- 合适的地址发送速率:地址发送速率是指测试仪表单位时间内提供给DUT学习的新地址数量。不可过大,以免因超过了DUT的地址学习 速率,而产生地址无法被学习的现象。建议学习帧的提供速率在每秒50帧或50帧以下。
- 合适的初始化地址数:设置成1到DUT所支持的最大地址数之间的任何值过小或过大(与预期的地址容量相比)都可能导致迭代次数增加,测试时间增长。
6、Syn攻击、三次握手
第一次握手:建立连接时,客户端发送syn包(seq=j)到服务器,并进入SYN_SENT状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户端的SYN(ack=j+1),同时自己也发送一个SYN包(seq=k),即SYN+ACK包,此时服务器进入SYN_RECV状态。
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED(TCP连接成功)状态,完成三次握手,客户端与服务器开始传送数据。
Syn攻击原理:在TCP建立连接的时候,按照上面建立连接的步骤,第2步,服务器响应客户端的时候,如果步骤3没有给服务器响应,则服务器会一直执行步骤2,发送数据进行尝试连接。直到步骤3客户端给服务器响应后,停止尝试。这样就给黑客创造了可乘之机,用不存在的地址访问服务器,服务器会一直执行上面的步骤2,给客户端发送连接数据,由于地址是不存在的,不会执行第三步,所以服务器就会在超时时间内,一直尝试发送,这个就是半连接请求。如果模拟成千上万个不存在的地址进行访问,则会快速占满处理队列,不能给正常用户服务。这就是SYN攻击,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
Syn攻击防御:
1. 无效连接监视释放
这种方法不停监视系统的半开连接和不活动连接,当达到一定阈值时拆除这些连接,从而释放系统资源。
2. 延缓TCB分配方法
从前面SYN Flood原理可以看到,消耗服务器资源主要是因为当SYN数据报文一到达,系统立即分配TCB,从而占用了资源。而SYN Flood由于很难建立起正常连接,因此,当正常连接建立起来后再分配TCB则可以有效地减轻服务器资源的消耗。常见的方法是使用Syn Cache和Syn Cookie技术。
3. 使用SYN Proxy防火墙
SYN Proxy防火墙中都提供一种SYN代理的功能,其主要原理是对试图穿越的SYN请求进行验证后才放行。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
