入侵防御系统测试方案

1、网络入侵防御系统测试方案网络入侵防御系统测试方案 参测厂商参测厂商 测试单位测试单位 测试时间测试时间 目目 录录 1参测产品情况调查参测产品情况调查.4 1.1表格一：测试产品基本情况调查表.4 1.2表格二：认证、检测及鉴定情况.4 1.3表格三：分值比例.5 2 测试环境测试环境 .5 2.1功能测试环境.5 2.2现网测试环境.6 2.3测试设备清单.6 2.4测试工具.6 3 测试总流程测试总流程 .7 3.1 测试准备.7 3.2 测试实施.7 3.3 测试记录.7 3.4 测试报告.7 4 测试内容测试内容 .8 4.1管理功能测试.8 4.1.1.引擎管理控制功能.8 4.1.

2、2.控制中心基本管理功能.8 4.1.3.部署方式测试.9 4.1.4.策略编辑.9 4.1.5.精确报警.10 4.1.6.攻击特征库管理.10 4.1.7.自定义窗口显示功能.11 4.1.8.事件过滤.11 4.1.9.动态策略.12 4.1.10.响应方式.12 4.1.11.系统软件、攻击特征升级能力.12 4.2辅助功能测试.13 4.2.1用户管理.13 4.2.2用户安全审计.13 4.2.3报表分析功能1TOP10统计.14 4.2.4报表分析功能2交叉报表.15 4.2.5日志分析系统.15 4.3攻击测试.16 4.3.1邮件病毒传播保护测试.16 4.3.2蠕虫病毒传播

3、保护测试.17 4.3.3系统漏洞攻击（攻击包回放）.17 4.3.4系统漏洞攻击（真实攻击）.18 4.3.5木马连接保护测试.18 4.3.6拒绝服务攻击.19 4.3.7IPS规避攻击.19 4.3.8间谍广告程序攻击.20 4.3.9 SQL注入攻击.20 4.3.10 URL过滤.21 4.3.11其它攻击测试.21 4.4现网运行测试.22 4.4.1多路IPS测试.22 4.4.2IP、端口访问控制测试.23 4.4.3带宽管理测试.24 4.4.4P2P下载检测功能.24 4.4.5网络游戏行为.25 4.4.6网络聊天行为.25 4.4.7在线视频行为.25 4.4.8恶意代

4、码网站检测功能.26 4.4.9现网测试延迟.26 4.5软硬 BYPASS功能测试.27 4.4.1软Bypass功能测试.27 4.4.2硬Bypass功能测试.27 4.6其他功能测试.28 5 测试结果综述测试结果综述 .28 1 参测产品情况调查参测产品情况调查 1.1 表格一：测试产品基本情况调查表表格一：测试产品基本情况调查表 项目说明 产品信息 产品生产厂家 产品名称及版本 产品型号 界面语言 以太网监听口（电口）数量标配 个 千兆光监听口 无 有，标配 个，可扩展 个 特征库攻击特征数量 特征库的更新周期 产品的组成和部署 产品组件 探测器 管理器 其它，请注明 探测器管理方

5、式 本地化技术支持 本地化技术工程师数量 应急响应事件处理能力 1.2 表格二表格二：认证、检测及鉴定情况认证、检测及鉴定情况 项目说明 公安部销售许可证有 无 国家信息安全测试认证中心认证有 无 保密局涉密信息系统产品检测证书有 无 计算机软件著作权登记证有 无 其他注明： 其他注明： 1.3 表格三：分值比例表格三：分值比例 项目比例及说明 管理功能测试 15%（人性化的管理有助于减少管理员的工作量） 辅助功能测试10%（报表等功能有助于管理员的总结和汇报） 攻击测试40%（精确阻断乃 IPS 最主要功能） 现网运行稳定性（3 条线路） 20%（多链路部署，不影响业务，现网告警准确） 软硬

6、 Bypass 功能测试10%（软硬 Bypass 是否好用为 IPS 关键功能） 其他功能测试5% （其他方面的补充测试） 2 测试环境测试环境 2.1 功能测试环境功能测试环境 功能测试环境拓扑 具体的主机配置如下： 各主机的 ip 地址依据测试中 IPS 的部署方式不同而进行相应的设置 各主机均安装 Windows2000 以上操作系统 服务器安装 IIS 功能测试环境主要测试攻击、病毒等在现网测试可能造成业务影响的项目。 2.2 现网测试环境现网测试环境 现网环境采取多路 NIPS 部署，每路 NIPS 单独防护一个 ISP 接入链路，一台 NIPS 可以同时防护多条链路；目前包括 D

7、DN 线路总共需要防护 3 条线路，每条线路采取透明 模式部署。不影响现有网络接口和业务数据流程。 NIPS 的各路 NIPS 是相互独立的，彼此之间没有数据交换，互不干扰，保证了各链路 流量的自身安全； NIPS 实时监测各种流量，提供从网络层、应用层到内容层的深度安全防护。 现网测试重点关注上网行为管理、恶意代码网站防护、流量管理功能以及网络延迟测 试。 所用软件和工具：远程桌面连接工具、BT 下载工具、QQ、MSN 等 2.3 测试设备清单测试设备清单 测试设备 序号名称数 量 硬件配置操作系统应用软件 1入侵保护设备1入侵保护引擎 程序 2 千兆交换机 1标准 1000M Ethern

8、et 速率， 100/1000M RJ45 口 3PC4CPU: P4 以上 RAM: 512M 以上 NIC: 100/1000M Windows2000/XP管理控制中心 软件，攻击测 试中的攻击机、 被攻击机与正 常访问客户端 2.4 测试工具测试工具 序号名称角色/功能操作系统 1Sniffer4.7 或 Iris攻击测试中回放攻击包Win2000 xp 2.第三方合法测试工具攻击测试工具Win2000 xpLinux 3有漏洞的服务器IIS Server、Apache、BindWin2000 xpLinux 3 测试总流程测试总流程 3.1 测试准备测试准备 测试前期的准备工作包括如

9、下内容： 测试方案的编写借鉴国内外各种 IPS 的测试方案并结合用户自身的特点及本 次项目的需求编写此方案。 测试环境的搭建按照 2.1 的测试环境拓扑图来搭建测试环境，按照 2.2 的现 网部署要求在现网测试。 测试工具的整理回放的攻击都为测试前用 Iris 进行的录制，保证攻击的有 效性和测试的一致性。 其他测试手段为了完整体现 IPS 的全面防御攻击的能力。 评分标准测试之前由测试单位统一制定，测试开始前，参测厂商可以提出异议， 一旦测试正式开始，参测厂商无法不得异议。 3.2 测试实施测试实施 参测厂商可派 12 名技术人员在现场操作，厂家的测试环境搭建完成后不得擅自 更改设置及相关的

10、参数，以保证测试结果的有效性，如果未经同意擅自更改设置取消 该厂商的测试资格。 3.3 测试记录测试记录 测试过程中边测试边填写测试记录，采取截图记录等方式，如果参测厂商对所做记录 有异议要在测试现场提出，测试记录由双方签字确认后生效，并不得更改。 3.4 测试报告测试报告 在测试完成后由测试单位对测试结果进行评估，并对参测厂商出具最终正式测试报告 （电子文档和纸质） 。 4 测试内容测试内容 4.1 管理功能管理功能测试测试 4.1.1. 引擎管理控制功能引擎管理控制功能 测试项目管理控制功能 测试目的测试 IPS 的控制中心对引擎的控制和管理能力 测试步骤 1、 按照测试环境拓扑图搭建测试

11、环境 2、 安装控制中心 3、 在控制中心上添加“网络引擎”组件 4、 控制中心连接引擎，并下发策略 5、 从攻击机 ping 被攻击机 预期结果 1、 引擎跟控制中心之间的连接正常 2、 策略可以正常下发各级引擎 3、 ping 操作可以在显示中心正常报警 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1.2. 控制中心基本管理功能控制中心基本管理功能 测试项目基本管理功能 测试目的考察 IPS 系统的基本管理功能 测试步骤 1、 登录控制管理端界面；（分别考察 WEB 控制台、windows 控制台） 2、 查看其各组件的分布情况，包括管理界面、

12、报警显示界面、数据 库、日志查询系统； 3、 配置多级管理模式，满足控制台控制台控制台引擎 的部署结构； 4、 添加多个虚拟引擎（即只添加 IP）看其是否有数量限制； 5、查看可支持的其他组件； 预期结果 1. 具备独立的控制台 2. 具备 web 控制台和 windows 控制台 3. 具备独立的报警显示界面 4. 可以设置多个报警显示界面 5. 具备独立的日志分析中心 6. 可以在控制台上显示并控制所有探测器 7. 控制台可管理多个探测器 8. 有图形化的设备显示 9. 可以通过设备拓扑图对设备进行管理 10. 系统支持网络时间同步（NTP） 测试结果（ ）通过 （ ）未通过 （ ）未测试

13、 结果说明 签字确认主测方： 参测方： 4.1.3. 部署方式测试部署方式测试 测试项目部署方式 测试目的 支持多种部署方式，以适应各种网络环境，包括路由模式，交换模式， 直通模式等。 测试步骤 1.按照测试拓扑将 IPS 接入网络； 2.利用 IPS 的前两个接口将 IPS 分别配置为路由模式，透明模式， DIRECT 直通模式，并测试 IPS 两接口间网络是否通畅。 3.在上述任一种模式中（例如直通模式），将第三个接口配置为监 听口，并用笔记本接在监听口上，用 sniffer 回放一种攻击包，查看 IPS 是否有告警，测试监听口是否生效。 4.混合模式的测试，由于时间关系，可任意挑选两种模

14、式，利用 12，34 两组端口分别配置两种模式，进行组合测试。也可根据情 况增加测试项。 预期结果 1、 支持路由模式 2、 支持交换模式 3、 支持直通模式 4、 支持混合模式直通/监听模式 5、 支持 NAT 模式 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1.4. 策略编辑策略编辑 测试项目策略编辑 测试目的测试 IPS 的策略定义能力 测试步骤 1、 打开策略管理菜单 2、 自定义用户策略 test，针对 http 协议不同字段设置各种参数。 3、 打开新策略 test，并针对某一条事件定义响应方式 4、 定义响应模板，并将新模板应用都所

15、有 TCP 协议的事件 5、 导出/导入策略 预期结果 1、 具备策略向导功能 2、 可以制定用用自定义策略，自定义协议超过 40 种 3、 可以单独对某一条事件定义响应方式，也可以批量针对多条事件 定义响应方式 4、 支持响应模板功能 5、 策略可以方便导出和导入 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1.5. 精确报警精确报警 测试项目精确报警 测试目的考察入侵防御系统针对具体环境对入侵事件做进一步精确分析的能力 测试方法配置好目标主机的相关信息，分别触发符合条件的事件和为符合条件的事件， 查看环境匹配窗口中的报警内容 测试步骤1、在显示

16、中心的环境匹配信息设置中，配置好被攻击机的相关信息，包括 主机名、IP 地址、操作系统类型、协议=TCP、端口=80 2、打开环境匹配报警窗口 3、从 windows 攻击机上采用 GUI_Unicode 工具对被攻击机发起 Unicode 攻 击 4、 查看综合显示中心的报警情况 预期结果1、 Unicode 攻击事件作为经过环境匹配后的精确事件，将在环境匹配窗口 中报警，同时也在高级事件窗口中进行报警 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1.6. 攻击特征库管理攻击特征库管理 测试项目攻击特征库管理 测试目的考察入侵防御系统具有协议分析

17、能力，可自定义基于应用层协议的特征 测试方法 1.测试 IPS 的攻击特征库的质量和管理方便性。 2.演示 IPS 产品的攻击特征库的策略编辑方法。 3.演示 IPS 产品的攻击特征的数量。 测试步骤1、各厂家产品操作过程不同，自行演示 预期结果攻击规则库按危险程度分类 2、 攻击规则库按服务类型分类 3、 对每个规则有详细注释说明，包括该攻击影响的操作系统和解决方案 4、 可以对某条具体规则设置单独的响应方式 5、 可以对某类规则设置共同的响应方式 6、 支持自定义新的规则 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1.7. 自定义窗口显示功能

18、自定义窗口显示功能 测试项目自定义窗口显示功能 测试目的验证入侵防御系统是否支持窗口自定义及窗口过滤功能 测试方法在入侵防御系统界面增加窗口，并让该窗口只显示 IP 为的报警信息 测试步骤1、 在入侵防御系统界面增加一个新的报警显示窗口； 2、 设置该窗口的过滤条件，只显示源 IP 为的报警信息； 3、 用 sniffer 回放两条事件，其中一条事件中的源地址与步骤 2 中的源地 址一致 4、 查看报警信息 预期结果1、 可以增加新的窗口 2、 设置的过滤条件生效 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1.8. 事件过滤事件过滤 测试项目事件

19、过滤 测试目的验证入侵防御系统是否基于时间、IP 地址、编号、类型等条件组合对不关心 的事件进行过滤 测试方法根据时间、IP 地址、编号、类型等条件组合进行过滤，察看事件过滤结果 测试步骤各厂家产品操作过程不同，自行演示 预期结果1、 是否可根据事件来源（地址、编号、类型）设置的过滤条件生效 2、 是否可根据事件发生的时间过滤 3、 是否可根据事件结果及引擎所采取的动作 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1.9. 动态策略动态策略 测试项目动态策略 测试目的检查入侵防御系统是否支持根据预设的事件发生频率来动态调整策略中应用 的响应方式、合

20、并条件以及过滤条件，从而减少报警日志量或者自动对高级 事件调高相应级别 测试方法定义好动态策略（规则） ，触发事件，查看策略的有效性 测试步骤1、 打开动态策略编辑菜单； 2、 添加新方案； 3、 添加动态策略规则：事件=ICMP_PING_长度异常，阀值=5 条/分钟，事 件级别调整为“高级事件” ，响应方式=日志+报警，合并方式=按照源 IP 合并； 4、 应用方案； 5、触发事件：ping IP L 10000 t，查看报警 预期结果 “ICMP_PING_长度异常”事件的报警级别自动调整为高级 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1

21、.10.响应方式响应方式 测试项目响应方式 测试目的考察入侵防御系统对入侵事件的相应手段是否丰富灵活 测试方法通过界面操作和沟通的方式呈现各种响应方式 测试步骤现场演示和沟通介绍 预期结果产品支持的响应方式包括以下几种： 1、屏幕报警 2、日志保存 3、声音报警 4、邮件报警 5、rst 阻断 6、防火 墙联动 7、执行用户自定义程序 8、全局预警 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.1.11.系统软件、攻击特征升级能力系统软件、攻击特征升级能力 测试项目软件、攻击特征升级能力 测试目的IPS 系统也必须保持快速的升级和更新能力。包括软件版

22、本的升级和特征库 的更新，尤其是特征库的及时更新非常重要 测试方法 1.测试 IPS 系统的升级方式有几种。 2.测试能否在控制台上对 IPS 探测器进行升级包的远程升级。 3.演示事件特征库的升级方式； 4.演示控制端的升级方式； 5.演示引擎端的升级方式； 6.演示多级管理时事件库及引擎的升级方式； 测试步骤现场演示和沟通介绍 预期结果 1、控制软件升级支持在线升级 2、控制软件升级支持离线升级 3、规则库升级支持在线升级 4、规则库升级支持离线升级 5、规则库更新的频率（以公司网站为准，公司网站显示规则升级内容描述） 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测

23、方： 参测方： 4.2 辅助功能辅助功能测试测试 4.2.1 用户管理用户管理 测试项目用户管理功能 测试目的测试 IPS 系统是否具备角色、权限的管理分配能力 测试方法尝试增加、删除管理员账户，修改管理员权限 测试步骤1、登录用户管理审计模块 2、添加新管理员账户 test/venus123 3、 修改 test 的管理权限 4、 删除 test 账户 预期结果1、 产品具备多用户管理功能（分为管理员、审计员、用户等角色） 2、 可以对账户进行添加、编辑、删除等管理 3、 管理员账户权限分配 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.2.2 用

24、户安全审计用户安全审计 测试项目用户安全审计 测试目的考察入侵防御系统的自身安全性 测试方法检查入侵防御系统的用户管理功能和管理 IP 的安全性 测试步骤1、 查看产品是否具备用户审计模块 2、 查看对于用户的管理是否进行了分组设置，对于每个组是否都有不同权 限 3、 查看设置是否有登录失败的处理机制 4、 除了系统自带的口令认证方式外是否还有其他的辅助认证方式或预留接 口 5、 用端口扫描工具查看系统是否开放了常用的端口 6、 Ping 引擎的管理端口 ip 验证管理端口是否屏蔽了 ping 预期结果1、 产品具备用户审计模块 2、 支持用户权限分组 3、 对于不同的用户可以赋予不同的权限

25、4、 对于每个用户的具备登录失败处理 5、 每个用户都有完整的日志审查 6、 支持可扩展的身份认证方式或提供接口 7、 探测器没有开放常用端口 8、管理端口已经屏蔽 Ping 9、监听端口没有 IP 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.2.3 报表分析功能报表分析功能 1TOP10 统计统计 测试项目报表分析功能 1TOP10 统计 测试目的检查入侵防御系统的 TOP 统计功能 测试方法采用报表分析系统对事件进行统计分析 测试步骤1、 打开日志分析中心 2、 鼠标选中报表模板中的“攻击类型统计” ，再设置好查询的时间段，查看 按照攻击类型统

26、计的报表，并导出到 doc 格式 3、 鼠标选中报表模板中的“源地址统计” ，再设置好查询的时间段，查看按 照源地址统计的报表，并导出到 doc 格式 4、鼠标选中报表模板中的“目的地址统计” ，再设置好查询的时间段，查看 按照目的地址统计的报表，并导出到 doc 格式 预期结果1、 可以查询并导出攻击类型 TOP10 报表 2、 可以查询并导出攻击地址 TOP10 报表 3、 可以查询并导出被攻击地址 TOP10 报表 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.2.4 报表分析功能报表分析功能 2交叉报表交叉报表 测试项目交叉报表 测试目的考察

27、入侵防御系统的报表分析中，是否具备多个特征的关联查询的能力 测试方法查看产品的交叉报表查询结果 测试步骤1、启动日志分析模块； 2、配置需要查询的时间段； 3、查看交叉报表； 预期结果1、 可以按照事件类型跟源地址、目的地址、引擎设备等形成关联报表 2、 可以按照事件的危险级别跟源地址、目的地址、引擎设备等形成关联报 表 3、 可以按照源地址跟事件类型、危险级别等形成关联报表 4、 可以按照目的地址跟事件类型、危险级别等形成关联报表 5、 可以按照引擎设备跟事件类型、危险级别等形成关联报表 6、 双击关联报表的统计记录，可以展开显示详细的事件 测试结果（ ）通过 （ ）未通过 （ ）未测试 结

28、果说明 签字确认主测方： 参测方： 4.2.5 日志分析系统日志分析系统 测试项目日志分析能力 测试目的能够根据用户的需要产生各种形式的报告，如表格形式、柱状图、饼图等， 并且可以根据用户需要设置各种过滤条件，如 IP 地址、事件名称等，可以 自动的产生日报、周报、月报，并且可以导出成多种格式的文件。 测试方法 1 演示日志分析系统（报表）的生成方式； 2 演示可支持的查询条件； 3 演示可支持的导出格式； 预期结果1、 支持日志统计分析 2、 支持查询分析 3、 生成事件的月报表 4、 生成流量的周报表 5、 将生成的报表保存为 html 6、 定时日志备份 7、 日志恢复 8、 日志清除

29、9、 日志归并 测试结果（ ）通过 （ ）未通过 （ ）未测试 结果说明 签字确认主测方： 参测方： 4.3 攻击测试攻击测试 攻击测试应包括真实攻击测试与攻击数据包回放两部分：真实攻击测试采用实际的攻 击工具在测试环境下对有漏洞的目标系统执行攻击，用于测试 IPS 对最新出现的严重漏洞 攻击的检测和阻断能力，真实攻击测试由于对测试环境的搭建有很高的要求，所以只能进 行有限数量的攻击测试；攻击数据包回放采用收集到的攻击报文数据，将攻击场景回放到 IPS 的监听端口来测试 IPS 的检测能力，由于只需回放数据流，对测试环境的要求相对较 低，可以进行大量攻击检测的验证。真实攻击测试与攻击数据包回放

30、最好者采用第三方的 攻击测试工具。 真实攻击测试相关的具体攻击项目的选择应符合如下标准： 攻击工具完全由第三方独立开发和维护。 攻击项目应该是最近最新的严重威胁级别的攻击。 攻击工具应该具有规避 IPS 检测的功能，可以对 IPS 的抗攻击变形能力进行 考察。 回放攻击数据相关的具体攻击项目应符合如下选择标准： 覆盖到尽可能多的常用协议和应用，如 HTTP、SMTP、FTP、IM、P2P 等。 相关的应用软件使用比较广泛，比如微软 Windows 系统相关的网络服务。 攻击相关的漏洞是比较新近的，比如选择 2004 年以后漏洞攻击。 测试方法 1.真实攻击测试：选用集成化的第三方攻击测试软件

31、MetaSploit 3.0( )以减少收集攻击工具的工作量，在单独的攻击机器上 安装配置 MetaSploit 3.0，在目标机器上安装一个默认配置的 Widnows 2000 Server 中文版，打开攻击测试必要的网络服务，也可以在目标机器上运行 VMWare 类的虚拟机作为被攻击的目标，配置 IPS 过滤从攻击机器到目标机器的 流量，依次执行选择的攻击项目，检查 IPS 的告警和阻断情况。 2.回放攻击数据测试：将安装了数据包回放工具 IRIS 的攻击机接入网络，NIPS 的 一个工作端口配置为监听模式，依次打开每个攻击包进行回放，查看 NIPS 控制 台上是否能够产生告警，清除告警信

32、息后执行下一个测试。 4.3.1 邮件病毒传播保护测试邮件病毒传播保护测试 测试项目病毒传播保护测试 1 测试目的测试 IPS 针对病毒传播的所提供的保护功能 测试步骤1、 按照拓扑图搭建测试环境， 2、 回放邮件病毒数据包 VIRUS_POP3_vbs.cap SMTP_MydoomAC.cap VIRUS_SMTP_pif.cap 预期结果携带病毒附件的邮件接收不成功，IPS 对“病毒”阻断成功并有报警信息 POP3 服务接收 VBS 病毒邮件 SMTP 服务发送 Mydoom.AC 蠕虫病毒附件 SMTP 服务发送可疑病毒附件 测试结果（ ）通过（ ）未通过（ ）未测试 结果备注 签字确

33、认主测方：参测方： 4.3.2 蠕虫病毒传播保护测试蠕虫病毒传播保护测试 测试项目蠕虫病毒传播保护测试 测试目的测试 IPS 针对病毒传播的所提供的保护功能 测试步骤1、 按照拓扑图搭建测试环境， 2、 回放邮件病毒数据包 CodeRed_worm_unicode.cap CodeRed_worm_http.cap Sasser_worm.cap Slammer_worm.cap 预期结果病毒体下载不成功，IPS 对蠕虫病毒阻断成功并有报警信息 Code Red 蠕虫利用 Unicode 漏洞攻击 Code Red 蠕虫传播 Sasser（震荡波）蠕虫传播 Slammer 蠕虫攻击 测试结果（

34、 ）通过（ ）未通过（ ）未测试 结果备注 签字确认主测方：参测方： 4.3.3 系统漏洞攻击系统漏洞攻击（攻击包回放）（攻击包回放） 测试项目系统漏洞攻击测试 测试目的测试 IPS 针对针对系统漏洞的攻击所提供的保护功能 测试步骤1、 按照拓扑图搭建测试环境， 2、 回放利用系统漏洞的攻击数据包 FTP_wuftpd_site_exec .cap MSRPC_dcom_remote_overflow .cap IIS_unicode_decode.cap 预期结果IPS 对攻击包阻断成功并有报警信息 Wu-ftpd SITE EXEC 命令溢出攻击 BUGTRAQ ID: 1387 CVE(

35、CAN) ID: CVE-2000-0573 微软 IIS Unicode 解码漏洞攻击 BUGTRAQ ID: 1806 CVE(CAN) ID: CVE-2000-0884 微软 RCP DCOM 接口溢出攻击 BUGTRAQ ID: 8205 CVE(CAN) ID: CVE-2003-0352 测试结果（ ）通过（ ）未通过（ ）未测试 结果备注 签字确认主测方：参测方： 4.3.4 系统漏洞攻击（真实攻击）系统漏洞攻击（真实攻击） 测试项目系统漏洞攻击测试 测试目的测试 IPS 针对针对系统漏洞的攻击所提供的保护功能 测试步骤1、 按照拓扑图搭建测试环境， 2、 被攻击的服务器存在系

36、统和应用程序漏洞 3、 使用漏洞扫描工具对被攻击服务器漏洞扫描 4、 使用 Metasploit 工具对应用程序漏洞进行利用，检测漏洞利用的效果 5、 开启 IPS 防护规则 6、 重复第 4 步和第五步，对比效果 预期结果IPS 对扫描行为报警，根据 IPS 策略设置阻断高风险的漏洞扫描插件 IPS 对 Metasploit 攻击阻断。 测试结果（ ）通过（ ）未通过（ ）未测试 结果备注 签字确认主测方：参测方： 4.3.5 木马连接保护测试木马连接保护测试 测试项目木马连接保护测试 1 测试目的测试 IPS 针对木马连接的所提供的保护功能 测试步骤1、按照拓扑图搭建测试环境 2、在被攻击

37、机上种植木马服务器端，在攻击机上安装木马客户端 3、从攻击机向被攻击机发起连接，观察被攻击机能否被攻击机控制 4、回放木马连接的数据包，观察 IPS 报警 Backdoor_Netbus.cap Backdoor_NetbusPro.cap Backdoor_huigezi_mini.cap Backdoor_netthief.cap 预期结果木马连接被 IPS 检测并阻断，无法连接成功 回放数据包时，IPS 有准确报警 NetBus 木马 NetBus Pro 木马 灰鸽子木马 MINI 版 网络神偷木马 测试结果（ ）通过（ ）未通过（ ）未测试 结果备注 签字确认主测方：参测方： 4.3.6 拒绝服务攻击拒绝服务攻击 测试项目拒绝服务攻击测试 测试目的测试 IPS 针对拒绝服务攻击所提供的保护功能 测试步骤1、 按照拓扑图搭建测试环境， 2、 回放拒绝服务攻击数据包 FTP IIS wildcard DOS S (s).cap udp flood.cap smarf attack.cap tcp scan-syn-ack.cap 预期结果IPS 对攻击包阻断成功并有报警信息 Windows NT IIS/4.0 FTP NLST 命令远程拒绝服务攻击 UDP-Flood 淹没拒绝服务攻击 ICMP-Flood 淹没拒绝服务攻击