writer: demonalex
email: demonalex_at_dark2s.org 前言:看完了SQL的《用WEB压力测试工具模拟请求服务的DOS攻击》,尤觉得意尤未尽,为摸清此软件的
部分功能,特为此做了一段时间的实验(途中感谢很多网友为此‘捐’出自己的服务器),写了以
下一篇烂文,希望能补充SQL大哥在该文中没有点明的知识点。
参考资料:《用WEB压力测试工具模拟请求服务的DOS攻击》、《WEB压力测试指南》
WEB压力测试(WebStress)一直以来都是很多IDC评测人员、网络管理员以及网络安全专家针对服务器
性能的重点考察和评价的对象。今天小神有幸为某位网友的虚拟主机做个WEB压力测试(建议:压力测试通
常安排在渗透测试之后)。
实验环境:
被测试(服务端):WIN2000 ADVANCE SERVER + IIS + 光纤带宽
测试者(客户端):WIN2000 PROFESSIONAL + MS WEB APPLICATION STRESS + 中国电信ADSL
实验目的:
测试与分析WEB服务器所提供的HTTP服务的综合稳定性。
测试计划:
测试类型基准(baseline):静态测试案例(HTM、JPG)[因为朋友只使用了简单的HTML]
测试工具:单客户端、测试案例库,客户端程序
分析手段:采用对比分析
测试对象:企业级全能虚拟主机
对比对象:“中资源”虚拟主机(dark2s.net)
测试方案条件数值指标:
*************************************************************************************
Url 线程 持续时间 是否使用随机延迟 虚拟扼杀带宽 其他数值
————————————————————————————
随机遍历地址 20 5分钟 200-400(毫秒) 56K MODEM(44k) default
*************************************************************************************
实验步骤:
使用Web Application Stress(下称WAS)生成两个新的压力测试脚本->使用RECORD方式记录其URL->配置
条件测试指标->测试->生成REPORT->以报表方式对比分析其结果
具体操作:
在客户端(localhost)打开MS WEB APPLICATION STRESS主程序的菜单栏选择:”Scripts”->”Create”->”
Record”,选”Record Delay between request”,按”next”。
“finish”。
接下来在弹出的浏览器的地址栏中填入你所要测试的WEB服务器地址,随机浏览几个页面,模拟正常浏
测试防火墙系统 创建时间:2004-05-18
文章属性:转载
文章提交:
sFqRy (mqphk163_at_163.com)
原著:CERT(R)
翻译人: demonalex
email: demonalex_at_dark2s.org
homepage:
http://demonalex.cn.st
A practice from the CERT(R) Security Improvement Modules(
http://www.cert.org/security-improvement/)
这次测试的目的是为了知道防火墙是否想我们想象中的意图来工作的。在此之前你必须:
·制定一个完整的测试计划,测试的意图主要集中在路由、包过滤、日志记录与警报的性能上
·测试当防火墙系统处于非正常工作状态时的恢复防御方案
·设计你的初步测试组件
其中比较重要的的测试包括:
·硬件测试(处理器、内外储存器、网络接口等等)
·操作系统软件(引导部分、控制台访问等等)
·防火墙软件
·网络互联设备(CABLES、交换机、集线器等等)
·防火墙配置软件
-路由型规则
-包过滤规则与关联日志、警报选项
*****为什么说这些是比较重要的呢?*****
测试与效验你的防火墙系统有利于提高防火墙的工作效率,使其发挥令你满意的效果。你必须了解每个系统组件有可
能出现的错误与各种错误的恢复处理技术。一旦在你的规划下有防火墙系统出现非工作状态,这就需要你及时去进行
恢复处理了。
造成防火墙系统出现突破口的最常见原因就是你的防火墙配置问题。要知道,你需要在所有的测试项目之前做一个全
面的针对配置的测试(例如路由功能、包过滤、日志处理能力等)。
*****应该怎么去做?*****
“建立一个测试计划”
你需要在做一个计划,让系统本身去测试防火墙系统与策略的执行情况,然后测试系统的执行情况。
1建立一个所有可替代的系统组件的列表,用来记录一些会导致防火墙系统出错的敏感故障。
2为每一个组件建立一个简短的特征说明列表列表,用语阐述其对防火墙系统运作的影响。不必理会这些影
响对防火墙系统的损害类型与程度和其可能发生的系数高低。
3为每一个关联的故障类型
-设计一个特定的情况或某个指标去模拟它
-设计一个缓冲方案去削弱它对系统的冲击性破坏
打比方一个测试的特定情况是运行防火墙软件的主机系统出现不可替换的硬件问题时,且这个硬件将会影响到
信息通信的枢纽问题,例如网络适配器损坏,模仿这类型的故障可以简单地拔出该网络接口。
至于防御/恢复策略的例子可以是做好一整套的后备防火墙系统。当信息包出现延误等问题时在最短的时间内
将机器替换。
测试一个策略在系统中的运作情况是很困难的。用尽方法去测试IP包过滤设置是不可行的;这样可能出现很多
种情况。我们推崇你使用分界测试(分部测试)来取代总体测试。在这些测试上,你必须确定你实施的包过滤规
则与每个分块之间的分界线。这样你需要做到:
·为每个规则定义一个边界规则。通常,每个规则的必要参数都会有一个或两个边界点的。在这个区域里
将会被划分为一个多面型的包特征区。通常划分的特征包括:通信协议、源地址、目标地址、源端口、
目标端口等。基本上,每种包特征都可以独立地去配对包过滤规则在区域里所定义的数值尺度。例如,
其中一个规则允许TCP包从任何主机发送到你的WEB服务器的80端口,这个例子使用了三个配对特征(协议
、目标地址、目标端口),在这个实例中也将一个特征区划分成三个区域:TCP包到WEB服务器低于80端口、
等于80端口、大于80端口。
·你必须为每一个已经设置好的区域做一些信息交换的测试。确认一下这些特定的区域能否正常地通过与
拒绝所有的信息交换。做一个单独的区域,在区域中拒绝或者通过所有的信息交换;这样做的目的是为
了划分包特征通信的区域问题。
作为一个综合性的规则群,它可以是一种比较单一的处理机制,并且有可能是没有被应用过的。若是没有被应
用过的规则群,这要求一群人去反复审核它们的存在性并要求有人能够说出每一个规则所需要实施的意义。
整个测试计划包括案例测试、配置测试、与期待目标:
·测试路由配置、包过滤规则(包括特殊服务的测试)、日志功能与警报