CN111107083B - 一种白名单规格的测试方法及装置 - Google Patents
一种白名单规格的测试方法及装置 Download PDFInfo
- Publication number
- CN111107083B CN111107083B CN201911308417.3A CN201911308417A CN111107083B CN 111107083 B CN111107083 B CN 111107083B CN 201911308417 A CN201911308417 A CN 201911308417A CN 111107083 B CN111107083 B CN 111107083B
- Authority
- CN
- China
- Prior art keywords
- white list
- simulation
- sessions
- group
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种白名单规格的测试方法及装置,该方法可以包括:通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中,其中,所述第一数量不小于所述白名单的设计规格;获取所述白名单在本次测试中记录的所述源IP地址的第二数量;在会话全部建立成功且所述第二数量等于所述第一数量的情况下,判定所述白名单的实际规格不小于所述设计规格。
Description
技术领域
本公开涉及通信技术技术领域,尤其涉及一种白名单规格的测试方法及装置。
背景技术
SYN攻击属于DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的一种最为常见的流量型攻击。SYN攻击利用TCP(Transmission Control Protocol,传输控制协议)的缺陷,攻击端通过发送大量的半连接请求,消耗服务器的CPU性能和内存资源。
在相关技术中,为了防护SYN攻击,可以采取两种方式。方式一,安全设备获取到客户端发往服务器的SYN报文后,安全设备模拟服务器向客户端返回带有错误的确认号的SYN+ACK报文,从而使得真实客户端向服务器发送RST报文,要求重新建立连接,而安全设备可以从接收到的RST报文中获取客户端的源IP地址,并进一步对源IP地址进行验证,验证通过后将源IP地址添加至白名单中,使得后续客户端发送的SYN报文命中白名单则可以直接通过,而攻击端在接收到SYN+ACK报文,不会做出任何响应。方式二,安全设备获取到客户端发往服务器的SYN报文后,安全设备模拟服务器向客户端返回带有正确的确认号的SYN+ACK报文,从而使得真实客户端向服务器发送ACK报文,确认建立连接,而安全设备可以从接收到的ACK报文中获取客户端的源IP地址,并进一步对源IP地址进行验证,验证通过后将源IP地址添加至白名单中,同时,安全设备向源IP地址对应的客户端发送RST报文,以使得客户端重新建立连接,从而使得后续客户端发送的SYN报文命中白名单则可以直接通过,而攻击端在接收到SYN+ACK报文,不会做出任何响应。
因此,安全设备的白名单的规格大小影响着安全设备的防护效果。在相关技术中,测试白名单规格的方法可以将安全设备部署在客户端与服务器之间,使得所有设备处于同一局域网,由管理员手动修改客户端的IP地址并查看客户端能否成功访问服务器,从而确定出白名单的规格大小。
但是,上述方式在白名单的实际规格较大的情况下,需要手动修改大量的IP地址进行白名单的添加,工作效率低且可行性不高。
发明内容
有鉴于此,本申请提供一种白名单规格的测试方法及装置,可以测试白名单的规格大小。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种白名单规格的测试方法,应用于测试设备;
所述方法包括:
通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中,其中,所述第一数量不小于所述白名单的设计规格;
获取所述白名单在本次测试中记录的所述源IP地址的第二数量;
在会话全部建立成功且所述第二数量等于所述第一数量的情况下,判定所述白名单的实际规格不小于所述设计规格。
根据本申请的第二方面,提出了一种白名单规格的测试装置,应用于测试设备;
所述装置包括:
建立单元,用于通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中,其中,所述第一数量不小于所述白名单的设计规格;
获取单元,用于获取所述白名单在本次测试中记录的所述源IP地址的第二数量;
判断单元,用于在所述会话全部建立成功且所述第二数量等于所述第一数量的情况下,判定所述白名单的实际规格不小于所述设计规格。
根据本申请的第三方面,提供一种电子设备。所述电子设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如第一方面所述的方法。
根据本申请的第四方面,提出了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面所述方法的步骤。
由以上技术方案可见,本申请测试设备分别配置有模拟客户端和模拟服务端,测试设备通过第一数量且源IP地址不同的模拟客户端分别与模拟服务端并发建立会话,并获取被测设备维护的白名单中记录的源IP地址的第二数量,在会话全部建立成功且所述第二数量等于所述第一数量的情况下,可以判定所述白名单的实际规格不小于设计规格,可以快速判断白名单的实际规格,可以节约测试时间且可行性高,提升了工作效率。
附图说明
图1是本申请中测试设备对被测设备的白名单规格进行测试的示意图。
图2是本申请中测试设备对被测设备的白名单规格进行测试的架构示意图。
图3是本申请示出的一种白名单规格的测试方法的流程图。
图4是本申请一示例性实施例示出的一种白名单规格的测试方法的流程图。
图5是本申请一示例性实施例示出的另一种白名单规格的测试方法的流程图。
图6是本申请一示例性实施例示出的一种电子设备的结构示意图。
图7是本申请一示例性实施例示出的一种白名单规格的测试装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是测试设备对被测设备的白名单规格进行测试的示意图。如图1所示,在本申请中测试设备与被测设备相连,从而对被测设备的白名单规格进行测试,其中,所述被测设备为安全设备可以对SYN攻击进行防护。
其中,测试设备分别配置有模拟客户端、模拟服务端和虚拟路由器1、虚拟路由器2。
图2是测试设备对被测设备的白名单规格进行测试的架构示意图,测试设备可以选择IXIA BreakingPoint Systems仪表,被测设备可以选择DPtech Guard3000系列抗D设备,也可以选用其他能够实现相同作用的设备,本申请中并不对此进行限定。当模拟客户端的IP地址段过大,例如为16位掩码地址10.0.0.2-10.0.255.254,甚至是8位掩码地址段等,被测设备上无法建立满足上述要求的ARP表项,因此可以开启测试设备的虚拟路由器功能,分别设置虚拟路由器1和虚拟路由器2。测试设备中的模拟服务端220.181.112.244虚拟转发至虚拟路由2的IP地址192.168.2.2,再由虚拟路由2实际转发至192.168.2.0/24的网关,进而到达被测设备192.168.2.1。
同样的,测试设备中的模拟客户端10.0.0.2-10.255.255.254虚拟转发至虚拟路由1的IP地址192.168.1.2,再由虚拟路由1实际转发至192.168.1.0/24的网关,进而到达被测设备192.168.1.1。
此时,被测设备上仅需要配置两条静态路由,其一目的网段10.0.0.0,子网掩码255.0.0.0,下一跳192.168.1.2;其二目的网段220.181.112.0,子网掩码255.255.255.0,下一跳192.168.2.2。
在相关技术中,被测设备为了防护SYN攻击,可以采取两种方式,方式一,被测设备获取到客户端发往服务器的SYN报文后,被测设备可以模拟服务器向客户端返回带有错误的确认号的SYN+ACK报文,从而使得真实客户端向服务器发送RST报文,要求重新建立连接,被测设备可以从接收到的RST报文中获取客户端的源IP地址,并进一步对源IP地址进行验证,验证通过后将源IP地址添加至白名单中,使得后续客户端发送的SYN报文命中白名单则可以直接通过,而攻击端在接收到SYN+ACK报文,不会做出任何响应。
此时,被测设备将真实客户端的IP地址添加至白名单后,客户端再次发送的SYN报文,可以直接通过被测设备,从而使得真实客户端可以与服务器建立连接。
方式二,被测设备获取到客户端发往服务器的SYN报文后,将该SYN报文缓存在被测设备本地,被测设备可以模拟服务器向客户端返回带有正确的确认号的SYN+ACK报文,从而使得真实客户端向服务器发送ACK报文,确认建立连接,而被测设备可以从接收到的ACK报文中获取客户端的源IP地址,并进一步对源IP地址进行验证,验证通过后将源IP地址添加至白名单中,同时,被测设备向源IP地址对应的客户端发送RST报文,以使得客户端重新建立连接,从而使得后续客户端发送的SYN报文命中白名单则可以直接通过,而攻击端在接收到SYN+ACK报文,不会做出任何响应。
被测设备将客户端添加至白名单,同时,被测设备向源IP地址对应的客户端发送RST报文,以使得客户端重新建立连接,可以确定该客户端为正常客户端,被测设备将缓存的SYN报文发送至服务端,此时服务端返回的SYN+ACK报文不会到达客户端,而是由被测设备截取,由被测设备与服务器建立连接,此后,使得客户端与服务器可以经过安全设备进行数据交互。
因此,被测设备的白名单的规格大小影响着被测设备的防护效果。相关技术中,可以将被测设备部署在客户端与服务器之间,使得所有设备处于同一局域网,由管理员手动修改客户端的IP地址并查看客户端能否成功访问服务器,从而确定出白名单的规格大小。
然而,这种方式在白名单的实际规格较大的情况下,需要手动修改大量的IP地址进行白名单的添加,工作效率低且可行性不高。
因此,本申请通过改进白名单规格的测试方式以解决相关技术中存在的上述技术问题。下面结合实施例进行详细说明。
图3是本申请示出的一种白名单规格的测试方法的流程图。如图3所示,该方法应用于测试设备;可以包括以下步骤:
步骤301,通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中。
在一个实施例中,若所述第一数量不大于所述被测设备的最大并发连接数,则测试设备可以控制第一数量且源IP地址不同的模拟客户端在同一批次内分别与模拟客户端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所示被测设备维护的白名单中,其中,所述第一数量不小于所述白名单的设计规格。
在另一个实施例中,若所述第一数量大于所述被测设备的最大并发连接数,则测试设备可以设置多组源IP地址不用的模拟客户端,并且测试设备可以控制各组的模拟客户端分批与模拟服务器并发建立会话,其中,所述每组所含模拟客户端的数量不大于所述被测设备的最大并发连接数,且各组所含模拟客户端的数量和等于所述第一数量。
步骤302,获取所述白名单在本次测试中记录的所述源IP地址的第二数量。
步骤303,在会话全部建立成功且所述第二数量等于所述第一数量的情况下,判定所述白名单的实际规格不小于所述设计规格。
测试设备可以获取被测设备中的白名单在本次测试中记录的源IP地址的第二数量。
若在本次测试中,所述第一数量且源IP地址不同的模拟客户端分别与模拟服务器并发建立的会话全部建立成功且所述第二数量等于所述第一数量的情况下,测试设备可以判定所述白名单的实际规格不小于所述设计规格。
由以上技术方案可见,本申请测试设备分别配置有模拟客户端和模拟服务端,测试设备通过第一数量且源IP地址不同的模拟客户端分别与模拟服务端并发建立会话,并获取被测设备维护的白名单中记录的源IP地址的第二数量,在会话全部建立成功且所述第二数量等于所述第一数量的情况下,可以判定所述白名单的实际规格不小于设计规格,可以快速判断白名单的实际规格,可以节约测试时间且可行性高,提升了工作效率。
为了便于理解,下面结合附图对本申请的技术方案进行进一步说明。请参见图4,图4是本申请一示例性实施例一种白名单规格的测试方法的流程图。如图4所示;可以包括以下步骤:
步骤401,第一数量不大于被测设备的最大并发连接数。
步骤402,控制第一数量且源IP地址不同的模拟客户端分别与模拟服务器并发建立会话。
测试设备比较第一数量和被测设备的最大并发连接数的大小关系,若第一数量不大于被测设备的最大并发连接数,测试设备可以根据并发测试脚本控制第一数量且源IP地址不同的模拟客户端在同一批次内分别与模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中,而第一数量不小于所述白名单的设计规格。其中,每一会话的源IP地址不同,源端口、目的端口、目的IP地址和传输层协议均相同,所述会话的新建速率、吞吐量均小于被测设备的规格,从而避免了因被测设备的性能不够而导致的测试误差。
本申请中测试人员可以配置测试设备的并发测试脚本,例如,本实施例中IXIABreakingPoint Systems仪表流量行为,通用性高且可以反映真实业务情况。而在相关技术中,测试人员需要编写测试脚本代码进行强制写白名单,对测试人员的编程技能有较高的要求且需要对被测设备详细工作机制有深入的理解,通用性差且不能反映真实业务情况。
其中,被测设备的白名单老化时间可以调整至较大值,从而确保在整个测试过程中不会发生老化,避免因白名单的老化影响对白名单实际规格的测试结果,白名单老化时间可以结合被测设备的支持配置范围和整个测试过程的时间来具体设置,本申请中并不对此进行限定。
步骤403,判断会话是否建立成功。
本次测试完成后测试设备查看并发测试建立的会话是否都建立成功。若存在会话建立失败,则转入步骤404,若所述第一数量的会话全部建立成功,则转入步骤407。
步骤404,调整第一数量并重复测试。
步骤405,获取白名单中记录的所述源IP地址的第二数量。
步骤406,第二数量是否等于调整后的第一数量。
若所述第一数量的会话未全部建立成功,则表示白名单已满,导致部分客户端的源IP地址无法加入白名单中而造成会话建立失败。此时,测试设备清空已建立的会话和白名单中的记录,测试设备可以采用二分法对第一数量进行调整以及重复测试,并且获取白名单中记录的所述源IP地址的第二数量,直至会话全部建立成功且第二数量等于最终调整后的第一数量,而若测试设备再增加一个客户端的源IP地址进行测试将导致存在会话建立失败,则判定所述白名单的实际规格等于所述最终调整后的第一数量。
或者,若所述第一数量的会话未全部建立成功,则表示白名单已满,导致部分客户端的源IP地址无法加入白名单中而造成会话建立失败。此时,测试设备清空已建立的会话和白名单中的记录,测试设备可以采用二分法对第一数量进行调整以及重复测试,逐步缩小调整范围,并且获取白名单中记录的所述源IP地址的第二数量,直至会话全部建立成功、第二数量等于最终调整后的第一数量且最终调整后的第一数量不小于所述白名单的设计规格,则可以判定所述白名单的实际规格不小于所述白名单的设计规格。
当然也可以采用其他方式对第一数量进行调整,本申请中并不对此进行限定。
步骤407,获取白名单中记录的所述源IP地址的第二数量。
步骤408,第二数量是否等于第一数量。
若所述第一数量的会话全部建立成功,测试设备可以获取白名单中记录的所述源IP地址的第二数量,并比较所述第二数量和所述第一数量。若所述第二数量等于所述第一数量且第一数量不小于所述白名单的设计规格,则测试设备可以判断所述白名单的实际规格不小于所述白名单的设计规格。
若所述第一数量的会话全部建立成功,测试设备可以获取白名单中记录的所述源IP地址的第二数量,并比较所述第二数量和所述第一数量。若测试设备判断所述第二数量不等于所述第一数量,则可以判定本次测试过程存在异常情况,白名单添加或者白名单统计存在异常,测试设备清空已建立的会话和白名单并重新进行测试。
步骤409,获得测试结果。
根据判断结果,测试设备可以获取白名单的实际规格大小或者白名单的实际规格大小是否满足设计规格的结果。
举例而言,假定被测设备的最大并发连接数M=70,被测设备的白名单设计规格为N=50,第一数量为60,测试设备可以获得第一数量不大于被测设备的最大并发连接数且第一数量不小于白名单的设计规格。
测试设备第一次控制源IP地址不同的60个模拟客户端分别与模拟客户端并发建立会话,获取到白名单中记录的源IP地址的第二数量为45,存在会话建立失败。
测试设备清空第一次已建立的会话和白名单中的记录,并且采用二分法调整第一数量的大小。则测试设备第二次控制源IP地址不同的30个模拟客户端分别与模拟客户端并发建立会话,获取到白名单中记录的源IP地址的第二数量为30,会话全部建立成功且第二数量等于调整后的第一数量,但是,测试设备再增加一个客户端的源IP地址进行测试而会话仍然建立成功,仍然需要采用二分法对第一数量继续进行调整。
测试设备清空第二次已建立的会话和白名单中的记录,并且采用二分法调整第一数量的大小。则测试设备第三次控制源IP地址不同的45个模拟客户端分别与模拟客户端并发建立会话,获取到白名单中记录的源IP地址的第二数量为45。测试设备获得会话全部建立成功且第二数量等于调整后的第一数量,而若测试设备再增加一个客户端的源IP地址进行测试将导致存在会话建立失败,则可以判定所述白名单的实际规格等于调整后的第一数量45。
由以上技术方案可见,本申请测试设备分别配置有模拟客户端和模拟服务端,测试设备通过第一数量且源IP地址不同的模拟客户端分别与模拟服务端并发建立会话,并获取被测设备维护的白名单中记录的源IP地址的第二数量,在会话全部建立成功且所述第二数量等于所述第一数量的情况下,可以判定所述白名单的实际规格不小于设计规格,可以快速判断白名单的实际规格,可以节约测试时间且可行性高,提升了工作效率。
为了便于理解,下面结合附图对本申请的技术方案进行进一步说明。请参见图5,图5是本申请另一示例性实施例一种白名单规格的测试方法的流程图。如图5所示;可以包括以下步骤:
步骤501,第一数量大于被测设备的最大并发连接数。
步骤502,控制各组的模拟客户端分批与模拟服务端并发建立会话。
测试设备比较第一数量和被测设备的最大并发连接数的大小关系,若第一数量大于被测设备的最大并发连接数,测试设备可以设置多组源IP地址不同的模拟客户端,并根据并发测试脚本控制各组的模拟客户端分批与模拟服务器并发建立会话,使被测设备获取会话建立过程中来自各组的模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中。其中,所述每组所含模拟客户端的数量不大于所述被测设备的最大并发连接数,且各组所含模拟客户端的数量和等于所述第一数量。其中,每一会话可以设置为源IP地址不同,而源端口、目的端口、目的IP地址和传输层协议均相同,所述会话的新建速率、吞吐量均小于被测设备的规格,从而避免了因被测设备的性能不够而导致的测试误差。
本申请中测试人员可以配置测试设备的并发测试脚本,例如,本实施例中IXIABreakingPoint Systems仪表流量行为,通用性高且可以反映真实业务情况。而在相关技术中,测试人员需要编写测试脚本代码进行强制写白名单,对测试人员的编程技能有较高的要求且需要对被测设备详细工作机制有深入的理解,通用性差且不能反映真实业务情况。
其中,被测设备的白名单老化时间可以调整至较大值,从而确保在整个测试过程中不会发生老化,避免因白名单的老化影响对白名单实际规格的测试结果,白名单老化时间可以结合被测设备的支持配置范围和整个测试过程的时间来具体设置,本申请中并不对此进行限定。
步骤503,第1组并发测试。
步骤504,判断会话是否建立成功。
步骤505,获取白名单中记录的所述源IP地址的数量。
步骤506,白名单中记录的数量是否等于第1组所含模拟客户端的数量。
步骤507,清空已建立的会话。
测试设备根据并发测试脚本控制第1组源IP地址不同的模拟客户端分别与模拟服务器并发建立会话,使得被测设备获取会话建立过程中来自第1组的模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中。
本组测试结束后,测试设备查看并发测试建立的会话是否都建立成功,若存在会话建立失败,测试设备可以判断本次测试过程存在异常情况,白名单添加或者白名单统计存在异常,测试设备清空本组已建立的会话和白名单中的记录并重新进行测试。若第1组的会话全部建立成功,测试设备获取被测设备白名单中记录的所述源IP地址的当前数量,并将第1组所含的模拟客户端的数量与白名单中记录的当前数量进行比较,若第1组所含的模拟客户端的数量与白名单中记录的当前数量相等,则清空第1组已建立的会话并执行下一组测试,否则,清空本组已建立的会话和白名单中的记录并重新进行测试。在本次测试中,每组测试都经过上述的判断过程。
步骤508,第X组并发测试。
步骤509,判断会话是否建立成功。
步骤510,调整第X组所含模拟客户端的数量并重复测试。
步骤511,获取白名单中记录的所述源IP地址的第二数量。
步骤512,第二数量是否等于第1-X组所含模拟客户端的数量和。
直至第X组并发测试中,第X组之前的任一组的会话全部建立成功。在第X组测试结束后,测试设备查看本组并发测试建立的会话是否都建立成功。
在第X组中存在会话建立失败时,则表示白名单已满,导致部分客户端的源IP地址无法加入白名单中而造成会话建立失败。此时,测试设备清空第X组已建立的会话和第X组在白名单中的记录,测试设备可以采用二分法对第X组所含的客户端的数量进行调整以及重复测试,测试设备可以获取白名单中记录的所述源IP地址的第二数量。直至测试设备获取到本组会话全部建立成功且第二数量等于第1-X组所含模拟客户端的数量和,若测试设备在调整后的第X组所含的客户端的数量的基础上再增加一个客户端的源IP地址进行测试将导致存在会话建立失败,则判定所述白名单的实际规格等于所述第二数量。
或者,测试设备清空第X组已建立的会话和第X组在白名单中的记录,测试设备可以采用二分法对第X组所含的客户端的数量进行调整以及重复测试,测试设备可以获取白名单中记录的所述源IP地址的第二数量。直至测试设备获取到本组会话全部建立成功、第二数量等于第1-X组所含模拟客户端的数量和且所述第二数量不小于所述白名单的设计规格,若测试设备在调整后的第X组所含的客户端的数量的基础上再增加一个客户端的源IP地址进行测试将导致存在会话建立失败,判定所述白名单的实际规格不小于所述设计规格。
当然,若第X组中的会话全部建立成功时,测试设备可以获取白名单中记录的所述源IP地址的第二数量,若所述第二数量等于第1-X组所含模拟客户端的数量和,测试设备在调整后的第X组所含的客户端的数量的基础上再增加一个客户端的源IP地址进行测试将导致存在会话建立失败,则判定所述白名单的实际规格等于所述第二数量。
步骤513,获得测试结果。
根据判断结果,测试设备可以获取白名单的实际规格大小或者白名单的实际规格大小是否满足设计规格的结果。
举例而言,假定被测设备的最大并发连接数为M,白名单的设计规格为N,测试设备设置每组所含模拟客户端的数量为M,各组所含模拟客户端的数量和等于所述第一数量,第一数量大于被测设备的最大并发连接数且第一数量大于白名单的设计规格。
此时,测试设备设置c组每组源IP地址不同的M个模拟客户端,c的取值可以设置为c=[N/M]+1,即N除以M取整后的结果加1。测试设备可以按照并发测试脚本控制各组的模拟客户端分批与模拟服务器并发建立会话。
测试设备执行完第1组后,查看并发测试建立的会话是否都建立成功。若第1组的会话全部建立成功,测试设备获取被测设备白名单中记录的所述源IP地址的当前数量,并将第1组所含的模拟客户端的数量与白名单中记录的当前数量进行比较,若第1组所含的模拟客户端的数量与白名单中记录的当前数量相等,则清空第1组已建立的会话并执行下一组测试。
测试设备在执行完第c组后,若第c组并发测试存在会话建立失败,则表示白名单的实际规格小于c乘M的数量,白名单已满,导致部分第c组所含客户端的源IP地址无法添加至白名单中。因此,测试设备清空第c组已建立的会话和第c组在白名单中的记录,测试设备可以采用二分法调整第c组所含模拟客户端的数量并重复测试。直至第c组所含模拟客户端的数量调整为Y,会话全部建立成功且白名单中记录的源IP地址的数量等于(c-1)*M+Y,而若测试设备在调整后的第c组所含的客户端的数量为Y+1时进行测试将导致存在会话建立失败,从而可以确定白名单的实际规格即为(c-1)*M+Y。
由以上技术方案可见,本申请测试设备分别配置有模拟客户端和模拟服务端,测试设备通过第一数量且源IP地址不同的模拟客户端分别与模拟服务端并发建立会话,并获取被测设备维护的白名单中记录的源IP地址的第二数量,在会话全部建立成功且所述第二数量等于所述第一数量的情况下,可以判定所述白名单的实际规格不小于设计规格,可以快速判断白名单的实际规格,可以节约测试时间且可行性高,提升了工作效率。
图6示出了,示出了根据本申请的一示例性实施例的一种电子设备的结构示意图。请参考图6,在硬件层面,该电子设备包括处理器601、内部总线602、网络接口603、内存604以及非易失性存储器605,当然还可能包括其他业务所需要的硬件。处理器601从非易失性存储器605中读取对应的计算机程序到内存604中然后运行,在逻辑层面上形成白名单规格的测试装置。当然,除了软件实现方式之外,本申请并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
请参考图7,在软件实施例中,该白名单规格的测试装置可以包括建立单元701、获取单元702、判断单元703,应用于测试设备。其中:
建立单元701,用于通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中,其中,所述第一数量不小于所述白名单的设计规格;
获取单元702,用于获取所述白名单在本次测试中记录的所述源IP地址的第二数量;
判断单元703,用于在所述会话全部建立成功且所述第二数量等于所述第一数量的情况下,判定所述白名单的实际规格不小于所述设计规格。
可选的,在所述第一数量不大于所述被测设备的最大并发连接数的情况下,控制第一数量且源IP地址不同的模拟客户端在同一批次内分别与模拟服务端并发建立会话。
可选的,若所述会话全部建立成功而所述第二数量不等于所述第一数量,则判定本次测试过程存在异常情况,重新进行测试。
可选的,若所述会话未全部建立成功,则调整所述第一数量并重复测试,直至会话全部建立成功且所述第二数量等于最终调整后的第一数量,并判定所述白名单的实际规格等于所述最终调整后的第一数量;或者,
若所述会话未全部建立成功,则调整所述第一数量并重复测试,直至会话全部建立成功、所述第二数量等于最终调整后的第一数量且所述最终调整后的第一数量不小于所述白名单的设计规格,则判定所述白名单的实际规格不小于所述设计规格。
可选的,在所述第一数量大于所述被测设备的最大并发连接数的情况下,设置多组源IP地址不同的模拟客户端;控制各组的模拟客户端分批与模拟服务器并发建立会话,其中,所述每组所含模拟客户端的数量不大于所述被测设备的最大并发连接数,且各组所含模拟客户端的数量和等于所述第一数量。
可选的,若任一组的会话全部建立成功而当前所述白名单中记录的源IP地址的数量不等于已成功建立过会话的各组所含模拟客户端的数量和,则判定本次测试过程存在异常情况,重新进行测试。
可选的,若任一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,则继续下一批次测试,直至最后一组的会话未全部建立成功,调整最后一组所含模拟客户端的数量并重复测试,直至所述最后一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,判定所述白名单的实际规格等于所述第二数量;或者,
若任一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,则继续下一批次测试,直至最后一组的会话未全部建立成功,调整最后一组所含模拟客户端的数量并重复测试,直至所述最后一组的会话全部建立成功、当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和且所述各组所含模拟客户端的数量和不小于所述白名单的设计规格,则判定所述白名单的实际规格不小于所述设计规格。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由报文的发送装置的处理器执行以完成上述方法,该方法可以包括:
通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中,其中,所述第一数量不小于所述白名单的设计规格;
获取所述白名单在本次测试中记录的所述源IP地址的第二数量;
在会话全部建立成功且所述第二数量等于所述第一数量的情况下,判定所述白名单的实际规格不小于所述设计规格。
可选的,在所述第一数量不大于所述被测设备的最大并发连接数的情况下,控制第一数量且源IP地址不同的模拟客户端在同一批次内分别与模拟服务端并发建立会话。
可选的,若所述会话全部建立成功而所述第二数量不等于所述第一数量,则判定本次测试过程存在异常情况,重新进行测试。
可选的,若所述会话未全部建立成功,则调整所述第一数量并重复测试,直至会话全部建立成功且所述第二数量等于最终调整后的第一数量,并判定所述白名单的实际规格等于所述最终调整后的第一数量;或者,若所述会话未全部建立成功,则调整所述第一数量并重复测试,直至会话全部建立成功、所述第二数量等于最终调整后的第一数量且所述最终调整后的第一数量不小于所述白名单的设计规格,则判定所述白名单的实际规格不小于所述设计规格。
可选的,在所述第一数量大于所述被测设备的最大并发连接数的情况下,设置多组源IP地址不同的模拟客户端;控制各组的模拟客户端分批与模拟服务器并发建立会话,其中,所述每组所含模拟客户端的数量不大于所述被测设备的最大并发连接数,且各组所含模拟客户端的数量和等于所述第一数量。
可选的,若任一组的会话全部建立成功而当前所述白名单中记录的源IP地址的数量不等于已成功建立过会话的各组所含模拟客户端的数量和,则判定本次测试过程存在异常情况,重新进行测试。
可选的,若任一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,则继续下一批次测试,直至最后一组的会话未全部建立成功,调整最后一组所含模拟客户端的数量并重复测试,直至所述最后一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,判定所述白名单的实际规格等于所述第二数量;或者,
若任一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,则继续下一批次测试,直至最后一组的会话未全部建立成功,调整最后一组所含模拟客户端的数量并重复测试,直至所述最后一组的会话全部建立成功、当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和且所述各组所含模拟客户端的数量和不小于所述白名单的设计规格,则判定所述白名单的实际规格不小于所述设计规格。
其中,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等,本申请并不对此进行限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种白名单规格的测试方法,其特征在于,应用于测试设备,所述测试设备上分别配置有模拟客户端和模拟服务端,被测设备连接所述模拟客户端与所述模拟服务端,以对所述模拟服务端进行安全防护;所述方法包括:
通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中,其中,所述第一数量不小于所述白名单的设计规格;
获取所述白名单在本次测试中记录的所述源IP地址的第二数量;
在会话全部建立成功且所述第二数量等于所述第一数量的情况下,判定所述白名单的实际规格不小于所述设计规格。
2.根据权利要求1所述的方法,其特征在于,所述通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,包括:
在所述第一数量不大于所述被测设备的最大并发连接数的情况下,控制第一数量且源IP地址不同的模拟客户端在同一批次内分别与模拟服务端并发建立会话。
3.根据权利要求2所述的方法,其特征在于,还包括:
若所述会话全部建立成功而所述第二数量不等于所述第一数量,则判定本次测试过程存在异常情况,重新进行测试。
4.根据权利要求2所述的方法,其特征在于,还包括:
若所述会话未全部建立成功,则调整所述第一数量并重复测试,直至会话全部建立成功且所述第二数量等于最终调整后的第一数量,并判定所述白名单的实际规格等于所述最终调整后的第一数量;或者,
若所述会话未全部建立成功,则调整所述第一数量并重复测试,直至会话全部建立成功、所述第二数量等于最终调整后的第一数量且所述最终调整后的第一数量不小于所述白名单的设计规格,则判定所述白名单的实际规格不小于所述设计规格。
5.根据权利要求1所述的方法,其特征在于,所述通过第一数量且源IP地址不同的模拟客户端分别与模拟服务端并发建立会话,包括:
在所述第一数量大于所述被测设备的最大并发连接数的情况下,设置多组源IP地址不同的模拟客户端;
控制各组的模拟客户端分批与模拟服务器并发建立会话,其中,所述每组所含模拟客户端的数量不大于所述被测设备的最大并发连接数,且各组所含模拟客户端的数量和等于所述第一数量。
6.根据权利要求5所述的方法,其特征在于,还包括:
若任一组的会话全部建立成功而当前所述白名单中记录的源IP地址的数量不等于已成功建立过会话的各组所含模拟客户端的数量和,则判定本次测试过程存在异常情况,重新进行测试。
7.根据权利要求5所述的方法,其特征在于,还包括:
若任一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,则继续下一批次测试,直至最后一组的会话未全部建立成功,调整最后一组所含模拟客户端的数量并重复测试,直至所述最后一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,判定所述白名单的实际规格等于所述第二数量;或者,
若任一组的会话全部建立成功且当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和,则继续下一批次测试,直至最后一组的会话未全部建立成功,调整最后一组所含模拟客户端的数量并重复测试,直至所述最后一组的会话全部建立成功、当前所述白名单中记录的源IP地址的数量等于已成功建立过会话的各组所含模拟客户端的数量和且所述各组所含模拟客户端的数量和不小于所述白名单的设计规格,则判定所述白名单的实际规格不小于所述设计规格。
8.一种白名单规格的测试装置,其特征在于,应用于测试设备,所述测试设备上分别配置有模拟客户端和模拟服务端,被测设备连接所述模拟客户端与所述模拟服务端,以对所述模拟服务端进行安全防护;所述装置包括:
建立单元,用于通过第一数量且源IP地址不同的所述模拟客户端分别与所述模拟服务端并发建立会话,使被测设备获取会话建立过程中来自所述模拟客户端的报文,并将所述报文所含的源IP地址添加至所述被测设备维护的白名单中,其中,所述第一数量不小于所述白名单的设计规格;
获取单元,用于获取所述白名单在本次测试中记录的所述源IP地址的第二数量;
判断单元,用于在所述会话全部建立成功且所述第二数量等于所述第一数量的情况下,判定所述白名单的实际规格不小于所述设计规格。
9.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1-7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911308417.3A CN111107083B (zh) | 2019-12-18 | 2019-12-18 | 一种白名单规格的测试方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911308417.3A CN111107083B (zh) | 2019-12-18 | 2019-12-18 | 一种白名单规格的测试方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111107083A CN111107083A (zh) | 2020-05-05 |
| CN111107083B true CN111107083B (zh) | 2021-11-23 |
Family
ID=70423026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911308417.3A Active CN111107083B (zh) | 2019-12-18 | 2019-12-18 | 一种白名单规格的测试方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111107083B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363001A (zh) * | 2021-12-06 | 2022-04-15 | 国网安徽省电力有限公司超高压分公司 | 基于离线配置的客户端访问限定的方法、系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255910A (zh) * | 2011-07-11 | 2011-11-23 | 北京天融信科技有限公司 | 一种测试入侵防御产品性能的方法和装置 |
| CN109525461A (zh) * | 2018-11-27 | 2019-03-26 | 杭州迪普科技股份有限公司 | 一种网络设备的测试方法、装置、设备及存储介质 |
| CN110535730A (zh) * | 2019-09-23 | 2019-12-03 | 杭州迪普科技股份有限公司 | 网络设备的ip认证功能测试方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7366761B2 (en) * | 2003-10-09 | 2008-04-29 | Abaca Technology Corporation | Method for creating a whitelist for processing e-mails |
| EP3244335B1 (en) * | 2015-02-20 | 2019-05-01 | Nippon Telegraph and Telephone Corporation | Blacklist generation device, blacklist generation system, blacklist generation method, and blacklist generation program |
-
2019
- 2019-12-18 CN CN201911308417.3A patent/CN111107083B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102255910A (zh) * | 2011-07-11 | 2011-11-23 | 北京天融信科技有限公司 | 一种测试入侵防御产品性能的方法和装置 |
| CN109525461A (zh) * | 2018-11-27 | 2019-03-26 | 杭州迪普科技股份有限公司 | 一种网络设备的测试方法、装置、设备及存储介质 |
| CN110535730A (zh) * | 2019-09-23 | 2019-12-03 | 杭州迪普科技股份有限公司 | 网络设备的ip认证功能测试方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111107083A (zh) | 2020-05-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106302434B (zh) | 服务器适配方法、装置和系统 | |
| CN101180826B (zh) | 较高级协议认证 | |
| CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| US9363145B2 (en) | Programmatically simulating system conditions | |
| US9032524B2 (en) | Line-rate packet filtering technique for general purpose operating systems | |
| CN110784464B (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
| CN109587167B (zh) | 一种报文处理的方法和装置 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| US7773540B1 (en) | Methods, system and apparatus preventing network and device identification | |
| CN104883360A (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
| CN108881233A (zh) | 防攻击处理方法、装置、设备及存储介质 | |
| CN113422774A (zh) | 一种基于网络协议的自动化渗透测试方法、装置及存储介质 | |
| CN111107083B (zh) | 一种白名单规格的测试方法及装置 | |
| CN104901953A (zh) | 一种arp欺骗的分布式检测方法及系统 | |
| CN110213224B (zh) | 数据包异步转发方法和系统、数据处理系统及共识节点终端 | |
| CN109413018B (zh) | 一种端口扫描方法及装置 | |
| CN111130936B (zh) | 一种负载均衡算法的测试方法及装置 | |
| CN113872949B (zh) | 一种地址解析协议的应答方法及相关装置 | |
| CN113810398B (zh) | 一种攻击防护方法、装置、设备及存储介质 | |
| CN112073419B (zh) | 一种网络解决方案攻击防御可靠性测试系统 | |
| CN114422409A (zh) | 区块链网络的测试方法、装置、设备及存储介质 | |
| RU2696330C1 (ru) | Способ защиты вычислительных сетей | |
| CN114500021A (zh) | 一种攻击检测方法、装置、电子设备及存储介质 | |
| CN109451074B (zh) | 一种基于portal协议的服务器负载均衡处理办法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |