必看(3)打卡10個(gè)4-7層網(wǎng)絡(luò)測(cè)試網(wǎng)紅指標(biāo)(下篇)
大家好,在上一篇文章里我們打卡了4-7層網(wǎng)絡(luò)測(cè)試網(wǎng)紅指標(biāo)的前5個(gè),如果還沒(méi)有看過(guò)的同學(xué)可以參見(jiàn)下方鏈接:
必看(1)打卡10個(gè)4-7層網(wǎng)絡(luò)測(cè)試網(wǎng)紅指標(biāo)(上篇)
在上一篇文章里,我們?cè)敿?xì)介紹了:
CPS(Connections/Second)新建連接數(shù)
CC(Concurrent Connections)并發(fā)連接數(shù)
TPS(Transactions/Second)每秒事務(wù)數(shù)
Throughput 吞吐量
Response Time響應(yīng)時(shí)間
綜合這5個(gè)網(wǎng)絡(luò)測(cè)試指標(biāo),不難看出我們給出的TOP5的指標(biāo)更側(cè)重于網(wǎng)絡(luò)性能方面。本篇文章我們將繼續(xù)給大家?guī)?lái)剩下的5個(gè)網(wǎng)紅指標(biāo),下半場(chǎng)的解說(shuō)將更加側(cè)重于網(wǎng)絡(luò)安全方面。
IPsec(Internet Protocol Security)是一套用于在IP網(wǎng)絡(luò)中實(shí)現(xiàn)端到端安全通信的協(xié)議套件。它旨在解決在開(kāi)放網(wǎng)絡(luò)環(huán)境中,如互聯(lián)網(wǎng),數(shù)據(jù)傳輸可能面臨的多種安全威脅,包括數(shù)據(jù)泄露、篡改、偽造和重放攻擊。IPsec通過(guò)為IP層提供一系列安全服務(wù),確保了數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性、完整性和可用性。在網(wǎng)絡(luò)測(cè)試中,我們主要關(guān)注以下幾個(gè)IPsec的性能指標(biāo):
IPsec隧道新建速率:
IPsec隧道新建速率是指在一定時(shí)間內(nèi)成功建立IPsec隧道的速度。這個(gè)指標(biāo)通常用來(lái)衡量IPsec設(shè)備(如VPN網(wǎng)關(guān)或防火墻)在處理大量并發(fā)隧道建立請(qǐng)求時(shí)的性能。隧道新建速率對(duì)于網(wǎng)絡(luò)設(shè)備和安全解決方案來(lái)說(shuō)是一個(gè)重要的性能指標(biāo),尤其是在需要快速響應(yīng)大量遠(yuǎn)程訪問(wèn)連接的場(chǎng)景中。
注意:DH組值的大小對(duì)IKE協(xié)商性能(如隧道新建速率等)有影響,如DH組值越大,IKE協(xié)商性能受到的影響就越大(可能會(huì)導(dǎo)致隧道新建速率明顯降低)。
圖1: IPsec隧道新建速率
IPsec并發(fā)隧道數(shù):
IPsec(Internet Protocol Security)隧道并發(fā)數(shù)是指在網(wǎng)絡(luò)中同時(shí)活躍的IPsec隧道數(shù)量。這個(gè)概念通常用于描述IPsec VPN(虛擬私人網(wǎng)絡(luò))環(huán)境中,可以同時(shí)處理和維護(hù)的加密隧道數(shù)量。并發(fā)數(shù)可以反映IPsec設(shè)備的性能,即它能夠處理多少同時(shí)的加密和解密操作。
圖2: IPsec并發(fā)隧道數(shù)
IPSEC隧道吞吐量:
IPsec隧道吞吐量是指在一個(gè)IPsec隧道中,數(shù)據(jù)能夠在單位時(shí)間內(nèi)成功傳輸?shù)淖畲笏俾?。它是一個(gè)衡量IPsec加密和封裝處理能力的關(guān)鍵性能指標(biāo),通常以每秒傳輸?shù)谋忍財(cái)?shù)(bps)來(lái)表示。
對(duì)于大規(guī)模網(wǎng)絡(luò),需要選擇具有高吞吐量的IPSec 方案,以支持高并發(fā)的數(shù)據(jù)傳輸。在實(shí)際測(cè)試中,單隧道吞吐量以及整機(jī)吞吐量都是我們需要關(guān)注的性能指標(biāo)。IPsec單隧道吞吐量可以讓我們?cè)u(píng)估單個(gè)安全連接的性能,確保關(guān)鍵業(yè)務(wù)連接的帶寬需求得到滿足;而整機(jī)吞吐量則幫助我們了解設(shè)備整體處理能力,以便于進(jìn)行網(wǎng)絡(luò)容量規(guī)劃和應(yīng)對(duì)高并發(fā)連接需求,保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行。
圖3: IPsec隧道吞吐量
SSL(安全套接層,Secure Sockets Layer)是一種安全協(xié)議,用于在客戶端和服務(wù)器之間建立加密鏈接,確保在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)保持私密性和完整性。SSL是Netscape公司在1994年開(kāi)發(fā)的,后來(lái)被IETF(互聯(lián)網(wǎng)工程任務(wù)組)標(biāo)準(zhǔn)化為TLS(傳輸層安全,Transport Layer Security)。盡管SSL協(xié)議已經(jīng)基本被TLS取代,但“SSL”這個(gè)術(shù)語(yǔ)仍然經(jīng)常被用來(lái)指代這兩種協(xié)議。在日常測(cè)試中,我們主要關(guān)注以下幾個(gè)性能指標(biāo):
SSL新建連接速率:
SSL新建連接速率通常指的是在SSL/TLS握手過(guò)程中,新建安全連接的速度。一般來(lái)說(shuō)我們使用HTTPS來(lái)測(cè)試SSL新建鏈接速率,SSL新建速率是評(píng)估服務(wù)器或安全設(shè)備處理新SSL連接能力的重要指標(biāo)。一個(gè)高的SSL新建速率意味著設(shè)備能夠快速處理大量并發(fā)的新連接請(qǐng)求。在用戶訪問(wèn)HTTPS網(wǎng)站時(shí),SSL握手是必須的第一步。如果SSL新建速率低,用戶可能會(huì)遇到連接延遲,影響用戶體驗(yàn)。對(duì)于需要處理大量交易或用戶請(qǐng)求的服務(wù),如電子商務(wù)網(wǎng)站或在線銀行,一個(gè)高的SSL新建速率是保證業(yè)務(wù)連續(xù)性的關(guān)鍵。
圖4: SSL隧道新建速率
SSL并發(fā)連接數(shù):
SSL并發(fā)連接數(shù)是指在某一特定時(shí)間點(diǎn),服務(wù)器或安全設(shè)備上同時(shí)存在的活躍SSL/TLS連接的數(shù)量。這些連接可能是正在傳輸數(shù)據(jù)的,也可能是已經(jīng)建立但暫時(shí)沒(méi)有數(shù)據(jù)傳輸?shù)摹翱臻e”連接。由于SSL/TLS協(xié)議用于在客戶端和服務(wù)器之間建立加密連接,因此每個(gè)并發(fā)連接都涉及加密和解密數(shù)據(jù)的過(guò)程,這比非加密連接(如HTTP)更消耗服務(wù)器資源。服務(wù)器或安全設(shè)備能夠支持的高并發(fā)連接數(shù)是衡量其性能的一個(gè)重要指標(biāo)。對(duì)于需要處理大量用戶請(qǐng)求的服務(wù),如電子商務(wù)網(wǎng)站、在線游戲或云服務(wù),支持高并發(fā)連接數(shù)至關(guān)重要。
圖5: SSL并發(fā)連接數(shù)
SSL吞吐量:
SSL吞吐量是指在網(wǎng)絡(luò)設(shè)備和服務(wù)器上,SSL/TLS加密和解密操作能夠處理的數(shù)據(jù)量,通常以每秒傳輸?shù)淖止?jié)數(shù)(Bytes per Second, Bps)來(lái)衡量。它是衡量網(wǎng)絡(luò)設(shè)備或服務(wù)器在處理SSL/TLS加密通信時(shí)的性能指標(biāo)之一。不同的SSL/TLS算法和協(xié)議版本對(duì)吞吐量的影響也不同。例如,較新的協(xié)議版本(如TLS 1.3)通常比舊版本(如SSL 3.0或TLS 1.0)更高效,因?yàn)樗鼈儨p少了握手過(guò)程中的往返次數(shù),并支持更快的加密操作。
圖6: SSL吞吐量
SSL卸載測(cè)試:
一般來(lái)說(shuō)客戶端訪問(wèn)服務(wù)器端的時(shí)候是基于HTTPS協(xié)議(加密傳輸?shù)?,當(dāng)客戶端的HTTPS請(qǐng)求發(fā)送到負(fù)載均衡設(shè)備的VIP(virtual service IP)的時(shí)候,由負(fù)載均衡設(shè)備把原始的HTTP請(qǐng)求發(fā)送給后臺(tái)的真實(shí)服務(wù)器,對(duì)于后臺(tái)的真實(shí)服務(wù)器來(lái)說(shuō)就不需要采用加密算法去解密HTTPS報(bào)文,這樣節(jié)省了真實(shí)服務(wù)器的CPU、內(nèi)存、計(jì)算等資源,同時(shí),客戶端和VIP之間采用HTTPS協(xié)議,保證了數(shù)據(jù)傳輸?shù)陌踩?,這就是SSL卸載的一個(gè)主要的應(yīng)用。對(duì)數(shù)據(jù)安全非常重視的行業(yè)(銀行、運(yùn)營(yíng)商、證券、政務(wù)等)會(huì)非常關(guān)注該性能指標(biāo),對(duì)該指標(biāo)的性能要求很高。
圖7: SSL卸載拓?fù)鋱D
國(guó)密SSL性能:
國(guó)密SSL(國(guó)家商用密碼SSL)是指使用中國(guó)國(guó)家商用密碼算法實(shí)現(xiàn)的SSL/TLS協(xié)議。國(guó)密SSL使用的是中國(guó)國(guó)家標(biāo)準(zhǔn)(GB)中定義的商用密碼算法,它采用了我國(guó)自主研發(fā)的SM系列算法(如SM2、SM3、SM4)進(jìn)行加密和解密。這是一種專門為國(guó)家商用密碼設(shè)計(jì)的加密算法。它的加解密過(guò)程完全在國(guó)內(nèi)進(jìn)行,符合國(guó)家密碼管理規(guī)范。隨著中國(guó)信息安全的重視程度不斷提高,國(guó)密SSL的應(yīng)用正在逐漸擴(kuò)大。政府和相關(guān)機(jī)構(gòu)也在推動(dòng)國(guó)密算法的國(guó)際標(biāo)準(zhǔn)化,以促進(jìn)國(guó)密SSL在全球范圍內(nèi)的應(yīng)用。我司Cyberflood產(chǎn)品目前已經(jīng)支持了國(guó)密算法相關(guān)的性能測(cè)試,具體測(cè)試咨詢請(qǐng)?jiān)斣?00-810-9529。
圖8: Cyberflood國(guó)密配置界面
DDoS(分布式拒絕服務(wù))攻擊是一種網(wǎng)絡(luò)攻擊手段,其目的是使目標(biāo)服務(wù)器或網(wǎng)絡(luò)資源無(wú)法為合法用戶提供服務(wù)。這種攻擊通過(guò)利用多個(gè)被黑客控制的計(jì)算機(jī)(這些計(jì)算機(jī)通常組成所謂的“僵尸網(wǎng)絡(luò)”或“僵尸軍團(tuán)”)向目標(biāo)發(fā)送大量請(qǐng)求,從而耗盡目標(biāo)的服務(wù)器帶寬或資源,導(dǎo)致合法用戶無(wú)法訪問(wèn)服務(wù)。大名鼎鼎的《黑神話:悟空》在發(fā)售之初,發(fā)行平臺(tái)Steam就于2024年8月24日晚間遭受了大規(guī)模的DDoS攻擊,這次攻擊導(dǎo)致了全球多國(guó)玩家無(wú)法登錄游戲。
延伸閱讀:《黑神話:悟空》掀起70Tbps網(wǎng)絡(luò)洪流,如何才能乘風(fēng)破浪?
所以對(duì)于網(wǎng)絡(luò)測(cè)試來(lái)說(shuō),DDOS攔截率是一項(xiàng)衡量網(wǎng)絡(luò)安全設(shè)備的重要指標(biāo)。特別是在正常業(yè)務(wù)流量負(fù)荷下,被測(cè)設(shè)備對(duì)DDOS的防御能力尤為重要。
Cyberflood產(chǎn)品提供了有狀態(tài)和無(wú)狀態(tài)兩種DDoS攻擊測(cè)試,并混合了正常的業(yè)務(wù)流量??梢造`活調(diào)整DDOS的類型,背景流量占比等參數(shù),可以實(shí)現(xiàn)更真實(shí)的模擬現(xiàn)網(wǎng)DDOS攻擊場(chǎng)景。
圖9: Cyberflood 無(wú)狀態(tài)DDoS配置界面
圖10: Cyberflood 有狀態(tài)DDoS配置界面
圖11: Cyberflood DDoS混合流量配置界面
如今,網(wǎng)絡(luò)上的數(shù)百萬(wàn)臺(tái)設(shè)備上正運(yùn)行著數(shù)以千計(jì)的應(yīng)用,而且每天都會(huì)有數(shù)百種新的應(yīng)用發(fā)布,測(cè)試團(tuán)隊(duì)、研發(fā)團(tuán)隊(duì)都在竭盡全力,迅速而有效地測(cè)試、驗(yàn)證和推廣其應(yīng)用感知系統(tǒng)和網(wǎng)絡(luò)。安全應(yīng)用基礎(chǔ)設(shè)施的部署為我們帶來(lái)了管理流量、安全性和服務(wù)質(zhì)量(QoS)策略的諸多創(chuàng)新能力。為了準(zhǔn)確地測(cè)試應(yīng)用程序感知基礎(chǔ)設(shè)施和設(shè)備的安全有效性,模擬現(xiàn)實(shí)的合法流量和黑客流量以充分評(píng)估安全控制是否符合您的規(guī)范是至關(guān)重要的。我們需要格外關(guān)注應(yīng)用、攻擊、惡意軟件的識(shí)別率,對(duì)應(yīng)用程序可以正確識(shí)別并放行,對(duì)攻擊和惡意軟件可以識(shí)別并攔截。
CyberFlood安全測(cè)試可以為您提供一種有效的方法來(lái)測(cè)試數(shù)據(jù)庫(kù)中數(shù)以萬(wàn)計(jì)的最新應(yīng)用程序、攻擊和惡意軟件場(chǎng)景。您可以使用基于ATT&CK框架的規(guī)避技術(shù)來(lái)模擬真實(shí)的黑客行為或加密攻擊,以將安全解決方案推向其極限。
圖12: Cyberflood TestCloud庫(kù)數(shù)量
圖13: Cyberflood ATT&CK配置界面
當(dāng)今通信網(wǎng)絡(luò)面臨的安全挑戰(zhàn)日益嚴(yán)峻。隨著5G、物聯(lián)網(wǎng)、云計(jì)算等技術(shù)的快速發(fā)展,網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,復(fù)雜度不斷提高,這使得通信網(wǎng)絡(luò)在信息安全方面面臨諸多挑戰(zhàn)。一方面,網(wǎng)絡(luò)基礎(chǔ)設(shè)施存在安全隱患,如設(shè)備漏洞、協(xié)議缺陷等,容易導(dǎo)致數(shù)據(jù)泄露、服務(wù)中斷等問(wèn)題。另一方面,網(wǎng)絡(luò)攻擊手段日益翻新,APT(高級(jí)持續(xù)性威脅)攻擊、勒索軟件、DDoS(分布式拒絕服務(wù))攻擊等頻繁發(fā)生,給通信網(wǎng)絡(luò)安全帶來(lái)極大威脅。如何在如此復(fù)雜的網(wǎng)絡(luò)環(huán)境中保證服務(wù)的可持續(xù)性、穩(wěn)定性至關(guān)重要。這需要網(wǎng)絡(luò)安全設(shè)備能夠準(zhǔn)確的識(shí)別安全流量與威脅流量并迅速做出正確的響應(yīng)。因此,被測(cè)設(shè)備在多種協(xié)議應(yīng)用的高吞吐混合流量的背景下具備對(duì)DDOS攻擊、惡意軟件的迅速識(shí)別以及攔截的能力是我們綜合評(píng)估該設(shè)備安全能力的重要指標(biāo)。
Cyberflood提供的Throughput with Mixed Traffic混合流量測(cè)試可以自定義流量組合以匹配您的網(wǎng)絡(luò)場(chǎng)景,可以模擬用戶訪問(wèn)數(shù)千個(gè)應(yīng)用程序,包括社交媒體游戲,企業(yè)應(yīng)用程序和流媒體,模擬黑客發(fā)送大量的惡意軟件以及攻擊流量。測(cè)量客戶端所請(qǐng)求內(nèi)容的平均往返時(shí)間(以毫秒為單位)。各協(xié)議的訪問(wèn)成功率,驗(yàn)證這些流量混合是如何影響DUT整體性能的。
圖14: Cyberflood 混合流量說(shuō)明
圖15: Cyberflood 混合流量配置界面
至此,L4-7層網(wǎng)絡(luò)測(cè)試網(wǎng)紅指標(biāo)的全部打卡內(nèi)容就介紹到這里。希望通過(guò)這次分享,大家能夠?qū)W(wǎng)絡(luò)測(cè)試的關(guān)鍵指標(biāo)有更深入的了解,并在實(shí)際工作中更好地應(yīng)用和理解這部分內(nèi)容。在此,感謝大家的關(guān)注與支持,未來(lái)我們將繼續(xù)為大家?guī)?lái)更多實(shí)用的網(wǎng)絡(luò)技術(shù)干貨。