從比特到場(chǎng)景，從簡(jiǎn)單模擬到現(xiàn)網(wǎng)重現(xiàn)

作者/孫震 Keysight Technology , Ixia Solutions Group應(yīng)用和安全業(yè)務(wù)發(fā)展總監(jiān)

　　通信技術(shù)自以太網(wǎng)和IP技術(shù)出現(xiàn)以來(lái)，針對(duì)網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)，包括現(xiàn)在的虛擬網(wǎng)絡(luò)，云平臺(tái)的測(cè)試技術(shù)也在一直發(fā)展中。其工作原理，簡(jiǎn)單來(lái)說(shuō)就是通過(guò)專(zhuān)用儀表模擬產(chǎn)生并發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包來(lái)對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)架構(gòu)進(jìn)行性能，壓力，以及安全型測(cè)試。在這里儀表起到的作用是模擬現(xiàn)實(shí)網(wǎng)絡(luò)流量環(huán)境，用于網(wǎng)絡(luò)設(shè)備的研發(fā)，網(wǎng)絡(luò)性能和安全的驗(yàn)證，各種網(wǎng)絡(luò)通信技術(shù)實(shí)驗(yàn)室評(píng)估，以及各種檢測(cè)機(jī)構(gòu)的日常測(cè)試工作。這種用儀表來(lái)模擬網(wǎng)絡(luò)環(huán)境流量的方式，在成本，技術(shù)實(shí)現(xiàn)，和測(cè)試可重復(fù)性方面都有著巨大的優(yōu)勢(shì)。

　　1流量仿真測(cè)試技術(shù)的發(fā)展

　　測(cè)試儀表往往是隨著網(wǎng)絡(luò)設(shè)備的研發(fā)和演進(jìn)而發(fā)展的。九十年代初以太網(wǎng)交換機(jī)剛剛出現(xiàn)時(shí)，美國(guó)的一位以太網(wǎng)交換機(jī)研發(fā)者為驗(yàn)證其交換機(jī)的性能，專(zhuān)門(mén)制作了一臺(tái)能夠發(fā)送以太網(wǎng)數(shù)據(jù)幀的數(shù)據(jù)包發(fā)生器，依據(jù)的測(cè)試方法主要是RFC1944以及后來(lái)的RFC2544，測(cè)試吞吐量，時(shí)延，丟包率等指標(biāo);

　　到九十年代末期，防火墻等網(wǎng)絡(luò)安全產(chǎn)品成為網(wǎng)絡(luò)技術(shù)的新關(guān)注點(diǎn)。同樣的，對(duì)于防火墻這種新型的網(wǎng)絡(luò)設(shè)備，采用何種方法來(lái)進(jìn)行其性能測(cè)試也成了防火墻設(shè)備研發(fā)者面臨的一道課題。為此，思科公司PIX防火墻系列研發(fā)團(tuán)隊(duì)經(jīng)過(guò)種種努力制作了一臺(tái)能夠測(cè)試防火墻并發(fā)連接數(shù)以及模擬用戶(hù)上網(wǎng)行為的設(shè)備，它能夠支持的應(yīng)用協(xié)議包括HTTP, FTP，DNS, Email等十幾種。這也促成了RFC3511在2003年推出。其規(guī)定的HTTP新建/并發(fā)等測(cè)試指標(biāo)，目前仍然是測(cè)試有狀態(tài)流量設(shè)備的必測(cè)試項(xiàng)目。

　　時(shí)間進(jìn)入二十一世紀(jì)，網(wǎng)絡(luò)設(shè)備硬件處理技術(shù)不斷提高。多核, NP技術(shù)的出現(xiàn)使得網(wǎng)絡(luò)設(shè)備數(shù)據(jù)處理應(yīng)用業(yè)務(wù)的能力大大提高。應(yīng)用層識(shí)別技術(shù)成為焦點(diǎn)，尤其是DPI(深度報(bào)文檢測(cè))與內(nèi)容感知(Content Aware)等技術(shù)的應(yīng)用。 “普通報(bào)文檢測(cè)”僅分析IP包的4層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類(lèi)型，而深度報(bào)文檢測(cè)和內(nèi)容感知技術(shù)除了對(duì)前面的層次分析外，還要分析識(shí)別各種應(yīng)用及其內(nèi)容;另外，網(wǎng)絡(luò)安全成為人們的關(guān)注的另一個(gè)焦點(diǎn)。各種網(wǎng)絡(luò)攻擊此起彼伏，重要資料密碼的失竊率大大提高，攻擊技術(shù)通過(guò)偽裝可以繞過(guò)防火墻和防護(hù)技術(shù)，攻擊特征更難被發(fā)現(xiàn)，更難進(jìn)行檢測(cè)。面對(duì)出現(xiàn)的安全漏洞新類(lèi)型，IT和安全管理人員需要不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞。面對(duì)這樣的狀況，需要一款新型儀表來(lái)來(lái)測(cè)設(shè)備和網(wǎng)絡(luò)的內(nèi)容識(shí)別和安全能力。2005年BreakingPoint的誕生，就是為了解決這個(gè)問(wèn)題。

　　BreakingPoint率先把流量場(chǎng)景概念引入到了測(cè)試中，并且可以仿真出現(xiàn)網(wǎng)一樣的高性能高帶寬。流量場(chǎng)景是網(wǎng)絡(luò)中各種應(yīng)用，傳輸內(nèi)容，流量形態(tài)按一定比例的混合。BreakingPoint通過(guò)自己的研究和第三方合作，已經(jīng)在產(chǎn)品中內(nèi)置了上百種典型的流量場(chǎng)景，如企業(yè)網(wǎng)流量場(chǎng)景，數(shù)據(jù)中心流量場(chǎng)景，校園網(wǎng)流量場(chǎng)景，移動(dòng)網(wǎng)流量場(chǎng)景，等等。方便用戶(hù)可以實(shí)驗(yàn)室里進(jìn)行選擇和測(cè)試。另外，用戶(hù)也可以根據(jù)自己的研究和理解來(lái)實(shí)現(xiàn)自己想要的流量場(chǎng)景。BreakingPoint平臺(tái)目前支持(截止2017年9月)： 400多種典型應(yīng)用，3700多種典型應(yīng)有庫(kù)，8000多種特征攻擊手法，180多種逃避技術(shù)，30000多種病毒和惡意軟件，以及其它典型的Botnet，DDOS攻擊手法。 為了實(shí)時(shí)跟蹤網(wǎng)絡(luò)中的最新動(dòng)態(tài)，這些應(yīng)用和攻擊庫(kù)還可以每2周得到一次更新。 有了這些應(yīng)用和攻擊庫(kù)的支撐，BreakingPoint就可以方便的構(gòu)建出各種復(fù)雜的應(yīng)用場(chǎng)景，攻擊場(chǎng)景，并通過(guò)高性能測(cè)試儀表把發(fā)送出來(lái)。其基本過(guò)程如圖1所示。

　　圖1 BreakingPoint平臺(tái)可以方便的構(gòu)建出各種復(fù)雜的應(yīng)用場(chǎng)景

　　流量場(chǎng)景測(cè)試可以產(chǎn)生接近于真實(shí)網(wǎng)絡(luò)流量形態(tài)，能夠保證被測(cè)設(shè)備的測(cè)試指標(biāo)與實(shí)際使用中的性能指標(biāo)相符合，是衡量設(shè)備或網(wǎng)絡(luò)在典型真實(shí)環(huán)境流量里表現(xiàn)的重要方法。也是目前業(yè)界進(jìn)行安全和應(yīng)用層測(cè)試的主流方法，和重要指標(biāo)。比如，NSSLAB也在其系列測(cè)試方法學(xué)中規(guī)定了不同流量場(chǎng)景測(cè)試的具體方法。

　　BreakingPoint目前是最為常用的實(shí)驗(yàn)室進(jìn)行流量場(chǎng)景仿真測(cè)試平臺(tái)，但仍沒(méi)有解決一個(gè)問(wèn)題：就是如何針對(duì)一個(gè)具體客戶(hù)，一個(gè)具體網(wǎng)絡(luò)的流量情況在實(shí)驗(yàn)室能夠完整的重現(xiàn)? 而不僅僅是發(fā)送一些典型的流量場(chǎng)景。 近期，TrafficRewind技術(shù)的出現(xiàn)，幫助用戶(hù)實(shí)現(xiàn)了這樣的要求。

　　2在實(shí)驗(yàn)室內(nèi)再現(xiàn)生產(chǎn)網(wǎng)絡(luò)真實(shí)流量場(chǎng)景

　　在實(shí)驗(yàn)室環(huán)境內(nèi)完整反映某特定生產(chǎn)網(wǎng)絡(luò)流量在某個(gè)時(shí)間段的流量過(guò)程，被認(rèn)為是一個(gè)相當(dāng)有挑戰(zhàn)和棘手的問(wèn)題。各種機(jī)構(gòu)和實(shí)驗(yàn)室為嘗試復(fù)現(xiàn)真實(shí)網(wǎng)絡(luò)流量狀況也一直投入大量的時(shí)間和資源。早期的做法是，使用高性能網(wǎng)卡+大存儲(chǔ)去捕捉生產(chǎn)網(wǎng)流量，然后通過(guò)網(wǎng)卡高性能的進(jìn)行回放。這種方法的主要問(wèn)題是，花費(fèi)高，回放流量無(wú)狀態(tài)，測(cè)試不靈活，內(nèi)容不可修改，結(jié)果也不可重復(fù)。

　　TrafficREWIND融合了Ixia流量可視化方案和專(zhuān)業(yè)測(cè)試工具能力，通過(guò)記錄和再現(xiàn)生產(chǎn)網(wǎng)絡(luò)流量，提供更加高效的服務(wù)與網(wǎng)絡(luò)部署。具體的實(shí)現(xiàn)是將對(duì)生產(chǎn)網(wǎng)絡(luò)流量形式的監(jiān)聽(tīng)和記錄轉(zhuǎn)化為高度真實(shí)的測(cè)試流量配置, 所生成的測(cè)試配置文件用在BreakingPoint測(cè)試平臺(tái)上，然后對(duì)產(chǎn)品和網(wǎng)絡(luò)方案進(jìn)行評(píng)估和測(cè)試。對(duì)生產(chǎn)網(wǎng)絡(luò)的監(jiān)聽(tīng)會(huì)充分利用應(yīng)用與安全威脅情報(bào)處理器(Application and Threat Intelligence Processor，ATIP)技術(shù)，通過(guò)獨(dú)特的NetFlow擴(kuò)展來(lái)記錄豐富的元數(shù)據(jù)，涉及各種網(wǎng)絡(luò)應(yīng)用，協(xié)議分布，流量行為，帶寬變化等內(nèi)容。

　　TrafficREWIND可在任意生產(chǎn)網(wǎng)絡(luò)任意位置輕松部署，提供了可擴(kuò)展的實(shí)時(shí)系統(tǒng)架構(gòu)，以記錄并合成較長(zhǎng)時(shí)間段內(nèi)(長(zhǎng)達(dá)7天)的流量特征。由于不記錄數(shù)據(jù)的Payload實(shí)際負(fù)載，所以不存在任何法律或合規(guī)問(wèn)題。TrafficREWIND不僅能夠復(fù)制現(xiàn)實(shí)世界中應(yīng)用的流量狀況，而且還前所未有地增加了在一定時(shí)期內(nèi)流量構(gòu)成動(dòng)態(tài)變化的測(cè)試維度，進(jìn)而對(duì)網(wǎng)絡(luò)及應(yīng)用的實(shí)時(shí)特征進(jìn)行建模。

　　圖2 TrafficREWIND利用ATIP元數(shù)據(jù)在BreakingPoint測(cè)試臺(tái)內(nèi)重建生產(chǎn)網(wǎng)絡(luò)流量形態(tài)

　　圖2展示了整個(gè)TrafficREWIND系統(tǒng)的工作過(guò)程: 左邊的應(yīng)用流量處理器大量實(shí)時(shí)偵聽(tīng)生產(chǎn)網(wǎng)絡(luò)里的流量并記錄流量形態(tài)，然后將流量形態(tài)的實(shí)時(shí)發(fā)送給中間的虛擬設(shè)備，虛擬設(shè)備經(jīng)過(guò)過(guò)濾和選擇來(lái)形成需要測(cè)試的流量摘要，然后以配置文件的形式發(fā)送給右邊的BreakingPoint測(cè)試儀表，測(cè)試儀表重建流量模型，對(duì) 被測(cè)設(shè)備/系統(tǒng)/網(wǎng)絡(luò) 進(jìn)行測(cè)試。

　　從流量仿真測(cè)試技術(shù)的發(fā)展來(lái)看，其特點(diǎn)從最早的簡(jiǎn)單Bit級(jí)的測(cè)試，已經(jīng)逐步過(guò)渡到了可以真實(shí)反映某個(gè)特定網(wǎng)絡(luò)特定時(shí)間的流量情況測(cè)試。其更大的技術(shù)背景是：以太網(wǎng)和IP技術(shù)作為基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，從原來(lái)的簡(jiǎn)單數(shù)據(jù)傳送管道，已逐步過(guò)渡到一個(gè)安全的，業(yè)務(wù)識(shí)別的，高效的智能管道。流量仿真測(cè)試技術(shù)，不管是過(guò)去，現(xiàn)在，還是在未來(lái)，都是保障這個(gè)管道更加智能更加健壯的重要技術(shù)手段。