wappush拦截测试报告.docx

FlexiNG wap-push 过滤功能测试报告 一、 测试目的 为了防止用户收到 wap-push 的网络攻击，我们需要将 wap-push数据 包在 NG 中过滤掉。 二、 测试环境 测试地点：东莞三元里机房 测试设备：东莞 DGGGSN501BNK ，现网的 SGSN 以及 BSC 和微蜂窝 等。 测试终端： Nokia 3230。 测试号码： 8613825770449 测试时间： 2011 年 9 月 8 日 测试拓扑如下： 三、 测试过程 在 NG 上没有配置策略之前，使用发包机模拟 wap-push的数据包发往当前目标手机所在的 NG Gi loopback 接口， Gn 接口使用 wireshark 抓包，检查有 wap-push的数据包。 在 NG 上面配置过滤 wap-push的策略后，使用发包机模拟 wap-push 的数据包发往当前手机所在的 NG Gi loopback 接口。 Gn 接口使用 wireshark 抓包，检查是否有 wap-push 的数据包，如果没有说明 NG 已 经成功过滤掉了 wap-push，具有了应有攻击防御功能。 项目 : NG wap-push 过滤测试 分项目 : Symbian 用例编号 : 错误！未找到引用源。 版本 : 1.0 参考文档 : 参考组网 : 图 重要性 : 必选 优先级 : A 测试目的 : 验证 NG 具有 wap-push 的过滤功能 1. 设备网络运行正常 预置条件 : 2. GGSN配置了内容计费的功能 3. Gi 侧配置 WAP服务器 4. 手机的 cmwap业务正常 1. 在 NG上没有配置 wap-push 的 filter 1）将 PC机所在的交换机接口划分到 NG和 Gi FW 所在的 VLAN里面，给 PC 配置一个 Gi 的一个互联地址，保证可以 ping 通NG Gi loopback 2）手机做 PDP激活到 GGSN501上面 3）在 ng上面通过命令 show ng trace data-base-dump filter imsi xx 测试步骤 : 来查看手机的当前 IP 地址和所在 NG-slot Gi loopback 地址 4）在发包机里面注意将 GRE头部的目标 IP 设置为 NG-slot Gi loopback ，里层 IP 包头的目标 IP 地址设置为当前手机的 PDP地址，目标端口为 2948 5）在 Gn和 Gi 抓包分析 2. 在 NG上面配置了 wap-push 的 filter 后 1） 基本步骤和上面的一样 2） 在 NG上面配置一个新的 并且在 filter 里面匹配  pcc-rule wap-push ，给其 precedence 100 source-port 2948 、2949、 4035、 4036  ， 3） 在 Gn和Gi 抓包分析 在没有配置 wap-push 的 filter 前，各项基本功能正常， 在 Gn接口还是可以收到 wap-push 的数据包 预期结果 : 在配置了 wap-push 的 filter 后，各项基本功能正常， 在 Gn接口不能收到 wap-push 的数据包 备注： 无 四、 NG 过滤 wap-push pcc-rule前后的结果分析 1. 在NG上没有配置 wap-push filter 如 上图 显示 在 Gn（ GTP协 议） 接口 收到收到 了下 行给 手机 10.49.0.11 ）的 wap-push消息，说明 NG没有将 Gi 接口的 wap-push 数据包过滤。 2. 配置了 wap-push filter 后 如上图分析可知，在 Gi 接口（使用 GRE 协议）收到了 wap-push的数据包，在 Gn 接口没有收到 wap-push数据包，说明 NG 已经将 wap-push 数据包过滤。 五、 测试结论 根据以上测试结果表明， Flexible NG 具有预防互联网 wap-push攻击的功能。 六、 附件： 具体配置 log 和抓包结果