2009年5月19日晚,我国江苏、安徽、广西、海南、甘肃、浙江等省份出现罕见的断网故障。经查明,引发断网事故的“元凶”是一家域名解析服务商——DNSPod遭到黑客攻击,进而使得暴风影音网站的域名解析系统出现故障,导致电信运营商的服务器收到大量异常请求而引发拥塞。
“如果说2006年底,当时台湾地震造成海底通信光缆发生中断,造成了中国大陆的国际互联网访问质量受到严重影响是不可抗力的话,那么这次的“大断网”则本是可以预先控制并避免的”, BreakingPoint亚太区执行总监张林辉如是说,“如果电信运运营商要从这次事故当中吸取教训的话,那就是网络在设计建设过程当中以及建成投入使用之前,一定要经过反复的安全测试再正式投入运营测试,这要比不经过严格测试、匆忙上马后再“亡羊补牢”更有效用。”
前期测试比后期故障维护更重要
互联网的安全、快速运行,与运营商的网络部署息息相关。对于网络设备和网上的系统来说,测试工作显得越来越重要。因此国外的电信运营商将网络测试作为网络建设最重要的的一个环节进行。无论是在部署网络、嫁接新的服务和设备,还是在调整网络、发布新版本产品之前都会在设计阶段进行长期、系统、严格的方案论证,并进行详细而全面的测试。这些测试包括安全性测试、稳定性测试、压力测试等等。将由软件Bug、配置等有可能引发的安全问题、影响网络正常运行的隐患及时扫除,避免这些小问题变成大隐患,从而牵一发而动全身影响网络正常运行。国内运营商的作法与国外做法恰恰相反,轻视前期测试,无形中加大了后期故障维护的压力。
张林辉认为,尽管中国的运营商和欧美成熟运营商之前还有不少差距。中国运营商要想远离“事故”就必须改变“重后期故障维护,轻前期设计测试”的陈旧思维模式,这样才能跳出“亡羊补牢”的怪圈,防患于未然。
有关网络测试的新理解
以前,国内用户没什么测试的概念,经过近几年的市场培育,慢慢的有了这样一个概念。但是对测试的理解还是有失偏颇,认为测试仅仅是简单的数据包发送和接收方面的测试。其实真正意义上的测试却远非这么简单,除了数据更为重要的是安全性能方面的测试。在中国市场,测试需要引入应用安全测试的概念,其任重而道远。
以前网络的安全性主要是从终端的安全做起的, 然后是防火墙, 现在要集成进路由器。 这是个很好的趋势,也是个必然趋势,因为只有网络中间的中转设备具备安全能力,安全问题才有可能得到解决。安全功能的转移给测试工作带来很多新的课题,如安全和性能之间如何平衡等等,这些课题都具有很大的挑战性,需要用户做很好的技术储备,首当其冲的就是改变传统的测试思维、方法和模式。
现在通用的一些安全测试解决方案中,攻击手段少、趋同、不够真实,很多厂商的设备能够应对测试仪测试用例模拟的攻击,效果也不错,但是在真实环境中却无法有效应对攻击。究其原因,张林辉给出了答案。张林辉解释说:“传统测试工具只适用于HTTP、FTP等简单协议的测试环境,最多只能产生种类非常有限的4-7层应用协议流量,并且测试产品具有很大局限性,只能针对某一种特殊行为或应用而采用特定的测试方法,用户难以真实地、综合评估产品性能和功能(如对数十种,甚至上百种应用协议的大流量模拟混合测试;正常应用流量和恶意攻击大流量的混合测试等),也就无法实现真正意义上的测试目的。”
可见,传统的测试工具已经不能满足当前网络设备(如高速的基于内容识别和安全的网络设备等)发展需求,对于负责任的网络运营商来说,必须寻找一种新的测试手段来测试产品的安全程度和各个指标,找到更真实的测试方法,达到更真实有效的测试效果。