Layer7テスティングソリューション
| |
|
|
| FlameThrowerは、今までの常識にとらわれず全く新しいアイデアの元に生まれたソリューションです。同一筐体上でアプリケーションプロトコルエミュレータ、DoS/DDoSエミュレータの2種類のソフトウェアを実行させることが可能です。
|
| |
アプリケーションプロトコルエミュレータ
| Web
Stressorと呼ばれるソフトウェアにより、Flame Throwerは、アプリケーションプロトコルエミュレータとして振舞います。Flame
Thrower上の各ポート単位で仮想クライアントもしくは仮想サーバを割り当てて頂くことにより、以下のようなプロトコルをエミュレートいたします。仮想クライアント及び仮想サーバは同時に動作が可能。また、複数のプロトコルを同時に動作することが可能です。
|
| |
対応アプリケーションプロトコル
|
- ストリーミングプロトコル
- HTTP/HTTPS
- SSL
- FTP
- SMTP
- POP3
- DNS
- LDAP
|
| |
| その他新しいプロトコルには順次対応いたします。 |
| |
|
|
Flame Throwerは、300万ユーザからのアクセスをエミュレートが可能です。Flame
Throwerは実環境のクライアント、サーバをシュミレートするのではなく、エミュレート致します。Flame Throwerがエミュレートする仮想クライアントは実サーバとの接続も可能。お使いのネットワーク機器単体をテスターのように測定することも、WANから接続する膨大な数のクライアントをエミュレートし、サーバシステムに到達するまでの特性を測定することも可能です。Flame
Throwerは、スループット、クライアントリクエストに対する遅延、最大同時接続TCPコネクション数、最大アプリケーションプロトコルリクエストレートといった、機器単体、もしくはネットワークの性能を測定する上で欠かせない情報をリアルタイムかつグラフィカルに表示いたします。
Flame Throwerの性能については、以下をご参照ください。 |
| |
| 同時保持TCPコネクション数 |
一筐体あたり最大300万コネクション |
| TCPコネクション確立速度 |
一筐体あたり最高36万TCPコネクション/秒 |
| HTTPリクエスト速度 |
一筐体あたり最高24万リクエスト/秒 |
| SSLトランザクション速度 |
一筐体あたり最高9千トランザクション/秒 |
| FTPリクエスト速度 |
一筐体あたり最高2万1千リクエスト/秒 |
SMTPリクエスト速度
|
一筐体あたり最高6万6千リクエスト/秒 |
POP3リクエスト速度
|
一筐体あたり最高13万2千リクエスト/秒 |
| DNSリクエスト速度 |
一筐体あたり最高38万4千リクエスト/秒 |
|
| |
| ※FlameThrowerⅢXLにSCRAMJETを6枚実装時
|
DoS/DDoSエミュレータ
| FireWallStressor と呼ばれるソフトウェアにより、FlameThrowerは、DoS/DDoSエミュレータとして振舞います。FlameThrowerのポートをDoS/DDoSエミュレータとして設定することにより、以下のようなDoS/DDoSアタックをエミュレートいたします。DoS/DDoSは1筐体あたりで毎秒40万ものアタックパケットを送出することが可能です※1。
|
| |
| ※1 アタックの種類により送出できるパケットのレートは異なります。
|
| |
| 対応DoSアタックモジュール |
| ARP Attack, Fragmentation Needed Attack,
Land Attack, Ping Attack, Ping of Death Attack, Smurf Attack, SYN
Attack, TTL Exceeded Attack, TearDrop Attack, UnReachable Host Attack,
UnReachable Network Attack, UnReachable TCP Port Attack, UnReachable
UDP Port Attack |
| |
| 対応DDoSアタックモジュール |
| Stacheldraht, Tfn, Tfn2k, Trinoo |
| |
| その他、新しいDos/DDoSアタックには順次対応いたします。 |
| |
|
|
FlameThrowerは、DoS/DDoSエミュレートを行うと共に、アタックパケットのディテクト機能も持っています。DoS/DDoS機能を用いることにより、ファイアウォールの脆弱性、アタックパケットが流れた際のネットワークやサーバ類の挙動、アタックパケットを受けた際のルータのスループット低下などを確認することが可能となります。
|
WebStressor (アプリケーションプロトコルエミュレータ)
| アプリケーションレベルのトランザクションを正確にエミュレート
|
| |
WebStressorイメージ図
|
|
WebStressorは、FlameThrowerを仮想的なクライアント/サーバとして動作させるためのソフトウェアです。FlameThrowerに挿入された、専用モジュール上のポート単位で、クライアントエミュレート/サーバエミュレートを割り当てることにより、複数の種類のプロトコルを同時にエミュレートすることも可能です。WebStressorは現在以下のようなプロトコルに対応しています。
・HTTP
・HTTPS
・SSL
・FTP
・DNS
・POP3
・SMTP
・LDAP
|
| |
|
|
| |
| 各プロトコルは、仮想クライアントもしくは、仮想サーバとして同時にエミュレートが可能。仮想クライアントは実サーバとの接続が可能なため、実サーバシステムの性能を評価するためにも利用が可能です。WebStressorが統計情報として表示する、スループット、遅延、最大接続コネクション数、最大接続コネクションレート、最大HTTPリクエストレートなどの各種情報を評価することにより、迅速かつ適切に被試験機(DUT)やネットワークの性能を計測することが可能です。単なるL3パケットのジェネレートではなく、アプリケーションプロトコルレベルのトランザクションを正確にエミュレートするため、より実環境に近い状況下での機器の特性を評価することが出来ます。
|
| |
Captured
by Finisar SURVEYOR
|
| |
| 上の画面は、FlameThrowerが送出したHTTP Getパケットの内容を示した図です。パケットの内容を見ると分かるとおり、FlameThrowerが送出するパケットは、インターネット上の実クライアントが送出するパケットと同様です。
|
シンプルで分かりやすい設定
右の図のように、仮想クライアントを設定する際に必要となる項目は、実クライアントを設定する際に必要となる設定とほぼ同様です。
実クライアントと同様の設定項目のほかに、TCPコネクション数、TCPコネクションレート、HTTPリクエストレートといった項目を設定が可能。TCPコネクション数は、1モジュールあたり最大50万TCPコネクション(1筐体あたり最大300万TCPコネクション)を確立、保持が可能。TCPコネクションレートは、1モジュールで1秒あたり最大60,000TCPコネクションを確立が可能(1筐体あたり最大360,000TCPコネクション/sec)。HTTPリクエストレートは、1モジュールで1秒あたり最大40,000リクエストを送信が可能です(1筐体あたり最大240,000HTTPリクエスト/sec)。
|
|
|
CSV形式でエクスポート可能なレポート機能
| FlameThrowerのレポート機能で生成されたデータは、CSV形式でファイルへ出力が可能。CSV形式のファイルを扱うことが出来るソフトウェアで加工、修正が簡単に行え、下図のようにプレゼンテーション資料を作成することも可能です。
|
| |
レポート機能を使用して作成されたグラフ(MicrosoftExcelを使用)
|
WebStressorの使用例
| 使用例1:実Webサーバシステムの性能評価
|
右の図のように実Webサーバと、FlameThrowerを接続し、
・最大TCPコネクション数
・最大TCPコネクションレート
・最大HTTPリクエストレート
・TCPコネクション確立時遅延
・HTTPリクエスト時遅延
などの情報をテストにより得ることで、サーバシステムの設定項目の確認、負荷状況、限界値、限界状況におけるサーバシステムの挙動などを知ることが可能です。
|
|
|
| |
|
|
| 下のグラフが、実サーバ検証中に得られたグラフです。実Webサーバへの接続クライアント数を150に固定し、HTTPリクエストレートのみを
100 HTTPリクエスト/sec→1000 HTTPリクエスト/secに変化させました。サーバからリプライが返ってくるまでの遅延が顕著に変化しているのが読み取れます。
|
| |
| |
| |
|
HTTPリクエストレート
100リクエスト/sec時のクライアントの要求に対する遅延
(クライアントコネクション数150) |
| |
|
HTTPリクエストレート 1000リクエスト/sec時のクライアントの要求に対する遅延
(クライアントコネクション数150) |
|
|
| |
|
|
|
|
| |
|
|
| |
 |
| |
| 使用例2:サーバロードバランサ(SLB)の性能評価 |
| |
|
|
左の図のようにサーバロードバランサと、FlameThrowerを接続し、
・最大TCPコネクション数
・最大TCPコネクションレート
・最大HTTPリクエストレート
・最大スループット
・サーバロードバランシング状況
などの情報をテストにより得ることで、サーバロードバランサの設定項目の確認、負荷分散状況、限界値、限界状況におけるサーバロードバランサの挙動などを知ることが可能です。
|
| |
|
|
下のグラフが、サーバロードバランサ検証中に得られたグラフです。一番上の図は、スループットを、中央の図はサーバロードバランサの負荷分散状況を、一番下の図は仮想クライアントが送信したTCPコネクション確立要求(SYNパケット送信)数、TCP確立の成功(SYN,ACKパケット受信)した数、仮想クライアント/仮想サーバ間で保持されているTCPコネクション数の関係を示しています。一番下の図を見ると、クライアントからのTCPコネクション要求数、TCP確立の成功した数は増加していますが、実際に保持されているTCPコネクションは増加していないことが読み取れます。
|
| |
| |
|
| |
|
送信したTCPコネクション要求、成功したTCPコネクション、現在保持中のTCPコネクション
|
| |
|
|
|
|
| |
|
| |
| 使用例3:ファイアウォール(FW)の性能評価
|
|
右の図のようにファイアウォールと、FlameThrowerを接続し、
・最大TCPコネクション数
・最大TCPコネクションレート
・最大HTTPリクエストレート
・最大スループット
・通信可能なプロトコル及びその方向
などの情報をテストにより得ることで、ファイアウォールの設定項目の確認、限界値、限界状況におけるファイアウォールの挙動、WAN,LAN,DMZが相互に与える影響などを知ることが可能です。
|
|
|
| |
|
|
| |
|
|
| |
|
| |
| 使用例4:ネットワーク全体のパフォーマンス検証 |
|
上の図のようにネットワークと、FlameThrowerを接続し、
・最大TCPコネクション数
・最大TCPコネクションレート
・最大HTTPリクエストレート
・サーバロードバランシング状況
・通信可能なプロトコル及びその方向
・クライアントからのリクエストに対する遅延
などの情報をテストにより得ることで、製品単体だけではなく、ネットワーク全体でのパフォーマンスを試験することが可能です。
|
|
FireWallStressor (Dos/DDoSエミュレータ)
| クラッカの用いるDoS/DDoS攻撃をエミュレート
|
FireWallStressorイメージ図
|
|
FireWall Stressorは、Flame Throwerを仮想的なDoS/DDoSアタッカとして動作させるためのソフトウェアです。Flame
Throwerに挿入された、専用ブレード上のポート単位で、異なったDoS/DDoSエミュレートを割り当てることにより、複数の種類のDoS/DDoS攻撃を同時にエミュレートすることや、DoS攻撃とアプリケーションプロトコルの同時エミュレートも可能です。Fire
Wall Stressorは現在以下のようなアタックに対応しています。
対応DoSアタックモジュール
ARP Attack, Fragmentation Needed Attack, Land Attack, Ping Attack,
Ping of Death Attack, Smurf Attack, SYN Attack, TTL Exceeded Attack,
TearDrop Attack, UnReachable Host Attack, UnReachable Network
Attack, UnReachable TCP Port Attack, UnReachable UDP Port Attack
|
| |
|
| |
対応DDoSアタックモジュール |
| |
Stacheldraht, Tfn, Tfn2k, Trinoo
|
| |
|
| |
その他、新しいDos/DDoSアタックには順次対応いたします。
|
FlameThrower構成
|
FlameThrower System |
| |
| 型式
|
Chassis
※1 |
Port
数
|
最高TCP
レート
(connection/sec) |
最高HTTP
レート
(Request/sec) |
最高受信スループット
(Gbps) |
最大同時
コネクション数 |
| KT-SC-U |
SC |
2 |
60,000 |
40,000 |
1.5 Gbps以上 |
500,000 |
| KT-XL-Light3 |
XL |
2 |
60,000 |
40,000 |
1.5 Gbps以上 |
500,000 |
| KT-XL-Basic3 |
XL |
4 |
120,000 |
80,000 |
3.0 Gbps以上 |
1,000,000 |
| KT-XL-Advance3 |
XL |
6 |
180,000 |
120,000 |
4.5 Gbps以上 |
1,500,000 |
| KT-XL-FullHouse3 |
XL |
12 |
360,000 |
240,000 |
9.0 Gbps以上 |
3,000,000 |
|
| |
|
| |
※1 SC:FlameThrower III SC、XL:FlameThrower
III XL |
| |
|
| |
|
| |
|
| |
|
| |
|
| |
FlameThroer
SC/XL/Classic用 Hardware オプション |
| |
|
| |
Media Interface Module |
| |
|
| |
型式
|
詳細
|
| KT-SJ-U |
Gigabit SCRAMJET 2Ports Layer7 10/100/1000Mbps
3mode UTP Module |
|
| |
|
| |
Expansion PCM Module |
| |
|
| |
型式
|
詳細
|
| KT-PCM-U |
SCRAMJET 2-Port 10/100/1000 UTP Upgrade
Module |
| KT-PCM-M |
SCRAMJET 2-Port 1000BASE-SX Upgrade Module
|
| KT-PCM-L |
SCRAMJET 2-Port 1000BASE-LX Upgrade Module
|
|
| |
|
| |
|
| |
|
| |
|
| |
|
| |
性能 |
| |
|
| |
一筐体あたりの性能
|
| |
|
| |
| 同時保持TCPコネクション数 |
一筐体あたり最大300万コネクション
|
| TCPコネクション確立速度 |
一筐体あたり最高36万TCPコネクション/秒 |
| HTTPリクエスト速度 |
一筐体あたり最高24万リクエスト/秒 ※1 |
| SSLトランザクション速度 |
一筐体あたり最高9千トランザクション/秒 |
| FTPリクエスト速度 |
一筐体あたり最高2万1千リクエスト/秒 |
| SMTPリクエスト速度 |
一筐体あたり最高6万6千リクエスト/秒 |
| POP3リクエスト速度 |
一筐体あたり最高13万2千リクエスト/秒 |
| DNSリクエスト速度 |
一筐体あたり最高38万4千リクエスト/秒 |
| DoS,DDoSアタックレート |
一筐体あたり最高40万アタック/秒 ※2 |
|
| |
|
| |
カスケード機能使用時の性能 |
| |
|
| |
| 最大同時保持TCPコネクション数 |
4千8百万コネクション※3 |
| 最高TCPコネクションレート |
毎秒576万TCPコネクション※3 |
| 最高HTTPリクエストレート |
毎秒384万リクエスト※3 |
| 最大アタックレート |
毎秒640万アタック※2,※3 |
|
| |
|
| |
※ 1台のFlameThrower
III XL に SCRAMJET を 6枚実装時
※1 HTTPリクエストレートはTurboモード使用時
※2 得られるアタックレートはアタックの種類により異なります
※3 FlameThrower III XL を16台カスケード時 |
プロトコル脆弱性攻撃やバッファオーバフロー攻撃をエミュレート可能!
|
Flame
Thrower/xRay の主な特徴
-
各種プロトコル脆弱性攻撃 / バッファオーバフロー攻撃のエミュレート
CodeRedワームや
Apacheセキュリティホールの攻撃など、 HTTP/HTTPSの脆弱性を突く300種類ものアタックをエミュレート可能です。また、各種アタックは随時アップデートが行われます。
- WebStressor/FireWallStressorと連携試験
莫大な量のアプリケーショントラフィックを生成可能な
WebStressorや、DoS/DDoS 攻撃のエミュレーションを行うことが可能な FireWallStressorと連携して、高負荷なトラフィックが存在する環境下での各種セキュリティアプライアンスのパフォーマンス試験を行うことが可能です。
- xRay単体での正規トラフィック
/ アタックトラフィック混在試験
xRayは単体で、HTTP
Client/Serverのプロトコルエミュレータとしても動作可能です。アタックエミュレータと同時に動作を行い、正規トラフィックとアタックトラフィックの混在する環境を作り出すことが可能です。
攻撃を仕掛けるクラッカは、IDSやIPSによるアタックの検知を回避するため、様々な手段を講じます。Whisker
Evasionは、アプリケーションプロトコルレベルでの様々なアタック隠蔽工作をエミュレートします。
攻撃を仕掛けるクラッカは、様々なレイヤでアタックの隠蔽工作を行います。Fragroute
Evasionは、主にレイヤ2からレイヤ4での隠蔽工作をエミュレートします。
xRayで生成される各種アタックはXMLベースで記述される
AAML(Antara Attack Makeup Language) により記述されています。ユーザはこのファイルを記述することにより、独自のアタックを作成することが可能です。
IDSやIPSの信頼性を検証するためには、実際に検知されたアタック数とトラフィックとして流れたアタック数を比較する必要があります。xRayは、アタックのエミュレート機能と同時に、送信したアタックの検知機能も同時に提供するため、これだけでセキュリティアプライアンスの性能
/ 機能評価を完全に実施することが可能です。
|
「Flame Thrower 6.1リリース開始!」
Document Library
| アプリケーションノート
|
| |
ファイル名 |
ファイル形式
|
|
PDF (2.3Mbyte) |
|
| |
| 機能説明 |
|
ファイル名 |
ファイル形式
|
| |
|
| |
PDF (1.4Mbyte) |
|
|
English (SG)
