网络渗透攻击测试技术的研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇网络渗透攻击测试技术的研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:网络和计算机安全问题已经成为政府、企业必须面对的现实问题。应对安全威胁的途径之一就是采用渗透测试的方法模拟黑客的攻击,本文从宏观上介绍了渗透测试技术的原理和实施步骤,并提出了对未来技术的设想。
关键词:渗透测试技术
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 13-0000-01
Internet Penetration Against Testing Technology Research
Li Yanling
(Liaoning College of Communications,Shenyang110122,China)
Abstract:Networks and computers security has become the must face problems of security threats to the government,enterprises.one way to the infiltration methods of simulation testing hacker attack,from the macroscopic introduced into the test technology and implementation procedures for the future,and raised the idea.
Keywords:Penetration test technology
一、 渗透测试的概念与目的
(一)渗透测试的概念
渗透测试(Penetration testing)是指渗透者完全模拟恶意黑客可能使用的攻击技术和漏洞发现技术,对被测系统的安全做深入的探测和评估,发现系统中最脆弱的环节。
(二)渗透测试的目的
渗透测试能够使网络管理人员直观的了解自己网络可能出现的问题,能够知道入侵者可能利用的途径以及了解系统和网络安全强度。
二、渗透测试的方法
根据不同的测试目标,分别采用不同的渗透测试方法:
(一)外部渗透测试
外部渗透测试是指在系统外部发起对被测系统的攻击,如Internet或Extranet。这种测试方法通常首先使用客户的公共访问信息,然后进行网络枚举,这是专门针对企业对外服务器或设备,如电子邮件服务器、域名服务器、Web服务器或防火墙等。
(二)内部渗透测试
内部测试是指在企业内部技术环境中执行的测试。这种测试是模拟企业内部雇员的越权操作,或者拥有授权的访问者发起的内部网络攻击。其目的是想了解网络再被入侵后会出现的状况,或了解授权访问者在网络内部能够获取哪些具体的信息资源。
(三)盲式渗透测试
盲式渗透测试即完全模拟黑客的操作方法和流程,对被测网络发起攻击。渗透者在测试前只掌握少量的系统的信息,甚至对系统一无所知。只能够通过一些公开的信息(如企业网站、域名注册信息、Internet 论坛等)来提取对测试有用的相关信息来执行浸透。
(四)定向渗透测试
定向渗透测试是指在测试过程中对被测试目标及网络设计等相关信息掌握丰富,了解全面。当被测系统侧重于技术设置或网络设计,而不是该系统的意外事件响应和其它运营过程,那么定向渗透测试会显得更加经济有效。
三、渗透测试实施过程
渗透测试的具体实施,即模拟黑客攻击的手段,对被评估系统进行渗透。
(一)信息的收集
这一部分包括网络信息的收集、目标系统信息收集、端口/服务信息收集和应用信息收集,然后对收集到的信息进行整理和提炼,针对网络渗透相关的信息,制定一定的渗透策略,进行渗透测试。
(二)漏洞扫描
这一步主要针对具体系统目标进行。如通过第一步的信息收集,已经得到了目标系统的IP地址分布及对应的域名,并且我们已经通过一些分析过滤出少许的几个攻击目标,这时,就可以针对它们进行有针对性的漏洞扫描。
(三)权限提升
当想进行进一步的渗透测试的时候,会发现没有足够的权限打开一些密码存储文件、没有办法安装一个SNIFFER、甚至没有权限执行一些很基本的命令。这时候自然而然的就会想到权限提升这个途径了。
(四)密码破解
无数次的安全事故结果证明,往往破坏力最大的攻击起源于最小的弱点,例如弱口令、目录列表、 SQL注入绕过论证等等。所以说,对于一个ethical hacker来说,这一步骤是有必要而且绝大部分情况下是必须的。
(五)进一步渗透
如果想获取更多有用价值的信息,需要进行进一步的内网渗透。目前比较常用而且有效的方式是是Sniff抓包。同时也可以查询已渗透的机器上的一些文件,或者打开一些日志文件查看相关信息。
(六)痕迹清楚与撰写渗透测试报告
为了模拟整个攻击的过程和检验网络防护系统的日志报警强度,在渗透工作结束后进行痕迹清除;对信息收集的结果和漏洞测试的结果进行整理,生成网络渗透测试报告。
四、结束语
目前行业中的网络渗透测试技术有很多种,它们分别侧重不同网络层面和不同的渗透目标,如果能将各类测试技术的实施步骤与功能进行有机的结合,形成一个功能全面的有效的测试技术,就可以给网络进行一个全面高效的渗透检测。