馬超 張偉佳 張雨 解若一 馬杰

摘要：計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)是通過(guò)模擬入侵者的攻擊思維與攻擊方式，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè)，它是網(wǎng)絡(luò)安全防范最主要的措施之一。本文從計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)出發(fā)，來(lái)探討計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)的目的，計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)的特點(diǎn)以及計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)的流程，僅供參考。

關(guān)鍵詞：計(jì)算機(jī);網(wǎng)絡(luò)滲透;測(cè)試技術(shù)

引言：現(xiàn)如今是網(wǎng)絡(luò)飛速發(fā)展的時(shí)代，網(wǎng)絡(luò)在人們的生活當(dāng)中也變得十分重要。但是在網(wǎng)絡(luò)發(fā)展的同時(shí)，網(wǎng)絡(luò)信息的安全問(wèn)題也層出不窮。如今黑客對(duì)網(wǎng)絡(luò)攻擊的手段越發(fā)先進(jìn)，網(wǎng)絡(luò)安全的防護(hù)手段破解的越來(lái)越快，而且對(duì)網(wǎng)絡(luò)信息破壞的效果也越來(lái)越嚴(yán)重。對(duì)網(wǎng)絡(luò)信息的保護(hù)只靠安全設(shè)備是遠(yuǎn)遠(yuǎn)不夠的，因此就需要利用計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)，對(duì)系統(tǒng)中的漏洞進(jìn)行檢測(cè)并及時(shí)修復(fù)，才能更好的對(duì)網(wǎng)絡(luò)信息進(jìn)行保護(hù)。

一、計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)的目的與特點(diǎn)

（一）計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)的目的

計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)是通過(guò)模擬入侵者的攻擊思維與攻擊方式，對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)進(jìn)行探測(cè)，最后在報(bào)告當(dāng)中反映出系統(tǒng)存在的安全隱患。利用掃描軟件與攻擊技術(shù)對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，是為了入侵系統(tǒng)，來(lái)獲取系統(tǒng)當(dāng)中重要的信息與數(shù)據(jù)，并將入侵過(guò)程當(dāng)中存在的漏洞進(jìn)行總結(jié)，來(lái)編寫測(cè)試報(bào)告。通過(guò)測(cè)試報(bào)告來(lái)明確系統(tǒng)當(dāng)中存在的安全隱患。系統(tǒng)運(yùn)維工作人員能夠通過(guò)測(cè)試報(bào)告，對(duì)系統(tǒng)當(dāng)中安全方面的問(wèn)題與強(qiáng)度進(jìn)行明確，對(duì)入侵者可能采取的攻擊手段進(jìn)行預(yù)知，之后通過(guò)對(duì)系統(tǒng)的整體完善，提高系統(tǒng)的安全性。

（二）計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)的特點(diǎn)

計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)的特點(diǎn)是，能完全對(duì)入侵者的攻擊方式進(jìn)行模擬，其中是以人工滲透為主，掃描工具與攻擊工具為輔[1]。在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試時(shí)要確保攻擊過(guò)程的可控性，要避免對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)造成破壞。

二、計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)的流程

（一）收集信息

計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試過(guò)程就是對(duì)入侵者的攻擊進(jìn)行模擬，最開始就是對(duì)目標(biāo)信息進(jìn)行收集，從而獲得更多的目標(biāo)信息。在進(jìn)行網(wǎng)絡(luò)滲透時(shí)要對(duì)目標(biāo)公司的信息數(shù)據(jù)進(jìn)行留意，從中找出具有價(jià)值意義的數(shù)據(jù)。例如，目標(biāo)公司的系統(tǒng)平臺(tái)，服務(wù)器以及物理拓?fù)涞葦?shù)據(jù)進(jìn)行收集。

（二）地址掃描

在對(duì)數(shù)據(jù)收集結(jié)束后，就需要對(duì)地址進(jìn)行掃描。要對(duì)目標(biāo)公司的服務(wù)器端口進(jìn)行掃描與漏洞掃描。在掃描結(jié)束以后要通過(guò)數(shù)據(jù)漏洞的報(bào)告，并結(jié)合目標(biāo)公司的信息，對(duì)目標(biāo)公司產(chǎn)生的漏洞進(jìn)行滲透攻擊，快速找出滲透點(diǎn)。

（三）選擇攻擊模式

在找出滲透點(diǎn)以后，要根據(jù)整體的實(shí)際情況，對(duì)緩沖區(qū)溢出攻擊，SQL注入攻擊以及木馬攻擊進(jìn)行選擇，對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)進(jìn)行滲透攻擊，獲取目標(biāo)公司系統(tǒng)的權(quán)限，從而滲透成功。

三、計(jì)算機(jī)網(wǎng)絡(luò)常用的滲透測(cè)試技術(shù)

（一）端口掃描

在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中，端口就是計(jì)算機(jī)的進(jìn)程地址，數(shù)據(jù)在到達(dá)主機(jī)以后，可以根據(jù)端口的地址，輸送到相應(yīng)的服務(wù)進(jìn)程。端口掃描就是通過(guò)目標(biāo)地址的端口進(jìn)行掃描，可以對(duì)目標(biāo)系統(tǒng)的基本信息進(jìn)行確定，之后在確定目標(biāo)系統(tǒng)開放的服務(wù)類型。測(cè)試工作人員在一般情況下，都能對(duì)目標(biāo)系統(tǒng)可能存在的安全隱患進(jìn)行查找分析，為網(wǎng)絡(luò)系統(tǒng)的滲透提供基礎(chǔ)。

（二）漏洞掃描

漏洞掃描技術(shù)是根據(jù)已經(jīng)公布的漏洞數(shù)據(jù)，通過(guò)掃描的方法對(duì)系統(tǒng)的安全性進(jìn)行檢查，從而發(fā)掘能夠利用的漏洞測(cè)試滲透行為。漏洞掃描技術(shù)比端口掃描技術(shù)做的工作更進(jìn)一步，漏洞掃描技術(shù)能夠?qū)Χ丝谏媳O(jiān)聽服務(wù)進(jìn)行獲取，從而分析出服務(wù)與服務(wù)版本存在的漏洞。漏洞掃描技術(shù)是外部與內(nèi)部分別進(jìn)行開展的，外部掃描需要在真實(shí)的環(huán)境下對(duì)網(wǎng)絡(luò)服務(wù)器外部特征進(jìn)行掃描，檢測(cè)服務(wù)器端口的使用分配，服務(wù)提供以及服務(wù)版本的安全漏洞。內(nèi)部掃描是對(duì)系統(tǒng)內(nèi)部的配置缺陷進(jìn)行檢測(cè)，從而發(fā)現(xiàn)可能被攻擊或利用的錯(cuò)誤配置。

（三）緩沖區(qū)溢出

緩沖區(qū)溢出攻擊技術(shù)，是利用緩沖區(qū)溢出的原理進(jìn)行攻擊技術(shù)。緩沖區(qū)是數(shù)據(jù)臨時(shí)存放的區(qū)域，緩沖區(qū)溢出是向程序緩沖區(qū)輸出超過(guò)緩沖區(qū)強(qiáng)度的數(shù)據(jù)，從而導(dǎo)致了緩沖區(qū)的數(shù)據(jù)的溢出，從而對(duì)數(shù)據(jù)存放的區(qū)域造成破壞，使程序無(wú)法去執(zhí)行其他的命令，從而達(dá)到對(duì)其進(jìn)行攻擊的目的。程序在內(nèi)存當(dāng)中主要分別為三個(gè)部分包括程序段，數(shù)據(jù)段與堆棧。程序段存放的是機(jī)器碼與只讀數(shù)據(jù)，數(shù)據(jù)段中存放的是靜態(tài)數(shù)據(jù)與動(dòng)態(tài)數(shù)據(jù)。當(dāng)前的網(wǎng)絡(luò)當(dāng)中存在著各種各樣的網(wǎng)絡(luò)安全隱患，緩沖區(qū)溢出攻擊技術(shù)應(yīng)用的最為普遍[2]。緩沖區(qū)溢出攻擊技術(shù)可以根據(jù)溢出發(fā)生的位置，將緩沖區(qū)溢出分為堆棧溢出，格式化字符攻擊與靜態(tài)數(shù)據(jù)溢出，其中最具有危險(xiǎn)性的溢出就是堆棧溢出，入侵者可以利用堆棧溢出改變函數(shù)返回的程序地址，這樣不但能使程序運(yùn)行失敗，還能使系統(tǒng)崩潰重啟造成嚴(yán)重的后果，甚至能夠跳轉(zhuǎn)并執(zhí)行另一端惡意代碼，使非法用戶掌握系統(tǒng)的控制權(quán)。

（四）SQL注入

SQL注入攻擊技術(shù)是通過(guò)構(gòu)建SQL語(yǔ)句傳入到web的應(yīng)用程序當(dāng)中，之后侵入者通過(guò)對(duì)SQL語(yǔ)句的執(zhí)行實(shí)現(xiàn)攻擊操作。其中的原理是系統(tǒng)程序的開發(fā)者沒有對(duì)數(shù)據(jù)進(jìn)行合理判斷。因此，導(dǎo)致了系統(tǒng)程序存在安全隱患。入侵者在對(duì)程序進(jìn)行攻擊時(shí)可以提交一段SQL語(yǔ)句查詢代碼，通過(guò)查詢的結(jié)果來(lái)獲得相關(guān)的數(shù)據(jù)。SQL注入攻擊技術(shù)難度不高，但是對(duì)系統(tǒng)的危害性極大，甚至一些免費(fèi)的 SQL注入軟件工具就能夠很容易對(duì)系統(tǒng)程序的漏洞進(jìn)行攻擊。

（五）木馬攻擊

木馬攻擊技術(shù)是現(xiàn)如今比較常見的網(wǎng)絡(luò)攻擊技術(shù)之一，其特點(diǎn)是危害性大，隱蔽性強(qiáng)。木馬攻擊技術(shù)能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全保密程序，產(chǎn)生極大的威脅。木馬攻擊程序在一般情況下，都是由服務(wù)端程序和客戶端程序組成。其中服務(wù)端程序安裝在被入侵者控制的計(jì)算機(jī)上，客戶端程序是安裝在入侵者控制的計(jì)算機(jī)上，服務(wù)端程序和客戶端程序進(jìn)行建立連接，就可以遠(yuǎn)程對(duì)被侵入者的計(jì)算機(jī)進(jìn)行控制，其危害較大。比較常見的木馬工具有特洛伊木馬，冰河與灰鴿子。

結(jié)論：綜上所述，算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)是保護(hù)網(wǎng)絡(luò)信息的一種防御手段。計(jì)算機(jī)網(wǎng)絡(luò)常用的滲透測(cè)試技術(shù)主要包括端口掃描技術(shù)，漏洞掃描技術(shù)，緩沖區(qū)溢出攻擊技術(shù)，SQL注入攻擊技術(shù)以及木馬攻擊技術(shù)。

參考文獻(xiàn)：

[1]黃為. 計(jì)算機(jī)網(wǎng)絡(luò)滲透測(cè)試技術(shù)探究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021，（12）：8-9.

[2]張衍亮. 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)滲透測(cè)試技術(shù)[J]. 電子技術(shù)與軟件工程，2020，（16）：236-237.