在當(dāng)今的分布式計(jì)算機(jī)領(lǐng)域中,網(wǎng)絡(luò)是一種便利的信息交換媒介。然而,隨著互聯(lián)網(wǎng)環(huán)境的快速變化,網(wǎng)絡(luò)攻擊問題也日益突出,嚴(yán)重影響個(gè)人信息的安全性。信息安全已經(jīng)成為當(dāng)今社會人們最基本的需求之一,但是計(jì)算機(jī)本身就帶有不安全屬性。在一個(gè)組織機(jī)構(gòu)中,無論其規(guī)模大小,提高計(jì)算機(jī)基礎(chǔ)設(shè)施的安全等級成為了網(wǎng)絡(luò)系統(tǒng)管理員的工作內(nèi)容之一,然而由于網(wǎng)絡(luò)安全漏洞的迅速出現(xiàn),即使一個(gè)完全修復(fù)過的系統(tǒng)也會存在安全缺陷。雖然管理員可以部署各種安全措施來保護(hù)網(wǎng)絡(luò)系統(tǒng),但是想要真正保護(hù)網(wǎng)絡(luò)系統(tǒng)的最佳辦法是執(zhí)行滲透測試。通過滲透測試可以識別網(wǎng)絡(luò)基礎(chǔ)設(shè)施中潛在的威脅和漏洞,為網(wǎng)絡(luò)系統(tǒng)管理員提供一個(gè)真實(shí)的安全態(tài)勢評估。測試人員會使用與攻擊者相同的手段來滲透目標(biāo)網(wǎng)絡(luò)系統(tǒng),從而驗(yàn)證目標(biāo)存在的威脅與漏洞,并幫助其鞏固安全措施。本文首先界定了滲透測試的理論背景,在此基礎(chǔ)上提出了一種基于自由/開源軟件（F/OSS）的滲透測試方法,確保滲透測試的成功執(zhí)行;闡述自由或開源軟件技術(shù),確定并解釋整個(gè)滲透測試的過程,模擬網(wǎng)絡(luò)系統(tǒng)管理員使用的各種攻擊手段對目標(biāo)網(wǎng)絡(luò)執(zhí)行滲透測試。在測試期間使用了網(wǎng)絡(luò)探測工具、端口掃描器、漏洞掃描器和漏洞利用框架等工具。... 

【文章來源】：內(nèi)蒙古科技大學(xué)內(nèi)蒙古自治區(qū)

【文章頁數(shù)】：64 頁

【學(xué)位級別】：碩士

【部分圖文】：

滲透測試的分類滲透測試的所有過程都可以用上圖來進(jìn)行分類

3.2 滲透測試過程滲透測試的過程就像一幅路線圖。為了正確評估系統(tǒng)的安全性，應(yīng)該非常謹(jǐn)慎的地規(guī)劃。滲透測試應(yīng)該遵守目標(biāo)組織的管理規(guī)定，考慮時(shí)間期限等方面的問題，分析潛在風(fēng)險(xiǎn)與成本效益。雖然有不同的滲透測試方法可供選擇，但是適用的組織范圍不盡相同。這些方法提供了實(shí)際的參考依據(jù)，適用于不同的測試類型，一些方法側(cè)重于技術(shù)方面，而另一些側(cè)重于管理方面，很少有能同時(shí)解決兩個(gè)方面的方法。在規(guī)劃滲透測試過程中可以明確評估責(zé)任、成本、有效性與最佳測試等級。如何選擇正確的測試策略取決于多種因素，例如目標(biāo)環(huán)境、資源可用性、測試人員經(jīng)驗(yàn)與業(yè)務(wù)目標(biāo)等等。設(shè)計(jì)良好的滲透測試過程，可以使測試人員快速完成目標(biāo)，否則，可能導(dǎo)致測試結(jié)果不完整，浪費(fèi)時(shí)間與精力[40]。本節(jié)的內(nèi)容為后續(xù)章節(jié)提供了理論背景。為了達(dá)到滲透測試的目的，設(shè)計(jì)合適的滲透測試過程是非常必要的。本文后續(xù)將重點(diǎn)介紹滲透測試技術(shù)方面的內(nèi)容，從系統(tǒng)管理員的角度分析并解決安全問題。滲透測試過程如圖 3.1 所示。

4.1 Kali Linux2006 年，一款名為 BackTrack 的 Linux 發(fā)行版應(yīng)運(yùn)而生，BackTrack 是基于 UbuntuLinux 發(fā)行版開發(fā)而成的。直到 2013 年，由于其修改系統(tǒng)工程顯得過于龐大，難以達(dá)到研發(fā)團(tuán)隊(duì) Offensive Security 的設(shè)計(jì)目的，所以替換成 Debian GNU/Linux（Debian是一個(gè)致力于創(chuàng)建自由操作系統(tǒng)和軟件的合作組織）作為它的基礎(chǔ)操作系統(tǒng)，后將BackTrack 重新命名為 Kali Linux。Kali Linux 系統(tǒng)旨在執(zhí)行高級滲透測試和安全審計(jì)。它可用于執(zhí)行各種信息安全任務(wù)，為安全研究人員、滲透測試人員、計(jì)算機(jī)取證分析師和逆向工程師創(chuàng)建了一個(gè)整合的工具集[46~48]，如圖 4.1 所示。Kali Linux 提供了關(guān)于所有滲透測試任務(wù)的腳本、工具和框架。這也是將 Kali Linux 系統(tǒng)平臺作為研究目標(biāo)的主要原因之一。本文所涉及的多數(shù)工具已經(jīng)包含在Kali Linux最新的發(fā)行版中。Kali Linux系統(tǒng)完全遵循DebianLinux 系統(tǒng)的開發(fā)標(biāo)準(zhǔn)，可根據(jù)測試環(huán)境的需要自定義功能，也可避免工具軟件在安裝與使用過程中的各種 Bug，下面簡述 Kali Linux 的一些特點(diǎn)。

【參考文獻(xiàn)】：
期刊論文
[1]基于Kali Linux的滲透測試方法探析[J]. 林開彬,宋瑜琦,毛錫軍.  福建電腦. 2017(10)
[2]《網(wǎng)絡(luò)攻防技術(shù)》課程實(shí)驗(yàn)初探[J]. 梁發(fā)洵.  電腦知識與技術(shù). 2017(27)
[3]基于Kali-Linux滲透測試方法的研究與設(shè)計(jì)[J]. 姚莉,林科辰,鄧丹君.  軟件工程. 2016(09)
[4]利用Kali Linux開展?jié)B透測試[J]. 雷驚鵬,沙有闖.  長春大學(xué)學(xué)報(bào). 2015(06)
[5]基于Kali Linux的Web滲透測試研究[J]. 徐光.  信息安全與技術(shù). 2015(03)
[6]基于Metasploit框架自動化滲透測試研究[J]. 嚴(yán)俊龍.  信息網(wǎng)絡(luò)安全. 2013(02)
[7]網(wǎng)絡(luò)安全滲透測試研究[J]. 常艷,王冠.  信息網(wǎng)絡(luò)安全. 2012(11)

碩士論文
[1]智能化網(wǎng)絡(luò)滲透測試系統(tǒng)的設(shè)計(jì)與研究[D]. 武杰.長春工業(yè)大學(xué) 2018
[2]基于網(wǎng)絡(luò)安全大數(shù)據(jù)靶標(biāo)系統(tǒng)的研究與構(gòu)建[D]. 徐文濤.戰(zhàn)略支援部隊(duì)信息工程大學(xué) 2018
[3]基于滲透測試的邏輯漏洞檢測技術(shù)研究[D]. 薛楠鳳.電子科技大學(xué) 2018
[4]基于網(wǎng)絡(luò)爬蟲的Web安全掃描工具的設(shè)計(jì)與實(shí)現(xiàn)[D]. 翟涵.北京郵電大學(xué) 2018
[5]網(wǎng)絡(luò)攻防考試平臺的設(shè)計(jì)與實(shí)現(xiàn)[D]. 黃景廣.西南石油大學(xué) 2017
[6]基于Metasploit框架的滲透測試平臺設(shè)計(jì)與實(shí)現(xiàn)[D]. 王琮.中國科學(xué)院大學(xué)(中國科學(xué)院工程管理與信息技術(shù)學(xué)院) 2017
[7]漏洞利用自動生成算法的設(shè)計(jì)與實(shí)現(xiàn)[D]. 戴春春.西安電子科技大學(xué) 2017
[8]滲透測試管理平臺的設(shè)計(jì)與實(shí)現(xiàn)[D]. 張志乾.山西大學(xué) 2017
[9]面向滲透測試的漏洞檢測與攻擊方法[D]. 欒俊超.南京航空航天大學(xué) 2017
[10]基于Kali Linux的網(wǎng)絡(luò)安全技術(shù)探討與研究[D]. 劉倩.吉林大學(xué) 2016



本文編號：3231353