在當今的分布式計算機領域中,網絡是一種便利的信息交換媒介。然而,隨著互聯(lián)網環(huán)境的快速變化,網絡攻擊問題也日益突出,嚴重影響個人信息的安全性。信息安全已經成為當今社會人們最基本的需求之一,但是計算機本身就帶有不安全屬性。在一個組織機構中,無論其規(guī)模大小,提高計算機基礎設施的安全等級成為了網絡系統(tǒng)管理員的工作內容之一,然而由于網絡安全漏洞的迅速出現,即使一個完全修復過的系統(tǒng)也會存在安全缺陷。雖然管理員可以部署各種安全措施來保護網絡系統(tǒng),但是想要真正保護網絡系統(tǒng)的最佳辦法是執(zhí)行滲透測試。通過滲透測試可以識別網絡基礎設施中潛在的威脅和漏洞,為網絡系統(tǒng)管理員提供一個真實的安全態(tài)勢評估。測試人員會使用與攻擊者相同的手段來滲透目標網絡系統(tǒng),從而驗證目標存在的威脅與漏洞,并幫助其鞏固安全措施。本文首先界定了滲透測試的理論背景,在此基礎上提出了一種基于自由/開源軟件（F/OSS）的滲透測試方法,確保滲透測試的成功執(zhí)行;闡述自由或開源軟件技術,確定并解釋整個滲透測試的過程,模擬網絡系統(tǒng)管理員使用的各種攻擊手段對目標網絡執(zhí)行滲透測試。在測試期間使用了網絡探測工具、端口掃描器、漏洞掃描器和漏洞利用框架等工具。... 

【文章來源】：內蒙古科技大學內蒙古自治區(qū)

【文章頁數】：64 頁

【學位級別】：碩士

【部分圖文】：

滲透測試的分類滲透測試的所有過程都可以用上圖來進行分類

3.2 滲透測試過程滲透測試的過程就像一幅路線圖。為了正確評估系統(tǒng)的安全性，應該非常謹慎的地規(guī)劃。滲透測試應該遵守目標組織的管理規(guī)定，考慮時間期限等方面的問題，分析潛在風險與成本效益。雖然有不同的滲透測試方法可供選擇，但是適用的組織范圍不盡相同。這些方法提供了實際的參考依據，適用于不同的測試類型，一些方法側重于技術方面，而另一些側重于管理方面，很少有能同時解決兩個方面的方法。在規(guī)劃滲透測試過程中可以明確評估責任、成本、有效性與最佳測試等級。如何選擇正確的測試策略取決于多種因素，例如目標環(huán)境、資源可用性、測試人員經驗與業(yè)務目標等等。設計良好的滲透測試過程，可以使測試人員快速完成目標，否則，可能導致測試結果不完整，浪費時間與精力[40]。本節(jié)的內容為后續(xù)章節(jié)提供了理論背景。為了達到滲透測試的目的，設計合適的滲透測試過程是非常必要的。本文后續(xù)將重點介紹滲透測試技術方面的內容，從系統(tǒng)管理員的角度分析并解決安全問題。滲透測試過程如圖 3.1 所示。

4.1 Kali Linux2006 年，一款名為 BackTrack 的 Linux 發(fā)行版應運而生，BackTrack 是基于 UbuntuLinux 發(fā)行版開發(fā)而成的。直到 2013 年，由于其修改系統(tǒng)工程顯得過于龐大，難以達到研發(fā)團隊 Offensive Security 的設計目的，所以替換成 Debian GNU/Linux（Debian是一個致力于創(chuàng)建自由操作系統(tǒng)和軟件的合作組織）作為它的基礎操作系統(tǒng)，后將BackTrack 重新命名為 Kali Linux。Kali Linux 系統(tǒng)旨在執(zhí)行高級滲透測試和安全審計。它可用于執(zhí)行各種信息安全任務，為安全研究人員、滲透測試人員、計算機取證分析師和逆向工程師創(chuàng)建了一個整合的工具集[46~48]，如圖 4.1 所示。Kali Linux 提供了關于所有滲透測試任務的腳本、工具和框架。這也是將 Kali Linux 系統(tǒng)平臺作為研究目標的主要原因之一。本文所涉及的多數工具已經包含在Kali Linux最新的發(fā)行版中。Kali Linux系統(tǒng)完全遵循DebianLinux 系統(tǒng)的開發(fā)標準，可根據測試環(huán)境的需要自定義功能，也可避免工具軟件在安裝與使用過程中的各種 Bug，下面簡述 Kali Linux 的一些特點。

【參考文獻】：
期刊論文
[1]基于Kali Linux的滲透測試方法探析[J]. 林開彬,宋瑜琦,毛錫軍.  福建電腦. 2017(10)
[2]《網絡攻防技術》課程實驗初探[J]. 梁發(fā)洵.  電腦知識與技術. 2017(27)
[3]基于Kali-Linux滲透測試方法的研究與設計[J]. 姚莉,林科辰,鄧丹君.  軟件工程. 2016(09)
[4]利用Kali Linux開展?jié)B透測試[J]. 雷驚鵬,沙有闖.  長春大學學報. 2015(06)
[5]基于Kali Linux的Web滲透測試研究[J]. 徐光.  信息安全與技術. 2015(03)
[6]基于Metasploit框架自動化滲透測試研究[J]. 嚴俊龍.  信息網絡安全. 2013(02)
[7]網絡安全滲透測試研究[J]. 常艷,王冠.  信息網絡安全. 2012(11)

碩士論文
[1]智能化網絡滲透測試系統(tǒng)的設計與研究[D]. 武杰.長春工業(yè)大學 2018
[2]基于網絡安全大數據靶標系統(tǒng)的研究與構建[D]. 徐文濤.戰(zhàn)略支援部隊信息工程大學 2018
[3]基于滲透測試的邏輯漏洞檢測技術研究[D]. 薛楠鳳.電子科技大學 2018
[4]基于網絡爬蟲的Web安全掃描工具的設計與實現[D]. 翟涵.北京郵電大學 2018
[5]網絡攻防考試平臺的設計與實現[D]. 黃景廣.西南石油大學 2017
[6]基于Metasploit框架的滲透測試平臺設計與實現[D]. 王琮.中國科學院大學(中國科學院工程管理與信息技術學院) 2017
[7]漏洞利用自動生成算法的設計與實現[D]. 戴春春.西安電子科技大學 2017
[8]滲透測試管理平臺的設計與實現[D]. 張志乾.山西大學 2017
[9]面向滲透測試的漏洞檢測與攻擊方法[D]. 欒俊超.南京航空航天大學 2017
[10]基于Kali Linux的網絡安全技術探討與研究[D]. 劉倩.吉林大學 2016



本文編號：3231353