论文摘要
渗透测试是检测网络漏洞和网络性能的重要手段,它能使网络管理人员直观地体会到网络漏洞的危害程度和网络的脆弱性,使其增强安全意识,并且能够以检测结果为依据有效提高网络的安全程度。因此,渗透测试技术的研究及工具实现具有重要的意义。拒绝服务攻击是网络安全的重大挑战,也是渗透测试中的重要技术。目前主要的DoS测试工具大多数都是软件版本,这类工具的特点是测试速度快,但是有很强的平台依赖性。在Linux系统上开发的测试工具只能在Linux系统上运行,同样的,对于Windows系统来说也是一样。而且各种不同的测试工具之间不具有兼容性,用户掌握一种测试工具后,不一定能够熟练地使用另外一种。软件版本的测试工具也不易于安装配置,比如在Linux系统下开发的软件很难在Windows系统下使用。用户要做测试时,必须要有与测试工具相应的操作系统,而且能够对其进行熟练的操作。基于以上特点,提出了基于Web方式的DoS渗透测试平台的概念。基于Web方式的测试平台具有很多软件版本平台所不具有的优点。Web方式的测试平台不具有操作系统依赖性,用户不需要安装测试平台,只要使用浏览器就能够使用。相对于软件版本的测试工具,特别是某些需要在特殊系统比如Linux系统上安装的测试工具而言,克服了必须首先对软件进行安装的缺陷。但是由于必须额外装载Web页面,Web方式测试工具最大的缺陷是运行的速度较慢。本文深入介绍了常见的拒绝服务攻击的原理,包括SYN flooding、Smurf、ICMP Flood、UDP Flood等攻击方式。在研究渗透测试平台理论的基础上,实现了一个在Linux服务器上基于Web方式的拒绝服务渗透测试平台。此平台架构用JSP语言编写,给用户提供了一个Web方式的界面。用户可以通过这个平台对自己想测试的主机进行模拟攻击测试。使用Java实现了端口扫描功能,可以在模拟测试前进行端口扫描,增加测试效率。后台拒绝服务渗透数据报的构造和发送用C语言原始套接字实现。为了防止测试平台被滥用,需要纪录用户使用平台的情况。使用了Mysql数据库保存每个用户每次使用平台的信息,比如测试和被测试主机地址等。总之,本论文在研究现有渗透测试平台特点和拒绝服务攻击原理的基础上,提出了一种新的渗透测试攻击平台架构,并实验分析了该架构和原有测试平台在性能和易用性等方面的优缺点。