Web方式DoS滲透測試平臺的設計與實現(xiàn).pdf

1、滲透測試是檢測網(wǎng)絡漏洞和網(wǎng)絡性能的重要手段，它能使網(wǎng)絡管理人員直觀地體會到網(wǎng)絡漏洞的危害程度和網(wǎng)絡的脆弱性，使其增強安全意識，并且能夠以檢測結果為依據(jù)有效提高網(wǎng)絡的安全程度。因此，滲透測試技術的研究及工具實現(xiàn)具有重要的意義。 拒絕服務攻擊是網(wǎng)絡安全的重大挑戰(zhàn)，也是滲透測試中的重要技術。目前主要的DoS測試工具大多數(shù)都是軟件版本，這類工具的特點是測試速度快，但是有很強的平臺依賴性。在Linux系統(tǒng)上開發(fā)的測試工具只能在Linux系

2、統(tǒng)上運行，同樣的，對于Windows系統(tǒng)來說也是一樣。而且各種不同的測試工具之間不具有兼容性，用戶掌握一種測試工具后，不一定能夠熟練地使用另外一種。軟件版本的測試工具也不易于安裝配置，比如在Linux系統(tǒng)下開發(fā)的軟件很難在Windows系統(tǒng)下使用。用戶要做測試時，必須要有與測試工具相應的操作系統(tǒng)，而且能夠對其進行熟練的操作。 基于以上特點，提出了基于Web方式的DoS滲透測試平臺的概念。基于Web方式的測試平臺具有很多軟件版本平

3、臺所不具有的優(yōu)點。Web方式的測試平臺不具有操作系統(tǒng)依賴性，用戶不需要安裝測試平臺，只要使用瀏覽器就能夠使用。相對于軟件版本的測試工具，特別是某些需要在特殊系統(tǒng)比如Linux系統(tǒng)上安裝的測試工具而言，克服了必須首先對軟件進行安裝的缺陷。但是由于必須額外裝載Web頁面，Web方式測試工具最大的缺陷是運行的速度較慢。 本文深入介紹了常見的拒絕服務攻擊的原理，包括SYN flooding、Smurf、ICMP Flood、UDP Fl

4、ood等攻擊方式。在研究滲透測試平臺理論的基礎上，實現(xiàn)了一個在Linux服務器上基于Web方式的拒絕服務滲透測試平臺。此平臺架構用JSP語言編寫，給用戶提供了一個Web方式的界面。用戶可以通過這個平臺對自己想測試的主機進行模擬攻擊測試。使用Java實現(xiàn)了端口掃描功能，可以在模擬測試前進行端口掃描，增加測試效率。后臺拒絕服務滲透數(shù)據(jù)報的構造和發(fā)送用C語言原始套接字實現(xiàn)。為了防止測試平臺被濫用，需要紀錄用戶使用平臺的情況。使用了Mysql數(shù)