马超 张伟佳 张雨 解若一 马杰

摘要：计算机网络渗透测试技术是通过模拟入侵者的攻击思维与攻击方式，对网络系统进行检测，它是网络安全防范最主要的措施之一。本文从计算机网络渗透测试技术出发，来探讨计算机网络渗透测试技术的目的，计算机网络渗透测试技术的特点以及计算机网络渗透测试技术的流程，仅供参考。

关键词：计算机;网络渗透;测试技术

引言：现如今是网络飞速发展的时代，网络在人们的生活当中也变得十分重要。但是在网络发展的同时，网络信息的安全问题也层出不穷。如今黑客对网络攻击的手段越发先进，网络安全的防护手段破解的越来越快，而且对网络信息破坏的效果也越来越严重。对网络信息的保护只靠安全设备是远远不够的，因此就需要利用计算机网络渗透测试技术，对系统中的漏洞进行检测并及时修复，才能更好的对网络信息进行保护。

一、计算机网络渗透测试技术的目的与特点

（一）计算机网络渗透测试技术的目的

计算机网络渗透测试技术是通过模拟入侵者的攻击思维与攻击方式，对目标网络系统进行探测，最后在报告当中反映出系统存在的安全隐患。利用扫描软件与攻击技术对目标网络系统进行攻击，是为了入侵系统，来获取系统当中重要的信息与数据，并将入侵过程当中存在的漏洞进行总结，来编写测试报告。通过测试报告来明确系统当中存在的安全隐患。系统运维工作人员能够通过测试报告，对系统当中安全方面的问题与强度进行明确，对入侵者可能采取的攻击手段进行预知，之后通过对系统的整体完善，提高系统的安全性。

（二）计算机网络渗透测试技术的特点

计算机网络渗透测试技术的特点是，能完全对入侵者的攻击方式进行模拟，其中是以人工渗透为主，扫描工具与攻击工具为辅[1]。在进行计算机网络渗透测试时要确保攻击过程的可控性，要避免对目标网络系统造成破坏。

二、计算机网络渗透测试技术的流程

（一）收集信息

计算机网络渗透测试过程就是对入侵者的攻击进行模拟，最开始就是对目标信息进行收集，从而获得更多的目标信息。在进行网络渗透时要对目标公司的信息数据进行留意，从中找出具有价值意义的数据。例如，目标公司的系统平台，服务器以及物理拓扑等数据进行收集。

（二）地址扫描

在对数据收集结束后，就需要对地址进行扫描。要对目标公司的服务器端口进行扫描与漏洞扫描。在扫描结束以后要通过数据漏洞的报告，并结合目标公司的信息，对目标公司产生的漏洞进行渗透攻击，快速找出渗透点。

（三）选择攻击模式

在找出渗透点以后，要根据整体的实际情况，对缓冲区溢出攻击，SQL注入攻击以及木马攻击进行选择，对目标网络系统进行渗透攻击，获取目标公司系统的权限，从而渗透成功。

三、计算机网络常用的渗透测试技术

（一）端口扫描

在计算机网络系统当中，端口就是计算机的进程地址，数据在到达主机以后，可以根据端口的地址，输送到相应的服务进程。端口扫描就是通过目标地址的端口进行扫描，可以对目标系统的基本信息进行确定，之后在确定目标系统开放的服务类型。测试工作人员在一般情况下，都能对目标系统可能存在的安全隐患进行查找分析，为网络系统的渗透提供基础。

（二）漏洞扫描

漏洞扫描技术是根据已经公布的漏洞数据，通过扫描的方法对系统的安全性进行检查，从而发掘能够利用的漏洞测试渗透行为。漏洞扫描技术比端口扫描技术做的工作更进一步，漏洞扫描技术能够对端口上监听服务进行获取，从而分析出服务与服务版本存在的漏洞。漏洞扫描技术是外部与内部分别进行开展的，外部扫描需要在真实的环境下对网络服务器外部特征进行扫描，检测服务器端口的使用分配，服务提供以及服务版本的安全漏洞。内部扫描是对系统内部的配置缺陷进行检测，从而发现可能被攻击或利用的错误配置。

（三）缓冲区溢出

缓冲区溢出攻击技术，是利用缓冲区溢出的原理进行攻击技术。缓冲区是数据临时存放的区域，缓冲区溢出是向程序缓冲区输出超过缓冲区强度的数据，从而导致了缓冲区的数据的溢出，从而对数据存放的区域造成破坏，使程序无法去执行其他的命令，从而达到对其进行攻击的目的。程序在内存当中主要分别为三个部分包括程序段，数据段与堆栈。程序段存放的是机器码与只读数据，数据段中存放的是静态数据与动态数据。当前的网络当中存在着各种各样的网络安全隐患，缓冲区溢出攻击技术应用的最为普遍[2]。缓冲区溢出攻击技术可以根据溢出发生的位置，将缓冲区溢出分为堆栈溢出，格式化字符攻击与静态数据溢出，其中最具有危险性的溢出就是堆栈溢出，入侵者可以利用堆栈溢出改变函数返回的程序地址，这样不但能使程序运行失败，还能使系统崩溃重启造成严重的后果，甚至能够跳转并执行另一端恶意代码，使非法用户掌握系统的控制权。

（四）SQL注入

SQL注入攻击技术是通过构建SQL语句传入到web的应用程序当中，之后侵入者通过对SQL语句的执行实现攻击操作。其中的原理是系统程序的开发者没有对数据进行合理判断。因此，导致了系统程序存在安全隐患。入侵者在对程序进行攻击时可以提交一段SQL语句查询代码，通过查询的结果来获得相关的数据。SQL注入攻击技术难度不高，但是对系统的危害性极大，甚至一些免费的 SQL注入软件工具就能够很容易对系统程序的漏洞进行攻击。

（五）木马攻击

木马攻击技术是现如今比较常见的网络攻击技术之一，其特点是危害性大，隐蔽性强。木马攻击技术能够对计算机网络信息系统的安全保密程序，产生极大的威胁。木马攻击程序在一般情况下，都是由服务端程序和客户端程序组成。其中服务端程序安装在被入侵者控制的计算机上，客户端程序是安装在入侵者控制的計算机上，服务端程序和客户端程序进行建立连接，就可以远程对被侵入者的计算机进行控制，其危害较大。比较常见的木马工具有特洛伊木马，冰河与灰鸽子。

结论：综上所述，算机网络渗透测试技术是保护网络信息的一种防御手段。计算机网络常用的渗透测试技术主要包括端口扫描技术，漏洞扫描技术，缓冲区溢出攻击技术，SQL注入攻击技术以及木马攻击技术。

参考文献：

[1]黄为. 计算机网络渗透测试技术探究[J]. 网络安全技术与应用，2021，（12）：8-9.

[2]张衍亮. 计算机网络系统渗透测试技术[J]. 电子技术与软件工程，2020，（16）：236-237.