流媒體協(xié)議Fuzzing測(cè)試技術(shù)的研究與實(shí)施.pdf

1、流媒體技術(shù)是當(dāng)今互聯(lián)網(wǎng)上普遍使用的影音數(shù)據(jù)傳輸技術(shù)。采用流媒體技術(shù)可將多媒體信息以數(shù)據(jù)流的方式連續(xù)、不間斷的傳送，用戶不必等到整個(gè)數(shù)據(jù)全部下載完畢，即可實(shí)時(shí)地觀看。流媒體技術(shù)是通過(guò)流媒體協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)流傳輸?shù)?，近年?lái)發(fā)現(xiàn)了很多與流媒體協(xié)議有關(guān)的漏洞，并導(dǎo)致大量攻擊事件的發(fā)生，因此檢測(cè)流媒體協(xié)議的安全性成為測(cè)試人員所面臨的一項(xiàng)重要任務(wù)。
　　 Fuzzing測(cè)試技術(shù)是漏洞挖掘的重要技術(shù)之一。作為黑盒測(cè)試，F(xiàn)uzzing測(cè)試技術(shù)不關(guān)

2、心被測(cè)試對(duì)象的內(nèi)部實(shí)現(xiàn)，利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測(cè)試對(duì)象處理產(chǎn)生異常，從而發(fā)現(xiàn)安全問(wèn)題。將Fuzzing測(cè)試技術(shù)用于流媒體協(xié)議安全性的檢測(cè)，可以更有效地發(fā)現(xiàn)其安全漏洞。
　　 本論文首先簡(jiǎn)要介紹了Fuzzing測(cè)試技術(shù)，討論了五種重要的Fuzzing測(cè)試方法。然后深入分析了流媒體協(xié)議中RTSP協(xié)議的規(guī)約，包括會(huì)話結(jié)構(gòu)、重要方法、主要字段等。根據(jù)RTSP協(xié)議的這些特點(diǎn)，結(jié)合對(duì)已知RTSP協(xié)議漏洞的分析，提出Fuzzing測(cè)試的

3、變異點(diǎn)和變異類型，對(duì)正常的RTSP協(xié)議數(shù)據(jù)包樣本進(jìn)行變異，從而構(gòu)造出用于Fuzzing測(cè)試的數(shù)據(jù)包。最后，利用這些測(cè)試數(shù)據(jù)包對(duì)國(guó)內(nèi)某防火墻產(chǎn)品和某安全網(wǎng)關(guān)產(chǎn)品實(shí)施測(cè)試，共檢測(cè)出RTSP協(xié)議3個(gè)高風(fēng)險(xiǎn)的安全漏洞，均造成被測(cè)產(chǎn)品宕機(jī)或自動(dòng)重啟。
　　 本論文的創(chuàng)新點(diǎn)在于提出了RTSP協(xié)議的變異點(diǎn)和變異類型，并實(shí)際構(gòu)造出Fuzzing測(cè)試的數(shù)據(jù)包。利用這些測(cè)試數(shù)據(jù)包進(jìn)行的實(shí)測(cè)中，發(fā)現(xiàn)被測(cè)產(chǎn)品多個(gè)安全漏洞，具備較高的實(shí)用價(jià)值。經(jīng)過(guò)進(jìn)一步