流媒體協(xié)議Fuzzing測試技術(shù)的研究與實施.pdf

1、流媒體技術(shù)是當(dāng)今互聯(lián)網(wǎng)上普遍使用的影音數(shù)據(jù)傳輸技術(shù)。采用流媒體技術(shù)可將多媒體信息以數(shù)據(jù)流的方式連續(xù)、不間斷的傳送，用戶不必等到整個數(shù)據(jù)全部下載完畢，即可實時地觀看。流媒體技術(shù)是通過流媒體協(xié)議來實現(xiàn)數(shù)據(jù)流傳輸?shù)?，近年來發(fā)現(xiàn)了很多與流媒體協(xié)議有關(guān)的漏洞，并導(dǎo)致大量攻擊事件的發(fā)生，因此檢測流媒體協(xié)議的安全性成為測試人員所面臨的一項重要任務(wù)。
　　 Fuzzing測試技術(shù)是漏洞挖掘的重要技術(shù)之一。作為黑盒測試，F(xiàn)uzzing測試技術(shù)不關(guān)

2、心被測試對象的內(nèi)部實現(xiàn)，利用構(gòu)造畸形的輸入數(shù)據(jù)引發(fā)被測試對象處理產(chǎn)生異常，從而發(fā)現(xiàn)安全問題。將Fuzzing測試技術(shù)用于流媒體協(xié)議安全性的檢測，可以更有效地發(fā)現(xiàn)其安全漏洞。
　　 本論文首先簡要介紹了Fuzzing測試技術(shù)，討論了五種重要的Fuzzing測試方法。然后深入分析了流媒體協(xié)議中RTSP協(xié)議的規(guī)約，包括會話結(jié)構(gòu)、重要方法、主要字段等。根據(jù)RTSP協(xié)議的這些特點，結(jié)合對已知RTSP協(xié)議漏洞的分析，提出Fuzzing測試的

3、變異點和變異類型，對正常的RTSP協(xié)議數(shù)據(jù)包樣本進(jìn)行變異，從而構(gòu)造出用于Fuzzing測試的數(shù)據(jù)包。最后，利用這些測試數(shù)據(jù)包對國內(nèi)某防火墻產(chǎn)品和某安全網(wǎng)關(guān)產(chǎn)品實施測試，共檢測出RTSP協(xié)議3個高風(fēng)險的安全漏洞，均造成被測產(chǎn)品宕機或自動重啟。
　　 本論文的創(chuàng)新點在于提出了RTSP協(xié)議的變異點和變異類型，并實際構(gòu)造出Fuzzing測試的數(shù)據(jù)包。利用這些測試數(shù)據(jù)包進(jìn)行的實測中，發(fā)現(xiàn)被測產(chǎn)品多個安全漏洞，具備較高的實用價值。經(jīng)過進(jìn)一步