網(wǎng)絡(luò)攻防技術(shù) 第2章 信息收集

第二章信息收集技術(shù)章節(jié)安排2.1信息收集概述2.2公開信息收集2.3網(wǎng)絡(luò)掃描2.4漏洞掃描2.5網(wǎng)絡(luò)拓?fù)涮綔y2.1信息收集概述信息收集是指黑客為了更加有效地實(shí)施攻擊而在攻擊前或攻擊過程中對目標(biāo)的所有探測活動(dòng)。信息收集技術(shù)是一把雙刃劍黑客需要收集信息，才能有效的實(shí)施攻擊管理員使用信息收集技術(shù)可以發(fā)現(xiàn)系統(tǒng)的弱點(diǎn)？信息收集的內(nèi)容是什么？哪些信息對攻擊是有意義的、是攻擊者（當(dāng)然也是網(wǎng)絡(luò)管理員）所關(guān)心的？2.1信息收集概述信息收集的內(nèi)容域名和IP地址防火墻、入侵檢測等安全防范措施內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、域組織、用戶電子郵件操作系統(tǒng)類型端口系統(tǒng)構(gòu)架敏感文件或目錄應(yīng)用程序類型……2.2公開信息收集利用Web服務(wù)利用搜索引擎服務(wù)利用WhoIs服務(wù)利用DNS域名服務(wù)公開信息收集方法的應(yīng)用2.2公開信息收集1.利用Web服務(wù)網(wǎng)站擁有者信息郵編、地址論壇版本號(hào)網(wǎng)絡(luò)管理員郵箱公司人員名單、電話、郵箱…………社會(huì)工程學(xué)2.2公開信息收集得到對應(yīng)的IP地址利用DNS服務(wù)器：提供域名到IP地址的映射pingReplyfrom2time=11msTTL=24522.2公開信息收集獲取目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)鋱DIP分配表子域名網(wǎng)絡(luò)設(shè)備，安全設(shè)施…………2.2公開信息收集某大學(xué)校園網(wǎng)架構(gòu)2.2公開信息收集2.利用搜索引擎服務(wù)-googlehacking共同特點(diǎn)：利用公開信息服務(wù)收集信息信息是公開的海量的信息中很多都是敏感的信息2.2公開信息收集搜索引擎搜索引擎為我們提供了在WEB檢索信息的功能。它在互聯(lián)網(wǎng)收集網(wǎng)站摘要信息的同時(shí)，也收集了許多隱蔽信息。GoogleHacking就是利用搜索引擎強(qiáng)大的搜索功能，選用搜索語法和特殊的搜索關(guān)鍵字，將隱藏在目標(biāo)網(wǎng)站中的不恰當(dāng)配置信息和后門信息找出來。2.2公開信息收集基本語法And與OR或+強(qiáng)制包含搜索項(xiàng)- 非，去掉搜索項(xiàng)““包含一個(gè)完整的語義.單個(gè)通配符*任意通配符2.2公開信息收集天龍八部2.2公開信息收集天龍八部佛教–金庸2.2公開信息收集高級(jí)操作符site:搜索具體服務(wù)器或域名的網(wǎng)頁filetype:搜索特定類型的文件intitle:搜索網(wǎng)頁標(biāo)題inurl:搜索URLintext:搜索正文link:搜索連接到指定網(wǎng)頁的網(wǎng)頁2.2公開信息收集site:2.2公開信息收集“googlehacking”filetype:pdfFiletype所支持的文件類型AdobePortableDocumentFormat(pdf)AdobePostScript(ps)Lotus1-2-3(wk1,wk2,wk3,wk4,wk5,wki,wks,wku)LotusWordPro(lwp)MacWrite(mw)MicrosoftExcel(xls)MicrosoftPowerPoint(ppt)MicrosoftWord(doc)MicrosoftWorks(wks,wps,wdb)MicrosoftWrite(wri)RichTextFormat(rtf)Text(ans,txt)高級(jí)操作符：allintitleallintitle:googlehacking高級(jí)操作符：allinurlallinurl:googlehacking高級(jí)操作符：linklink:2.2公開信息收集GoogleHacking可以做到……搜索密碼文件搜索管理員后臺(tái)URL搜索web應(yīng)用漏洞搜索黑客留下的后門…………2.2公開信息收集例

直接利用googlehacking搜索破解網(wǎng)站后臺(tái)2.2公開信息收集inurl:/inc+conn.aspsite:/wwwroot2/inc/ParentDirectoryadmin.aspw_js/home_mdb.asp/w_js/home.mdb2.2公開信息收集ZoomEyeShodan2.2公開信息收集3.WhoIs服務(wù)功能：查詢已注冊域名的擁有者信息域名登記人信息聯(lián)系電話和郵箱域名注冊時(shí)間和更新時(shí)間權(quán)威DNS的IP地址使用方法：SamSpade等網(wǎng)絡(luò)實(shí)用工具EXAMPLES2.2公開信息收集利用網(wǎng)站獲得Whois數(shù)據(jù)國外的who.is：https://who.is/

站長之家：/愛站：/

微步：/企業(yè)的備案信息（中國）天眼查：/

ICP備案查詢網(wǎng)：/

國家企業(yè)信用信息公示系統(tǒng)：/index.html

2.2公開信息收集利用的whois服務(wù)，輸入,得到如下信息：DomainNameSINA.COMRegistrarNETWORKSOLUTIONS,INC.WhoisServerReferralURLNameServerNS1.SINA.COM.CNNameServerNS2.SINA.COM.CNStatusREGISTRARAR-LOCKUpdatedDate26-nov-2014CreationDate16-sep-1998ExpirationDate15-sep-20192.2公開信息收集

利用的whois服務(wù)，輸入某主機(jī)的地址：88,得到以下結(jié)果（部分）：inetnum-55netnameZZIET-CNdescrZhengzhouInstituteofElectronicTechnologydescrZhengzhou,Henan450002,ChinacountryCNpersonZiyuanLiaddressZhengzhouInstituteofElectronicTechnologyphone+863717437964e-mailcyhu@changedszhu@199609112.2公開信息收集4.利有DNS域名服務(wù)DNS：提供域名到IP地址的映射權(quán)威DNS——主DNSCache-OnlyDNS——副DNS區(qū)域傳送（Zonetransfer）：允許一個(gè)輔域名服務(wù)器更新自己的區(qū)域數(shù)據(jù)如果DNS配置不當(dāng)，可能造成內(nèi)部主機(jī)名和IP地址對的泄漏2.2公開信息收集使用Nslookup可查到域名服務(wù)器地址和IP地址，以及域名服務(wù)器的傳輸內(nèi)容DNS禁止探測DNS允許探測2.2公開信息收集5.公開信息收集方法的應(yīng)用社會(huì)工程學(xué)：利用受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段。從同學(xué)錄中尋找目標(biāo)在論壇、聊天室設(shè)“釣魚”陷阱通過簡歷收集信息利用搜索引擎進(jìn)行數(shù)據(jù)挖掘網(wǎng)站出售注冊信息2.3網(wǎng)絡(luò)掃描主機(jī)掃描端口掃描系統(tǒng)類型掃描（1）主機(jī)掃描主機(jī)掃描——PingSweepingPingPing使用ICMP協(xié)議進(jìn)行工作（1）主機(jī)掃描ICMP協(xié)議負(fù)責(zé)差錯(cuò)的報(bào)告與控制。比如目標(biāo)不可達(dá)，路由重定向等等ICMP報(bào)文格式類型域(type)用來指明該ICMP報(bào)文的類型代碼域(code)確定該包具體作用

081631

類型

代碼

校驗(yàn)和

其他字段（不同的類型可能不一樣）

數(shù)據(jù)區(qū)……

數(shù)據(jù)ICMP包頭IP包頭MAC幀頭（1）主機(jī)掃描名稱類型ICMPDestinationUnreachable（目標(biāo)不可達(dá)）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（時(shí)間戳）13/14ICMPAddressMaskRequest/Reply（子網(wǎng)掩碼）17/18ICMPEchoRequest/Reply（響應(yīng)請求/應(yīng)答）8/0常用的ICMP報(bào)文（1）主機(jī)掃描Ping的實(shí)現(xiàn)機(jī)制向目標(biāo)主機(jī)發(fā)送ICMPEchoRequest(type8)數(shù)據(jù)包，等待回復(fù)的ICMPEchoReply包(type0)。數(shù)據(jù)區(qū)包含了一些隨機(jī)測試數(shù)據(jù)，如”ABCDEFG….”等（1）主機(jī)掃描注意：根據(jù)RFC的定義，TCP/IP協(xié)議棧應(yīng)該支持各種類型的ICMP報(bào)文。但事實(shí)上，在各個(gè)操作系統(tǒng)具體實(shí)現(xiàn)TCP/IP時(shí)，可能并沒有完全遵循RFC標(biāo)準(zhǔn)。（1）主機(jī)掃描高級(jí)IP掃描技術(shù)異常的IP包頭在IP頭中設(shè)置無效的字段值錯(cuò)誤的數(shù)據(jù)分片參考：高級(jí)IP掃描技術(shù)及原理介紹，/content/12/0705/20/1030755_222484335.shtml（1）主機(jī)掃描在IP頭中設(shè)置無效的字段值向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過濾設(shè)備會(huì)反饋ICMPParameterProblemError信息。常見的偽造錯(cuò)誤字段為HeaderLengthField和IPOptionsField。（2）高級(jí)IP掃描技術(shù)錯(cuò)誤的數(shù)據(jù)分片向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值，目標(biāo)主機(jī)或過濾設(shè)備會(huì)反饋ICMPDestinationUnreachable信息。（2）端口掃描端口是通信的通道端口分為TCP端口與UDP端口因此，端口掃描可分類為TCP掃描UDP掃描目標(biāo)主機(jī)的開放端口信息－入侵通道（2）端口掃描基本掃描用Socket開發(fā)TCP應(yīng)用服務(wù)器端客戶端（2）端口掃描connect()函數(shù)intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);當(dāng)connect返回0時(shí)，連接成功基本的掃描方法即TCPConnect掃描優(yōu)點(diǎn)實(shí)現(xiàn)簡單可以用普通用戶權(quán)限執(zhí)行缺點(diǎn)容易被目標(biāo)應(yīng)用日志所記錄（2）端口掃描隱秘掃描服務(wù)器端客戶端connect（2）端口掃描TCP的連接建立過程客戶機(jī)服務(wù)器發(fā)送SYN

seq=x

接收SYN報(bào)文

發(fā)送SYNseq=y,ACKack=x+1

接收SYN+ACK

發(fā)送ACKack=y+1

接受ACK報(bào)文段

（2）端口掃描SYN掃描客戶機(jī)服務(wù)器發(fā)送SYN

seq=x

接收SYN報(bào)文

發(fā)送SYNseq=y,ACKack=x+1

接收SYN+ACK

如果接收到SYN+ACK，表明服務(wù)器端口可連接如果服務(wù)器端口打開，則返回SYN+ACK（2）端口掃描SYN掃描的實(shí)現(xiàn)WinSock2接口RawSock方式，允許自定義IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);（2）端口掃描SYN掃描的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：一般不會(huì)被目標(biāo)主機(jī)的應(yīng)用所記錄缺點(diǎn)：運(yùn)行RawSocket時(shí)必須擁有管理員權(quán)限（2）端口掃描其它的隱秘掃描？TCP包頭標(biāo)志位01631源端口

目的端口

序列號(hào)

確認(rèn)號(hào)

HLEN

保留

標(biāo)志位

窗口

校驗(yàn)和

緊急指針

選項(xiàng)

填充

數(shù)據(jù)

保留保留UrgentpointACKPUSHRESETSYNFIN（2）端口掃描

直接發(fā)送FIN報(bào)文，會(huì)如何？對FIN報(bào)文的回復(fù)TCP標(biāo)準(zhǔn)關(guān)閉的端口——返回RST報(bào)文打開的端口——忽略BSD操作系統(tǒng)與TCP標(biāo)準(zhǔn)一致其他操作系統(tǒng)均返回RST報(bào)文（2）端口掃描優(yōu)點(diǎn)不會(huì)被記錄到日志可以繞過某些防火墻netstat命令不會(huì)顯示——netstate命令只能顯示TCP連接或連接的嘗試缺點(diǎn)使用RAWIP編程，實(shí)現(xiàn)起來相對比較復(fù)雜不同操作系統(tǒng)結(jié)果不同，因此不完全可信（2）端口掃描其它隱秘端口掃描技術(shù)還有TCPnull,XmasTCPWindowTCPACKFTPProxyidleIP分段掃描（2）端口掃描常用的端口掃描工具UNIX下的端口掃描工具NmapWindows下的端口掃描工具SuperScanNmapforNT（3）系統(tǒng)類型掃描1.端口掃描結(jié)果分析

由于現(xiàn)代操作系統(tǒng)往往提供一些自身特有的功能，而這些功能又很可能打開一些特定的端口WINDOWS9X：137、139WINDOWS2000/XP：135、139、445135——LocationService137——NetBIOSNameService(UDP)139——NetBIOSFileandPrintSharing各種UNIX：512-514、2049（3）系統(tǒng)類型掃描應(yīng)用程序BANNER服務(wù)程序接收到客戶端的正常連接后所給出的歡迎信息（3）系統(tǒng)類型掃描（3）系統(tǒng)類型掃描TCP/IP協(xié)議棧指紋不同的操作系統(tǒng)在實(shí)現(xiàn)TCP/IP協(xié)議棧時(shí)都或多或少地存在著差異。而這些差異，我們就稱之為TCP/IP協(xié)議棧指紋。不同的操作系統(tǒng)在實(shí)現(xiàn)TCP/IP協(xié)議棧的時(shí)候，并不是完全按照RFC所定義的標(biāo)準(zhǔn)來實(shí)現(xiàn)的在RFC中也沒有對所有的問題給予精確的定義

TCP包頭中的指紋源端口

目的端口

序列號(hào)

確認(rèn)號(hào)

頭長度

保留

比特位

窗口

校驗(yàn)和

緊急指針

選項(xiàng)

填充

數(shù)據(jù)

0 16 31ISNACKBOGUS標(biāo)記位初始化窗口值TCP選項(xiàng)值IP包頭中的指紋

版本

頭長

服務(wù)類型

總長度

標(biāo)識(shí)符

標(biāo)志

分片偏移

生存時(shí)間

協(xié)議頭部校驗(yàn)和

源IP地址

目的IP地址

IP選項(xiàng)（可以選擇）

填充

數(shù)據(jù)

……

08162431標(biāo)記生存時(shí)間TOSTCP/IP協(xié)議棧指紋關(guān)于如何用協(xié)議棧指紋的方法確定操作系統(tǒng)類型，請參閱Fyodor寫的：《使用TCP/IP協(xié)議棧指紋進(jìn)行遠(yuǎn)程操作系統(tǒng)辨識(shí)》協(xié)議棧指紋探測工具Checkos,byShokQueso,bySavageNmap,byFyodor2.4漏洞掃描漏洞掃描：指利用一些專門或綜合漏洞掃描程序?qū)δ繕?biāo)存在的系統(tǒng)漏洞或應(yīng)用程序漏洞進(jìn)行掃描。漏洞掃描的缺陷：(1)報(bào)告并不一定可靠(2)易暴露目標(biāo)通用專用漏洞掃描工具

漏洞信息的公開可以讓系統(tǒng)管理員更有針對性地對自己管理的系統(tǒng)進(jìn)行配置和管理。另外，也可以促使提供軟件或硬件的廠商更快地解決問題。通用漏洞披露BugTraq漏洞數(shù)據(jù)庫ICAT漏洞數(shù)據(jù)庫CERT/CC漏洞信息數(shù)據(jù)庫X-Force數(shù)據(jù)庫中國“國家漏洞庫”

CVE（CommonVulnerabilities&Exposures，通用漏洞披露）。BugTraq是由SecurityFocus公司維護(hù)的一個(gè)關(guān)于計(jì)算機(jī)安全漏洞詳細(xì)信息討論的郵件列表，討論內(nèi)容包括漏洞的描述、漏洞的滲透方法以及漏洞的修補(bǔ)方法等。ICAT是由美國標(biāo)準(zhǔn)技術(shù)研究所（NationalInstituteofStandardTechnology，NIST）維護(hù)的一個(gè)CVE兼容的漏洞信息檢索索引。CERT/CC漏洞數(shù)據(jù)庫也是一個(gè)CVE兼容的數(shù)據(jù)庫?？梢酝ㄟ^名字、ID號(hào)、CVE名字、公布日期、更新日期、嚴(yán)重性等方法檢索漏洞信息X-Force數(shù)據(jù)庫由ISS公司維護(hù)，是一個(gè)比較全面的漏洞信息數(shù)據(jù)庫?；谥袊膰?，中國建立了自己的漏洞庫，即“國家漏洞庫”。2.4漏洞掃描

漏洞檢測就是對重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。該技術(shù)通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進(jìn)行檢查；主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。2.4漏洞掃描漏洞檢測的主要方法：直接測試、推斷和帶憑證的測試。直接測試是指利用漏洞特點(diǎn)發(fā)現(xiàn)系統(tǒng)漏洞的方法。直接測試的特點(diǎn)：通常用于對Web服務(wù)器漏洞、拒絕服務(wù)（DoS）漏洞進(jìn)行檢測。能夠準(zhǔn)確地判斷系統(tǒng)是否存在特定漏洞。對于滲透所需步驟較多的漏洞速度較慢。攻擊性較強(qiáng)，可能對存在漏洞的系統(tǒng)造成破壞。對于DoS漏洞，測試方法會(huì)造成系統(tǒng)崩潰。不是所有漏洞的信息都能通過直接測試方法獲得。

2.4漏洞掃描

推斷

推斷是指不利用系統(tǒng)漏洞而判斷漏洞是否存在的方法。它并不直接滲透漏洞，只是間接地尋找漏洞存在的證據(jù)。采用推斷方法的檢測手段主要有版本檢查、程序行為分析、操作系統(tǒng)堆棧指紋