《網(wǎng)絡(luò)攻擊與防御》課件第二章 信息收集

第二章信息收集概念 信息收集是指通過各種方式獲取所需要的信息。信息收集是信息得以利用的第一步，也是關(guān)鍵的一步。信息收集工作的好壞，直接關(guān)系到入侵與防御的成功與否。為了保證信息收集的質(zhì)量，應(yīng)堅(jiān)持以下原則： （1）準(zhǔn)確性原則 該原則要求所收集到的信息要真實(shí)，可靠。這是最基本的要求。 （2）全面性原則 該原則要求所搜集到的信息要廣泛，全面完整。 （3）時(shí)效性原則 信息的利用價(jià)值取決于該信息是否能及時(shí)地提供，即它的時(shí)效性。信息只有及時(shí)、迅速地提供給它的使用者才能有效地發(fā)揮作用。信息收集網(wǎng)絡(luò)信息探測(cè)基于whois數(shù)據(jù)庫的信息探測(cè)基于搜索引擎的信息探測(cè)IP所在地理位置的信息探測(cè)域名信息探測(cè)網(wǎng)絡(luò)連通性探測(cè)路由信息探測(cè)局域網(wǎng)信息探測(cè)獲取網(wǎng)絡(luò)信息的方式和工具技術(shù)原理Whois是查詢Internet注冊(cè)信息的標(biāo)準(zhǔn)協(xié)議、服務(wù)，它可提供：網(wǎng)絡(luò)注冊(cè)機(jī)構(gòu)網(wǎng)絡(luò)域名主機(jī)信息網(wǎng)絡(luò)IP地址分配網(wǎng)絡(luò)管理人員信息，如電子郵件、電話號(hào)碼等基于whois數(shù)據(jù)庫的信息探測(cè)Whois查詢方式Unix系統(tǒng)中可使用whois命令通過提供whois服務(wù)的網(wǎng)站/whois.html/常規(guī)信息收集網(wǎng)絡(luò)域名網(wǎng)絡(luò)Ip地址分配使用單位地址中國互聯(lián)網(wǎng)絡(luò)信息中心Whois網(wǎng)站/自動(dòng)檢測(cè)工具Domain查找綁定在IP地址上的所有域名搜索引擎是自動(dòng)從因特網(wǎng)收集信息，經(jīng)過一定整理以后，提供給用戶進(jìn)行查詢的系統(tǒng)。它包括信息搜集、信息整理和用戶查詢?nèi)糠帧Ｖ髁魉阉饕妫篏oogleBaidu天網(wǎng)…基于搜索引擎的信息探測(cè)語法示例我們?cè)贕oogle的搜索框中輸入如下內(nèi)容：site:filetype:asp其中site和filetype就是操作關(guān)鍵符，而和asp就是搜索關(guān)鍵字點(diǎn)擊搜索之后就會(huì)顯示這個(gè)域名的asp網(wǎng)頁鏈接地址Google的高級(jí)搜索功能操作關(guān)鍵符：搜索關(guān)鍵字[空格]操作關(guān)鍵符：搜索關(guān)鍵字…intext:

將網(wǎng)頁中正文中的字符作為搜索條件，例如：輸入“intext:安全”，將搜索出正文里包含“安全”關(guān)鍵字的網(wǎng)頁。allintext:

與intext類似。intitle:

在網(wǎng)頁標(biāo)題中搜索包含關(guān)鍵字的網(wǎng)頁，例如：輸入“intitle:管理”，即可找出網(wǎng)頁標(biāo)題中包含“管理”的網(wǎng)頁。allintitle:

與intitle類似。Google的高級(jí)搜索功能cache:

在google的緩存里搜索，這里可能會(huì)找到很多很有用的東西哦，雖然此刻網(wǎng)頁已經(jīng)刪除，但google服務(wù)器里還保存有。define:

查找詞語的定義，例如：輸入“definehacker”，即可找到“hacker”的相關(guān)定義。filetype:

查找指定類型的網(wǎng)頁，這個(gè)關(guān)鍵字非常有用，例如：輸入“filetype:bak”即可找出文件類型為bak的文件（該文件很可能由各種編輯器自動(dòng)備份產(chǎn)生，有可能找到網(wǎng)站的源碼）；又如，通常黑客會(huì)嘗試下載網(wǎng)站的數(shù)據(jù)庫文件（*.mdb），即可用“filetype:mdb”來搜索，找到數(shù)據(jù)庫文件后直接下載，或許就能得到網(wǎng)站的權(quán)限。info:

查找指定站點(diǎn)的基本信息。inurl:

查找在url中包含搜索詞的網(wǎng)頁，例如：黑客慣用的“inurl:admin”偶爾就能搜索出網(wǎng)站的登錄頁面，從而進(jìn)行下一步的攻擊。link:

搜索與某網(wǎng)站做了鏈接的網(wǎng)頁，例如：輸入“l(fā)ink:”即可搜索出包含有鏈接到“”的網(wǎng)頁（這個(gè)可以用來找出有多少網(wǎng)頁在鏈接你的網(wǎng)站哦）。site:

用于搜索某一域內(nèi)的網(wǎng)頁，例如：輸入“site:”，即可實(shí)現(xiàn)在“”域內(nèi)搜索的目的。還有一些符號(hào)在搜索中也是很有用的：+必須包含有的搜索詞；-不能包含的搜索詞；~搜索同意詞；.單一通配符；*通配符，可匹配多個(gè)字符；“”精確的查詢。intitle:"indexof"etc

intitle:"Indexof".sh_history

intitle:"Indexof".bash_history

intitle:"indexof"passwd

intitle:"indexof"people.lst

intitle:"indexof"pwd.db

intitle:"indexof"etc/shadow

intitle:"indexof"spwd

intitle:"indexof"master.passwd

intitle:"indexof"htpasswd

例1：Googlehackintitle:phpmyadminintext:Createnewdatabaseallinurl:bbsdata

filetype:mdbinurl:database

filetype:incconn

inurl:datafiletype:mdb

intitle:"indexof"data首先用google先看這個(gè)站點(diǎn)的一些基本情況

site:

從返回的信息中，找到二級(jí)域名：

例2：利用Google收集信息和滲透ping一下，先看看有什么好東西沒:

site:filetype:doc

先找找網(wǎng)站的管理后臺(tái)地址：

site:intext:管理

site:inurl:login

site:intitle:管理

獲得2個(gè)管理后臺(tái)地址：

/sys/admin_login.asp

:88/_admin/login_in.asp

看看服務(wù)器上跑的是什么程序：

site:filetype:asp

site:filetype:php

site:filetype:aspx

site:filetype:asp有論壇那就看看能不能遇見什么公共的FTP帳號(hào)什么的：

site:intext:ftp://*:*

再看看有沒有上傳一類的漏洞：

site:inurl:file

site:inurl:load域名：為了方便記憶而專門建立的一套地址轉(zhuǎn)換系統(tǒng)。一個(gè)域名對(duì)應(yīng)一個(gè)IP地址，而多個(gè)域名可以同時(shí)被解析到一個(gè)IP地址。域名解析：域名到IP地址的轉(zhuǎn)換過程。域名解析服務(wù)器：DNS—DomainNameSystem。域名信息探測(cè)技術(shù)兩種模式：交互式和非交互式。非交互式模式：Nslookup–DNS服務(wù)器或IP地址Nslookup>?//查看helpNslookupNslookupsetquerytype=anyxxx.xxx

#輸入域名后根據(jù)輸出內(nèi)容找到dns服務(wù)器primarynameserver=ns1.xxx.xxx.xxxserverns1.xxx.xxx.xxx#連接DNS服務(wù)器ls-dxxx.xxx通過nslookup獲得子域名概念 路由跟蹤就是從本地開始到達(dá)某一目標(biāo)地址所經(jīng)過的路由設(shè)備，并顯示出這些路由設(shè)備的IP、連接時(shí)間等信息。作用：如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點(diǎn)，方便維護(hù)人員的維護(hù)工作。對(duì)于“黑客”來說，這是個(gè)很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對(duì)于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。tracert：用IP生存時(shí)間TTL字段和ICMP錯(cuò)誤消息來確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。路由信息探測(cè)技術(shù)網(wǎng)絡(luò)連通性探測(cè)--ping作用和特點(diǎn)用來判斷目標(biāo)是否活動(dòng)；最常用；最簡單的探測(cè)手段；Ping程序一般是直接實(shí)現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個(gè)用戶進(jìn)程。原理Type=8Type=0ping類型為8，表示“回響請(qǐng)求”類型為0，表示“回響應(yīng)答”主機(jī)在線情況主機(jī)不應(yīng)答情況1）主機(jī)不在線2）防火墻阻斷ICMP探測(cè)ping表示5機(jī)器不在線；或者防火墻阻斷。舉例1：Replyfrom0:bytes=32time<1msTTL=32Replyfrom0表示回應(yīng)ping的ip地址是0。bytes=32表示回應(yīng)報(bào)文的大小，這里是32字節(jié)。time<1ms表示回應(yīng)所花費(fèi)的時(shí)間，小于1毫秒。TTL=32，TTL是生存時(shí)間，報(bào)文經(jīng)過一個(gè)路由器就減1，如果減到0就會(huì)被拋棄。這里是32。TTL判斷操作系統(tǒng)LINUXKernel2.2.x&2.4.xICMP回顯應(yīng)答的TTL字段值為64FreeBSD4.1,4.0,3.4SunSolaris2.5.1,2.6,2.7,2.8OpenBSD2.6,2.7,NetBSDHPUX10.20ICMP回顯應(yīng)答的TTL字段值為255Windows95/98/98SEWindowsMEICMP回顯應(yīng)答的TTL字段值為32WindowsNT4WRKSWindowsNT4ServerWindows2000WindowsXPICMP回