網(wǎng)絡(luò)攻防原理與技術(shù) 第3版 教案 -第4講 網(wǎng)絡(luò)偵查技術(shù)

內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第四講網(wǎng)絡(luò)偵查技術(shù)目的要求：了解網(wǎng)絡(luò)偵察的主要內(nèi)容；掌握網(wǎng)絡(luò)偵查的常用方法；掌握網(wǎng)絡(luò)掃描的主要技術(shù)；了解網(wǎng)絡(luò)偵察的防御方法。重點難點：網(wǎng)絡(luò)偵查的常用方法；網(wǎng)絡(luò)掃描的主要技術(shù)。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學內(nèi)容:一、網(wǎng)絡(luò)偵查概述根據(jù)MITREATT&CK模型，網(wǎng)絡(luò)偵察行為可分為10種。1）主動掃描（ActiveScanning）主動掃描是指通過網(wǎng)絡(luò)流量主動探測目標網(wǎng)絡(luò)基礎(chǔ)設(shè)施相關(guān)的信息，包括：掃描目標IP地址塊（ScanningIPBlocks）中的所有IP地址來收集信息（如在線的主機、開放的網(wǎng)絡(luò)端口、系統(tǒng)指紋等），漏洞掃描（VulnerabilityScanning，發(fā)現(xiàn)目標主機/設(shè)備上存在的已知安全漏洞），詞表掃描（WordlistScanning）。詞表掃描中的詞表內(nèi)容通常包括通用的、常用的名字、文件擴展名或與特定軟件有關(guān)的詞匯（term）。2）收集目標主機信息（GatherVictimHostInformation）主機信息主要涉及主機的管理和配置，包括：目標硬件平臺（Hardware）信息、軟件（Software）信息、固件（Firmware）信息、客戶機配置（ClientConfiguration）信息。3）收集目標身份信息（GatherVictimIdentityInformation）目標身份信息包括個人信息（如姓名，Email地址，住址、電話等聯(lián)系信息等）以及敏感的身份認證信息，如賬號憑證（credentials）。4）收集目標網(wǎng)絡(luò)信息（GatherVictimNetworkInformation）網(wǎng)絡(luò)信息主要包括：域名信息（DomainProperties），如域名稱、域名注冊人及聯(lián)系人的電子郵件、電話、通信地址等聯(lián)系信息、名字服務(wù)器等；DNS信息，包括注冊的域名服務(wù)器及服務(wù)器中的域名記錄；網(wǎng)絡(luò)可信相關(guān)方信息（NetworkTrustDependencies）；網(wǎng)絡(luò)拓撲信息（Topology）；網(wǎng)絡(luò)安全應(yīng)用（NetworkSecurityAppliances）信息，如防火墻、內(nèi)容過濾設(shè)備、代理/堡壘主機等安全設(shè)備的部署信息。5）收集目標組織信息（GatherVictimOrgInformation）目標組織信息主要涉及分部/部門信息、商業(yè)運行信息、關(guān)鍵雇員的角色及分工等，具體包括：物理位置（PhysicalLocations），通過物理位置可以推斷該組織的關(guān)鍵資源和信息技術(shù)基礎(chǔ)設(shè)施所在的地理位置、行政區(qū)域等信息；業(yè)務(wù)關(guān)系（BusinessRelationships），利用一個組織與其二級或第三方合作伙伴（如受管理的服務(wù)提供商、承包商等）之間的關(guān)系信息，一方面可以利用與組織網(wǎng)絡(luò)互聯(lián)的合作伙伴的網(wǎng)絡(luò)進入組織的網(wǎng)絡(luò)，另一方面通過這些信息可以進一步了解該組織的軟硬件資源的供應(yīng)鏈和運輸路徑；業(yè)務(wù)活動時間（IdentifyBusinessTempo），如每周的工作日以及每天的工作時間；人員角色信息（IdentifyRoles），如關(guān)鍵員工的角色（職務(wù)）以及這些角色能夠訪問的數(shù)據(jù)/資源權(quán)限等。6）信息釣魚（PhishingforInformation）信息釣魚是指向目標發(fā)送釣魚消息，誘騙目標泄露一些對后續(xù)攻擊有用的信息。與釣魚攻擊（Phishing）不同的是，信息釣魚的目的是從受害者那里收集數(shù)據(jù)，而不是執(zhí)行惡意代碼。7）搜索閉源資源（SearchClosedSources）攻擊方有時需要從一些閉源資源（ClosedSources）中搜索、收集與攻擊目標有關(guān)的信息，例如：從威脅情報服務(wù)提供商（ThreatIntelVendors）購買數(shù)據(jù)；從可信的私有資源和數(shù)據(jù)庫提供商付費訂購相關(guān)技術(shù)情報數(shù)據(jù)，當然有時也會從不可信渠道（如暗網(wǎng)、網(wǎng)絡(luò)黑市）購買情報數(shù)據(jù)。8）搜索公開技術(shù)數(shù)據(jù)庫（SearchOpenTechnicalDatabases）互聯(lián)網(wǎng)上有大量公開（開源）的數(shù)據(jù)庫或數(shù)據(jù)查詢服務(wù)，從這些公開數(shù)據(jù)庫中可以搜索、整理出大量有價值的目標相關(guān)信息，例如查詢DNS服務(wù)器、WHOIS數(shù)據(jù)庫、公共數(shù)字證書（DigitalCertificates）數(shù)據(jù)、CDN（ContentDeliveryNetwork）數(shù)據(jù)。此外，互聯(lián)網(wǎng)上還有很多發(fā)布互聯(lián)網(wǎng)掃描/調(diào)查結(jié)果的在線服務(wù)，通過它們可以查詢到很多與目標有關(guān)的信息。9）搜索公開網(wǎng)站/域（SearchOpenWebsites/Domains）從公開可訪問的網(wǎng)站/域中搜索與目標有關(guān)的信息，如求職網(wǎng)站、社交媒體（SocialMedia）、搜索引擎（SearchEngines，如百度、Google、ZoomEye、Shodan）、代碼庫（CodeRepositories，如GitHub、GitLab、SourceForge、BitBucket）。10）搜索攻擊目標的網(wǎng)站（SearchVictim-OwnedWebsites）攻擊目標自己的網(wǎng)站常常包含大量有價值的信息，例如公司的組織架構(gòu)（部門及名稱）、地理位置、關(guān)鍵員工信息（姓名、職務(wù)、聯(lián)系方式、權(quán)力等信息）、業(yè)務(wù)信息、合作伙伴信息等。這些信息對于實施網(wǎng)絡(luò)滲透、社會工程學攻擊具有重要意義。二、信息收集方法（一）搜索引擎信息收集對網(wǎng)絡(luò)偵察而言，要想提高搜索引擎在網(wǎng)絡(luò)偵察中的利用效率和查詢精度，攻擊者需要更加明確地向搜索引擎表達需要檢索的內(nèi)容。下面讓我們來看看百度檢索中幾個常用的命令和操作符。1.intitle:[檢索條件]用途：用于檢索標題中含有特定文本（檢索條件）的頁面。如果在搜索框中輸入關(guān)鍵詞，只要是頁面中含有這個關(guān)鍵詞，這些頁面都會被搜索出來，而使用intitle命令，則僅返回標題中有這個關(guān)鍵詞的網(wǎng)頁。2.site:[域]用途：返回與特定域相關(guān)的檢索結(jié)果。域的層次沒有限制，可以是具體的域，如，也可以是如.edu、.org等頂級域。3.filetype:[文件后綴]用途：檢索特定類型的文件，比如PPT,PPTX,DOC,DOCX,XLS,XLSX,PDF等。4.link:[Web頁面]用途：給出和指定Web頁面相鏈接的站點。通過這個命令可以快速查找與目標站點有業(yè)務(wù)關(guān)系的網(wǎng)站。5.inurl:[關(guān)鍵詞]用途：限定在URL中搜索。通常情況下，任何網(wǎng)站的URL都不是隨意設(shè)置的，而是含有一定用意，并且URL鏈接和網(wǎng)頁內(nèi)容密切相關(guān)?？梢岳眠@種相關(guān)性來縮小搜索范圍，快速準確地找到所需信息。6.cache:[關(guān)鍵詞]用途：顯示來自Baidu快照的頁面內(nèi)容。用于查找最近被移出或當前不可用的頁面。很多時候會把各種檢索命令和操作符組合起來，用于查找與特定目標有關(guān)的有用信息。如果要在互聯(lián)網(wǎng)上搜索主機、服務(wù)器、攝像頭、打印機、路由器等設(shè)備，則需要使用專用的搜索引擎，典型代表有Shodan（撒旦，其名字取自風靡一時的電腦游戲SystemShock中的邪惡主機，官網(wǎng)http://www.shodan.io），ZoomEye(鐘馗之眼，官網(wǎng))和FOFA（官網(wǎng)/）。Shodan搜索對象分為網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)系統(tǒng)、banner信息關(guān)鍵字等四類。網(wǎng)絡(luò)設(shè)備又分為網(wǎng)絡(luò)連接設(shè)備和網(wǎng)絡(luò)應(yīng)用設(shè)備。網(wǎng)絡(luò)連接設(shè)備是指將網(wǎng)絡(luò)各個部分連接成一個整體的設(shè)備，主要包括：Hub（集線器）、Modem（調(diào)制解調(diào)器）、Switch（交換機）、Router（路由器）、Gateway（網(wǎng)關(guān)）、Server（各種網(wǎng)絡(luò)服務(wù)器）。網(wǎng)絡(luò)應(yīng)用設(shè)備是指供助因特網(wǎng)提供的服務(wù)，實現(xiàn)了特定設(shè)計功能的設(shè)備，常見的有打印機（printer）、攝像頭（netcam）、智能電視（TV）以及工業(yè)生產(chǎn)領(lǐng)域大量使用的傳感器、控制單元等。網(wǎng)絡(luò)服務(wù)是指網(wǎng)絡(luò)提供的各種服務(wù)，如FTP、HTTP、Apache、IIS等。網(wǎng)絡(luò)系統(tǒng)既包括操作系統(tǒng)（如Windows，Linux，Solaris，AIX等），也包括工業(yè)生產(chǎn)領(lǐng)域廣泛使用的各類控制系統(tǒng)，如數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SupervisoryControlAndDataAcquisition,SCADA）、分散控制系統(tǒng)（DistributedControlSystem,DCS）\配電網(wǎng)管理系統(tǒng)（DistributionManagementSystem，DMS）等。Banner信息關(guān)鍵字類搜索對象是指用戶分析Shodan搜索返回的banner后，將其中的關(guān)鍵字作為搜索對象，如弱口令（defaultpassword）、匿名登錄（anonymouslogin）、管理員（admin）、HTTP報頭（如HTTP200OK）等。Shodan搜索的工作原理：Shodan服務(wù)器從所有已分配的IP地址中任選一個，然后嘗試通過不同端口與其建立IP連接。在此過程中，Shodan服務(wù)器記錄那些返回banner信息的目的主機，并將返回的banner信息寫入數(shù)據(jù)庫。Banner信息是指服務(wù)器在向客戶機提供服務(wù)前，告知客戶機關(guān)于本機提供相關(guān)網(wǎng)絡(luò)服務(wù)的系統(tǒng)及軟件信息，以便客戶機更好地與服務(wù)器建立會話。WHOIS查詢在互聯(lián)網(wǎng)上建立網(wǎng)站服務(wù)器、電子郵件服務(wù)器或其他服務(wù)時，需要向相關(guān)機構(gòu)注冊域名以方便用戶訪問。相關(guān)的注冊資料，比如域名、個人聯(lián)系方式、IP地址、機構(gòu)地址等會被保存到若干個WHOIS數(shù)據(jù)庫和DNS數(shù)據(jù)庫中，這些數(shù)據(jù)庫由注冊機構(gòu)和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施組織所維護。攻擊者可以通過查詢WHOIS數(shù)據(jù)庫獲取目標站點的注冊信息，然后利用這些信息進行后續(xù)攻擊。早期可以從域名注冊機構(gòu)的WHOIS數(shù)據(jù)庫中查詢該域名的上述很多信息，如管理人和技術(shù)人員聯(lián)系信息（郵箱、電話、地址等）。出于安全和隱私保護的原因，現(xiàn)在絕大多數(shù)WHOIS數(shù)據(jù)庫，不再向非授權(quán)用戶提供域名的詳細信息，并且很多時候需要在其網(wǎng)站上注冊才能進行查詢。另外，還可以查詢某個域名所對應(yīng)的IP地址分配情況，也可以對某個IP地址進行查詢以獲得擁有該IP地址的機構(gòu)信息。獲取IP地址或地址段是進行精確網(wǎng)絡(luò)掃描的基礎(chǔ)。除了通過各WHOIS數(shù)據(jù)庫維護方的網(wǎng)站上查詢域名信息外，還可以通過各種工具查詢WHOIS數(shù)據(jù)庫。Windows和Linux操作系統(tǒng)中均有相關(guān)的WHOIS查詢命令。例如，WHOISCL是Windows下的命令行版本的WHOIS數(shù)據(jù)庫查詢工具；Linux下也可以安裝WHOIS工具。這些工具一般都支持用戶添加WHOIS服務(wù)器，以支持更多的域名后綴的查詢。DNS信息查詢DNS是一個分布式數(shù)據(jù)庫系統(tǒng)，以層次結(jié)構(gòu)來存儲IP地址、域名和郵件服務(wù)器等信息。根據(jù)DNS的層次結(jié)構(gòu)，DNS命名空間也被分割成多個區(qū)域，各個區(qū)分別保存一個或多個DNS域的名稱信息。域名服務(wù)器中的資源記錄（ResourceRecord,RR）包含和域名相關(guān)的各項數(shù)據(jù)。資源記錄包含很多種類，但常用的是Internet類（IN類），這種類包含多種不同的數(shù)據(jù)類型，如A類表示“由域名獲得IPv4地址記錄”，AAAA類表示“由域名獲得IPv6地址記錄”，MX類表示“域內(nèi)郵件服務(wù)器地址記錄”，NS類表示“域內(nèi)權(quán)威域名服務(wù)器地址記錄”。通常域名查詢解析操作由多個DNS服務(wù)器提供，從而提供高可用性和容錯性。大多數(shù)DNS系統(tǒng)的運行至少需要兩臺DNS服務(wù)器：一臺主服務(wù)器和一臺用來容錯的輔助服務(wù)器。DNS服務(wù)器之間通過復制數(shù)據(jù)庫文件來進行同步，這一過程稱為“區(qū)域傳送（ZoneTransfer）”。對于支持區(qū)域傳送的目標DNS設(shè)施，攻擊者可以利用這個操作獲取目標DNS上的有用信息，域內(nèi)所有主機域名及其對應(yīng)的IP地址。使用區(qū)域傳送查詢DNS信息最常用的工具是nslookup，Windows系統(tǒng)和大多數(shù)Linux系統(tǒng)都支持這個命令。執(zhí)行區(qū)域傳送，必須使用“server[dns_server]”指定目標的主DNS服務(wù)器或輔助DNS服務(wù)器，然后使用“settype=ANY”命令為查詢指定某種類型的記錄，最后通過“l(fā)s–d[domain]”來請求目標域的DNS信息并將結(jié)果在屏幕上顯示出來。需要說明的是，目前很多域名服務(wù)器已經(jīng)對DNS區(qū)域傳送進行了防御（禁止或限制請求來源）。網(wǎng)絡(luò)拓撲發(fā)現(xiàn)查明目標網(wǎng)絡(luò)的拓撲結(jié)構(gòu)有利于找到目標網(wǎng)絡(luò)的關(guān)鍵節(jié)點（例如路由器），從而提高攻擊效率，達到最大攻擊效果。我們一般通過Traceroute工具來跟蹤TCP/IP數(shù)據(jù)包從出發(fā)點到目的地所經(jīng)過路徑來構(gòu)建目標網(wǎng)絡(luò)拓撲結(jié)構(gòu)。Traceroute是一種網(wǎng)絡(luò)故障診斷和獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)的工具，通過發(fā)送小的數(shù)據(jù)包到目的設(shè)備直到接收到返回信息，來測量耗時，并返回設(shè)備的名稱和地址；通過向目的地發(fā)送不同生存時間（TTL）的ICMP報文來確定到達目的地的路由。針對目標網(wǎng)絡(luò)中的若干IP地址或域名（這些目標可以來自之前的WHOIS查詢和DNS查詢結(jié)果）進行路由查詢，即可以分析出目標網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。目前有不少圖形化的分析工具用來輔助分析路由查詢結(jié)果并構(gòu)建拓撲結(jié)構(gòu)，例如VisualRoute（/）等。利用社交網(wǎng)絡(luò)獲取信息社交網(wǎng)絡(luò)已經(jīng)構(gòu)成了一組巨大的網(wǎng)民信息“大數(shù)據(jù)”，這些數(shù)據(jù)是了解攻擊目標的重要情報來源。社交網(wǎng)絡(luò)被認為擁有獲取情報的天然優(yōu)勢。通過社交網(wǎng)絡(luò)，可以挖掘出一個人的社會關(guān)系、朋友、敵人、工作、思維風格、喜好、厭惡、銀行信息等，而這些信息對于網(wǎng)絡(luò)攻擊非常有幫助。利用社交網(wǎng)絡(luò)進行情報搜集的方法可分為關(guān)注“用戶”、關(guān)注“信息”和引導用戶參與三種。1）關(guān)注“用戶”。主要是利用社交網(wǎng)絡(luò)的交互性特點，利用社交網(wǎng)絡(luò)與想要關(guān)注的團體和個人建立聯(lián)系，從中套取攻擊目標有關(guān)的信息。2）關(guān)注“信息”。從社交網(wǎng)絡(luò)上流動的海量信息中提取有用情報。針對社交網(wǎng)絡(luò)的海量信息，搜集提取需要的信息內(nèi)容，并運用先進的分析技術(shù)，特別是人工智能算法，對海量信息進行處理。3）主動邀請和引導社交網(wǎng)用戶參與及建議。通過互動了解目標的相關(guān)信息，例如進行網(wǎng)絡(luò)調(diào)查問卷等。利用Web網(wǎng)站獲取信息Web站點通常會包含其組織機構(gòu)的詳盡信息，例如組織結(jié)構(gòu)、員工名單、日程安排等。有經(jīng)驗的攻擊者一般會仔細瀏覽目標對象的Web站點，查找自己感興趣的信息。Web站點上可能被攻擊者利用來攻擊的比較有代表性的信息有：1）站點架構(gòu)。一些站點會對其系統(tǒng)架構(gòu)進行描述，這類信息往往能夠給攻擊帶來便利。2）聯(lián)系方式。企業(yè)員工的電話號碼、郵箱地址、家庭住址等信息對于社會工程學非常有用。3）招聘信息。招聘信息往往會暴露公司需要哪方面的人才。4）公司文化。大多數(shù)機構(gòu)的Web站點常常會披露機構(gòu)的組織結(jié)構(gòu)、會議安排、重要公告、工作日程、工作地點、產(chǎn)品資料等等，這些都可以用來進行社會工程學攻擊。5）商業(yè)伙伴。可以了解公司的業(yè)務(wù)關(guān)系，對于公司的某些敏感信息很可能從其安全管理薄弱的合作伙伴那里取得。開源情報收集公開資源情報計劃（OpenSourceIntelligence,OSINT）是美國中央情報局（CIA）最早啟用的一種情報搜集手段，后泛指從各種公開的信息資源（如，報紙、電臺、電視等新聞媒體，研究機構(gòu)發(fā)布的研究報告，專家評論，論文，公開數(shù)據(jù)集，網(wǎng)站等）中尋找和獲取有價值的情報，簡稱為“開源情報收集”。在網(wǎng)絡(luò)攻防領(lǐng)域，開源情報收集是一種重要的網(wǎng)絡(luò)偵察手段，對于掌握攻擊目標信息，有針對性地制定作戰(zhàn)方案具有重要意義。開源情報涉及大量的情報類型和收集工具，JustinNordine建立的開源情報收集框架（OSINTframework）包含了大量的開源情報及其收集工具鏈接，框架官網(wǎng)地址/。網(wǎng)絡(luò)掃描（一）基本概念網(wǎng)絡(luò)掃描技術(shù)，簡單來說，就是對特定目標進行各種試探性通信，以獲取目標信息的行為。網(wǎng)絡(luò)掃描的方法和手段種類多樣，攻擊者通過網(wǎng)絡(luò)掃描主要可以達成以下幾種目的。（1）判斷目標主機的工作狀態(tài)，即判斷目標主機是否聯(lián)網(wǎng)并處于開機狀態(tài)。（2）判斷目標主機的端口工作狀態(tài)，即端口處于監(jiān)聽還是處于關(guān)閉的狀態(tài)。（3）判斷目標主機的操作系統(tǒng)類型。通過遠程掃描可以大致判斷目標主機運行的是Windows操作系統(tǒng)、Linux操作系統(tǒng)，還是Solaris、IBMAIX等其他類型的操作系統(tǒng)。攻擊者攻擊時所采用的方法與目標主機的操作系統(tǒng)緊密聯(lián)系。（4）判斷目標主機可能存在的安全漏洞。向目標主機發(fā)送精心設(shè)計的探測數(shù)據(jù)包，根據(jù)目標主機的響應(yīng)，能夠判斷出目標主機存在的安全漏洞。主機發(fā)現(xiàn)、端口掃描、操作系統(tǒng)識別和漏洞掃描是網(wǎng)絡(luò)掃描的四種主要類型。（二）主機發(fā)現(xiàn)根據(jù)所采用的網(wǎng)絡(luò)協(xié)議不同，主機發(fā)現(xiàn)技術(shù)可以劃分為兩類，一類是基于ICMP協(xié)議的主機發(fā)現(xiàn)，另一類是基于IP協(xié)議的主機發(fā)現(xiàn)。利用ICMP協(xié)議進行主機發(fā)現(xiàn)的最簡單方法是使用ping命令。ping命令在網(wǎng)絡(luò)中廣泛使用，可以說是使用最頻繁的網(wǎng)絡(luò)命令。ping命令的作用是檢查一臺主機網(wǎng)絡(luò)連接情況，其實質(zhì)上是發(fā)送ICMP回送請求，根據(jù)是否收到對方主機的回答來判斷對方是否是一臺處于工作中的聯(lián)網(wǎng)主機。除了回送請求之外，ICMP其他類型的查詢報文也可以用于主機發(fā)現(xiàn)。例如，向某個IP地址發(fā)送地址掩碼請求，并收到了回答，那么可以斷定該IP地址對應(yīng)于網(wǎng)絡(luò)中的一臺存活主機。向目標IP地址發(fā)送以ping命令為代表的ICMP查詢報文是進行主機發(fā)現(xiàn)的一種簡單易行的方法，但是這種方法存在一個嚴重缺陷。如果發(fā)送請求后沒有接收到回答，不能簡單地推斷沒有與該IP地址對應(yīng)的存活主機。原因在于大部分防火墻會對ICMP查詢報文進行過濾，查詢報文無法到達目標主機。因此，沒有接收到與ICMP查詢報文對應(yīng)的回答，無法確定是防火墻對ICMP查詢報文進行了過濾，還是網(wǎng)絡(luò)中沒有與IP地址對應(yīng)的存活主機?；贗P協(xié)議進行主機發(fā)現(xiàn)往往可以避免防火墻的影響，此類主機發(fā)現(xiàn)技術(shù)將向目標IP地址發(fā)送精心設(shè)計的IP數(shù)據(jù)包，誘使與目標IP地址對應(yīng)的存活主機反饋ICMP差錯報告報文，暴露自己的存活狀態(tài)。在這類主機發(fā)現(xiàn)技術(shù)中，一種較為常用的方法是發(fā)送首部異常的IP數(shù)據(jù)包。TCP/IP體系結(jié)構(gòu)中，IP數(shù)據(jù)包的頭首部包括了版本、首部長度、服務(wù)類型、總長度、協(xié)議、首部校驗和等多個字段，大部分字段的格式和內(nèi)容都有嚴格要求。如果將一些值隨意填入數(shù)據(jù)包的頭首部，則接收數(shù)據(jù)包的主機在對數(shù)據(jù)包進行檢查時往往會報錯，將會向IP數(shù)據(jù)包的源主機返回“參數(shù)有問題”的ICMP差錯報告報文。（三）端口掃描攻擊者在主機發(fā)現(xiàn)的基礎(chǔ)上，可以進一步獲取主機信息以便進行網(wǎng)絡(luò)攻擊。對于網(wǎng)絡(luò)主機而言，每一個處于監(jiān)聽狀態(tài)的端口都與網(wǎng)絡(luò)服務(wù)緊密聯(lián)系，都是潛在的入侵通道。端口掃描技術(shù)能夠使攻擊者掌握主機上所有端口的工作狀態(tài)，進而推斷主機上開放了哪些網(wǎng)絡(luò)服務(wù)，為更為高效精準的進行網(wǎng)絡(luò)攻擊奠定基礎(chǔ)。端口掃描的基本原理是向目標主機的所有或者需要掃描的特定端口發(fā)送特殊的數(shù)據(jù)包，若該端口對應(yīng)的網(wǎng)絡(luò)服務(wù)對外提供該服務(wù)就會返回信息，掃描器通過分析其返回的信息以此判斷目標主機端口的服務(wù)狀態(tài)，發(fā)現(xiàn)特定主機提供了哪些服務(wù)，進而利用服務(wù)的漏洞對網(wǎng)絡(luò)系統(tǒng)進行攻擊。目前，根據(jù)使用的協(xié)議，主要有二類端口掃描技術(shù)：TCP掃描、UDP掃描（早期還有FTP代理掃描，現(xiàn)已很少使用）。為了應(yīng)對復雜的網(wǎng)絡(luò)情況，特別是目標網(wǎng)絡(luò)中的安全防護系統(tǒng)，如防火墻、入侵檢測系統(tǒng)，大多數(shù)網(wǎng)絡(luò)掃描工具均支持多種掃描技術(shù)進行掃描。TCP協(xié)議由于具有面向連接、通信傳輸可靠的優(yōu)點，HTTP服務(wù)、FTP服務(wù)、SMTP服務(wù)等很多重要的網(wǎng)絡(luò)服務(wù)都是以其作為通信基礎(chǔ)。對于TCP端口的掃描，最直接有效的方法是利用TCP連接的建立過程。主機上的一個TCP端口，如果能夠通過三次握手與其建立TCP連接，那么可以斷定該端口處于監(jiān)聽狀態(tài)，或者說是開放的。對于目的主機上的待掃描TCP端口，TCP全連接掃描技術(shù)嘗試通過與端口建立完整的TCP連接，根據(jù)連接建立的成敗推斷端口的工作狀態(tài)。各種類型的網(wǎng)絡(luò)編程語言都能夠?qū)崿F(xiàn)TCP三次握手，實現(xiàn)的方法通常是使用操作系統(tǒng)提供的connect函數(shù)。在掃描主機上指定目的主機和目的端口，調(diào)用connect函數(shù)與相應(yīng)端口進行TCP三次握手，如果相應(yīng)端口處于監(jiān)聽狀態(tài)，則connect函數(shù)將成功，返回數(shù)值0。如果相應(yīng)的端口處于關(guān)閉狀態(tài)，connect函數(shù)將失敗，函數(shù)將返回SOCKET_ERROR信息。使用connect函數(shù)進行掃描具有穩(wěn)定可靠，對于端口狀態(tài)的判定結(jié)果準確等優(yōu)點。此外，這種掃描技術(shù)還有一個突出優(yōu)點，即connect函數(shù)對于調(diào)用者沒有任何權(quán)限要求。因為connect函數(shù)的功能是建立正常的TCP連接，系統(tǒng)中的任何用戶都可以使用這個調(diào)用。TCP全連接掃描技術(shù)的主要缺點是掃描行為明顯，容易被發(fā)現(xiàn)。一方面，失敗的TCP連接請求以及相應(yīng)產(chǎn)生的錯誤信息常常會被記錄在目標主機的日志中，如果在短時間內(nèi)針對主機的大量端口進行掃描，往往會產(chǎn)生大量的錯誤信息導致掃描行為暴露。另一方面，目標主機通常會記錄下成功的TCP連接，如果攻擊者利用掃描確定的開放端口進行攻擊，在攻擊成功后很容易被追溯。TCPSYN掃描與TCP全連接掃描相似，也是以TCP三次握手過程為基礎(chǔ)，兩者的主要區(qū)別在于TCPSYN掃描刻意不建立完整的TCP連接，以避免掃描行為的暴露。對TCP三次握手過程進行分析，可以看出在三次握手的第二階段，即客戶端接收到服務(wù)器端響應(yīng)時已經(jīng)能夠確定端口的工作狀態(tài)，無須完成三次握手的最后一步。TCPSYN掃描就是依據(jù)此思想進行，這種掃描技術(shù)也常常被稱為“半開放”掃描。TCPFIN掃描技術(shù)不依賴于TCP的三次握手過程，它主要利用TCP報文段首部結(jié)構(gòu)中的FIN標志位。按照RFC793的規(guī)定，主機端口接收到FIN標志位設(shè)置為1的報文時，如果端口處于關(guān)閉狀態(tài)，應(yīng)當回復RST標志位設(shè)置為1的報文，復位連接；如果端口處于監(jiān)聽狀態(tài)則忽略報文，不進行任何回應(yīng)。UDP協(xié)議是無連接的協(xié)議，在數(shù)據(jù)傳輸前沒有連接建立的過程。使用UDP協(xié)議進行數(shù)據(jù)傳輸并不能保證數(shù)據(jù)安全、可靠的到達目的主機。但由于UDP協(xié)議具有良好的靈活性，因而很多網(wǎng)絡(luò)服務(wù)，如DNS和SNMP，都使用UDP協(xié)議進行數(shù)據(jù)通信。由于UDP協(xié)議很簡單，在通信過程中沒有復雜的交互過程，這使得判斷主機UDP端口的工作情況較為困難。目前對于UDP端口工作狀態(tài)的判斷，主要是基于這樣一種通信特性：掃描主機向目標主機的UDP端口發(fā)送UDP數(shù)據(jù)包，如果目標端口處于監(jiān)聽狀態(tài)，將不會做出任何響應(yīng)；而如果目標端口處于關(guān)閉狀態(tài)，將會返回ICMP_PORT_UNREACH錯誤。從表面上看，目標端口工作狀態(tài)不同對掃描數(shù)據(jù)包將做出不同響應(yīng)，區(qū)分度很好。但實際應(yīng)用中必須考慮到UDP數(shù)據(jù)包和ICMP錯誤消息在通信中都可能丟失，不能保證到達，這將使得判斷出現(xiàn)偏差。操作系統(tǒng)識別主機使用的操作系統(tǒng)不同，可能存在的漏洞也大相徑庭。例如，Window操作系統(tǒng)和UNIX操作系統(tǒng)漏洞信息完全不同，即使同屬Windows家族的WindowsXP系統(tǒng)和Windows2007系統(tǒng)所存在的安全漏洞也有很大差異，攻擊者在攻擊時必須相應(yīng)采取不同的攻擊措施。操作系統(tǒng)識別旨在確定目標主機所運行的操作系統(tǒng)，便于攻擊者采取最有效的攻擊方法和手段。操作系統(tǒng)識別的方法根據(jù)使用的信息可以劃分為三類：通過旗標信息識別，通過端口信息識別，通過TCP/IP協(xié)議棧指紋識別。為了提高識別的準確率，實際的網(wǎng)絡(luò)掃描工具軟件，如Nmap，均是通過綜合運用多種掃描方法進行遠程探測，根據(jù)返回的結(jié)果綜合分析給出最有可能的識別結(jié)果，一般用百分比表示，如識別準確率98％。旗標（banner）指的是客戶端向服務(wù)器端提出連接請求時服務(wù)器端所返回的歡迎信息，像FTP、SMTP、Telnet等提供網(wǎng)絡(luò)服務(wù)的程序通常都有旗標信息。服務(wù)程序的旗標雖然不會直接通告主機運行的操作系統(tǒng)，但可以通過旗標反映出的服務(wù)程序信息進行操作系統(tǒng)的判斷。端口掃描的結(jié)果在操作系統(tǒng)檢測階段也可以加以利用。不同操作系統(tǒng)通常會有一些默認開放的服務(wù)，這些服務(wù)使用特定的端口進行網(wǎng)絡(luò)監(jiān)聽。例如，WindowsXP、Windows2003等系統(tǒng)默認開放了TCP135端口、TCP139端口以及TCP445端口，而Linux系統(tǒng)通常不會使用這些端口。端口工作狀態(tài)的差異能夠為操作系統(tǒng)檢測提供一定的依據(jù)。對TCP/IP協(xié)議棧指紋進行分析是最為精確的一種檢測操作系統(tǒng)的方法。所有操作系統(tǒng)在實現(xiàn)TCP/IP協(xié)議棧時都是以RFC文檔為參考依據(jù)，但由于很多邊界情況在RFC中沒有明確定義，不同操作系統(tǒng)在具體實現(xiàn)時存在細節(jié)差異?？梢岳孟到y(tǒng)實現(xiàn)上的差異，向目標主機發(fā)送精心設(shè)計的探測數(shù)據(jù)包，根據(jù)得到的響應(yīng)，來推斷目標主機的操作系統(tǒng)。漏洞掃描漏洞掃描是端口掃描和操作系統(tǒng)識別的后續(xù)工作，對于計算機管理員和攻擊者而言都有重要意義。計算機管理員希望能夠通過漏洞掃描及時發(fā)現(xiàn)計算機的安全漏洞從而有針對性地進行安全加固。攻擊者則希望利用掃描找到能夠使自己獲取系統(tǒng)訪問權(quán)限甚至控制權(quán)限的安全漏洞。從對黑客攻擊行為的分析和收集的漏洞類型來看，漏洞掃描絕大多數(shù)都是針對特定操作系統(tǒng)所提供的特定的網(wǎng)絡(luò)服務(wù)，也就是針對操作系統(tǒng)中某一個特定端口的。目前主要通過以下兩種方法來檢查目標主機是否存在漏洞：（1）特征匹配法，利用資產(chǎn)指紋與漏洞特征來發(fā)現(xiàn)漏洞。在對目標網(wǎng)絡(luò)進行了主機掃描、端口掃描、操作系統(tǒng)識別等掃描工作后得到了目標網(wǎng)絡(luò)的資產(chǎn)指紋信息，將這些資產(chǎn)指紋信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在。這種方法也有不足之處：一是要求事先獲得目標網(wǎng)絡(luò)的所有資產(chǎn)及其指紋信息；二是特征匹配的準確性存在問題，可能導致誤判和漏判。（2）滲透測試法，利用掌握的漏洞信息和利用代碼對目標系統(tǒng)進行攻擊性測試，若攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。這種方法的好處是判斷準確，不足之處有兩點：一是需要了解漏洞的細節(jié)，掌握漏洞的利用代碼，這在有些情況下比較難得到；二是直接對目標進行攻擊，環(huán)節(jié)多，耗時長，并且攻擊行為還存在合法性問題。根據(jù)掃描目標的不同，漏洞掃描可以劃分為基于主機的漏洞掃描和基于網(wǎng)絡(luò)的漏洞掃描兩類。基于主機的漏洞掃描往往要求在被檢查系統(tǒng)上安裝特定的掃描程序，并且賦予程序管理員權(quán)限，以確保程序能夠訪問操作系統(tǒng)的內(nèi)核、系統(tǒng)的配置文件以及系統(tǒng)中的各類應(yīng)用程序。掃描程序依據(jù)特定的規(guī)則對系統(tǒng)進行分析以發(fā)現(xiàn)各類安全漏洞?；诰W(wǎng)絡(luò)的漏洞掃描要求掃描主機與被掃描的目標系統(tǒng)通過網(wǎng)絡(luò)相連，兩臺主機之間能夠進行正常的網(wǎng)絡(luò)通信。很多網(wǎng)絡(luò)漏洞掃描軟件采用了網(wǎng)絡(luò)應(yīng)用常見的C/S架構(gòu)，由客戶端和服務(wù)器端兩部分組成，如Nessus掃描軟件采用的就是這種架構(gòu)。漏洞庫和掃描引擎位于服務(wù)器端，供用戶使用的掃描控制臺位于客戶端。這種體系結(jié)構(gòu)的優(yōu)點在于如果多個用戶需要使用掃描服務(wù)，他們不必都安裝掃描軟件的服務(wù)程序，只要一臺主機有服務(wù)程序，所有用戶都可以共享掃描服務(wù)。網(wǎng)絡(luò)偵察防御網(wǎng)絡(luò)管理員需要了解網(wǎng)絡(luò)偵察知識，從而知道系統(tǒng)可能正在被偵察，為系統(tǒng)可能遭受的攻擊做更多的準備，并進行脆弱性分析，了解哪些信息正在被泄露并掌握系統(tǒng)存在的弱點。1.防御搜索引擎?zhèn)刹旆烙悍降腤eb站點，避免其淪為搜索引擎和基于Web偵察的受害者，有兩方面的工作要做：首先，對Web站點內(nèi)容建立嚴格的信息披露策略，其次，要求搜索引擎移除不期望公開的Web頁面索引。2.防御WHOIS查詢因為要保證WHOIS信息可以被其他合法管理員獲取，所以完全防御攻擊者查詢注冊信息是不可能的。那么防御攻擊者WHOIS查詢的措施就是保證注冊記錄中沒有額外可供攻擊者使用的信息，比如管理員的賬戶名。另外，注冊信息多被攻擊者利用來進行社會工程學攻擊，所以還要對員工進行培訓，使他們避免掉進社會工程學攻擊的圈套。此外，WHOIS數(shù)據(jù)庫服務(wù)提供商也會采取措施，限制公開可訪問的域名信息，對敏感信息需要經(jīng)過認證和授權(quán)才可以訪問。3.防御DNS偵察可以從以下三個方面來防御DNS偵察。1）避免通過DNS泄露額外