踩点与漏洞扫描

1、第二章 踩点与网络扫描11、踩点（信息收集） 概念信息收集是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步，也是关键的一步。信息收集工作的好坏，直接关系到入侵与防御的成功与否。收集的主要信息 域名、IP地址、操作系统、主机类型、漏洞情况、开放端口、帐户密码等。21、踩点（信息收集） 为了保证信息收集的质量，应坚持以下原则：（1）准确性原则 该原则要求所收集到的信息要真实，可靠。这是最基本的要求。（2）全面性原则 该原则要求所搜集到的信息要广泛，全面完整。（3）时效性原则 信息的利用价值取决于该信息是否能及时地提供，即它的时效性。信息只有及时、迅速地提供给它的使用者才能有效地发挥

2、作用。32.信息收集技术信息收集非技术手段合法途径从目标机构的网站获取新闻报道，出版物新闻组或论坛社会工程手段假冒他人，获取第三方的信任搜索引擎42.1 搜索引擎 搜索引擎是自动从因特网收集信息，经过一定整理以后，提供给用户进行查询的系统。它包括信息搜集、信息整理和用户查询三部分。搜索引擎使用技巧5Google Hackingintext:将网页中正文中的字符作为搜索条件，例如：输入“intext:安全”，将搜索出正文里包含“安全”关键字的网页。allintext:与intext类似。intitle:在网页标题中搜索包含关键字的网页，例如：输入“intitle:管理”，即可找出网页标题中包含“

3、管理”的网页。allintitle:与intitle类似。6cache:在google的缓存里搜索，这里可能会找到很多很有用的东西哦，虽然此刻网页已经删除，但google服务器里还保存有。define:查找词语的定义，例如：输入“define hacker”，即可找到“hacker”的相关定义。:查找指定类型的网页，这个关键字非常有用，例如：输入“”即可找出文件类型为bak的文件（该文件很可能由各种编辑器自动备份产生，有可能找到网站的源码）；又如，通常黑客会尝试下载网站的数据库文件（*.mdb），即可用“”来搜索，找到数据库文件后直接下载，或许就能得到网站的权限。7info:查找指定站点的基本

4、信息。inurl:查找在url中包含搜索词的网页，例如：黑客惯用的“inurl:admin”偶尔就能搜索出网站的登录页面，从而进行下一步的攻击。link:搜索与某网站做了链接的网页，例如：输入“link:”即可搜索出包含有链接到“”的网页（这个可以用来找出有多少网页在链接你的网站哦）。site:用于搜索某一域内的网页，例如：输入“site:”，即可实现在“”域内搜索的目的。8还有一些符号在搜索中也是很有用的：+ 必须包含有的搜索词；- 不能包含的搜索词； 搜索同意词；. 单一通配符；* 通配符，可匹配多个字符；“” 精确的查询。 92.2 域名解析域名：为了方便记忆而专门建立的一套地址转换系统

5、。一个域名对应一个IP地址，而多个域名可以同时被解析到一个IP地址。域名解析：域名到IP地址的转换过程。域名解析服务器：DNSDomain Name System。10- 代表商业性公司baidu代表公司名字www代表baidu公司的一台3W服务器动态DNS服务，就是将固定的域名和动态的IP地址实时对应的服务。112.3 路由跟踪 概念路由跟踪就是从本地开始到达某一目标地址所经过的路由设备，并显示出这些路由设备的IP、连接时间等信息。作用：如果某段网络不通或网速很慢，可以利用路由跟踪找出某故障地点，方便维护人员的维护工作。对于“黑客”来说，这是个很有用的功能，他可以大概分析出你所在网络的状况。

6、这对于第一步的周边网络环境信息收集很有用。 tracert ：用IP生存时间TTL字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。 三个时间分别是发送的三个测试数据报的响应时间1213Ping 、fping、ping sweepARP探测FingerWhoisDNS/nslookup搜索引擎（google、百度）telnet3.信息收集的工具软件(技术手段)14ping作用和特点 ping命令是入侵者经常使用的网络命令，该命令应用的是简单网络管理协议ICMP的一个管理方法，其目的就是通过发送特定形式的ICMP包来请求主机的回应，进而获得主机的一些属性。它的使用有些“投石问路”的味

7、道。道理虽然简单，但是这个命令的用途却非常广泛，通过这个命令，入侵者可以来试探目标主机是否活动，可以来查询目标主机的机器名，还可以配合ARP命令查询目标主机MAC地址，甚至可以推断目标主机操作系统或者进行DDoS攻击等。15原理Type = 8Type = 0ping类型为8，表示“回响请求”类型为0，表示“回响应答”16主机在线情况主机不应答情况1）主机不在线2）防火墙阻断ICMP探测17ping表示5机器不在线；或者防火墙阻断。18ping使用ping命令探测操作系统。不同的操作系统对于ping的TTL返回值是不同的，参见下表。操作系统默认TTL返回值UNIX类255Windows 95/

8、9832Windows NT/2000/XP128Compaq Tru64 5.06419举例1：Reply from 0: bytes=32 time1ms TTL=32Reply from 0 表示回应ping的ip地址是0。bytes=32 表示回应报文的大小，这里是32字节。time? /查看help28Nslookup29通过nslookup获得子域名set querytype=anyxxx.xxx #输入域名后根据输出内容找到dns服务器 primary name server = ns1.xxx.xxx.xxxserver ns1.xxx.xxx.xxx #连接DNS服务器ls

9、-d xxx.xxx 3031信息收集实训一、由域名得到网站的IP地址获取学院对外网站的IP地址方法一：ping方法二：nslookup32信息收集实训二、由IP地址得到目标主机的地理位置 获取学院对外网站的ip地址后，可以通过查询IP数据库来得到该IP地址所对应的地理位置。33信息收集实训三、网站基本信息查询 商业网站中都会有个红盾标志，它一般会在主页的最下角，是国家工商局用来管理经营性网站的红盾标志（），里面记录了网站的备案登记信息。因此，凡是经营性网站都会有这个“红盾”链接，单击该链接，就会看见工商局公布的关于该网站的一些基本信息。34信息收集实训四、网站注册信息搜集 一个网站在正式发布

10、之前，需要向有关机构申请域名。申请到的域名信息将保存在域名管理机构的数据库服务器中，并且域名信息常常是公开的，任何人都可以查询。然而正是这个域名信息暴露给入侵者许多敏感信息。 通常，查询域名注册信息的方法被称为“WHOIS”。Windows下可以通过以下几个网站来查询域名注册信息。中国互联网络信息中心中国万网35信息收集实训五、网络路由探测1VisualRoute探测 VisualRoute是图形化的路由跟踪工具，它是为了方便网管分析网络故障节点而设计的。可以使用专门的VisualRoute软件，也可以到使用该网站提供的VisualRoute功能。 VisualRoute Server集成了p

11、ing，WHOIS与traceroute程序功能，自动分析网络连接结果并呈现在世界地图上（鼠标左键放大，右键缩小），提供从北京、香港、台湾、上海、深圳、中山到指定的任一个域名或IP的ping结果和图形化的路由信息。36信息收集实训五、网络路由探测2tracert命令推断 tracert是路由跟踪命令，通过该命令的返回结果，可以获得本地到达目标主机所经过的网络设备。用法：tracert -d -h maximum_hops -j host-list -w timeout target_name37信息收集实训看一个到新浪的实例：使用命令“tracert ”。C:tracert Tracing r

12、oute to 2over a maximum of 30 hops: 1 1 ms 1 ms 1 ms 210. 2 1 ms 1 ms 1 ms 210. 3 1 ms 1 ms 1 ms 202. 4 6 ms 6 ms 6 ms 202. 5 19 ms 18 ms 19 ms 202. . 6 19 ms 20 ms 19 ms 202. 7 * * * Request timed out. 8 1776 ms 1762 ms 1758 ms 219. 9 1766 ms 1757 ms 1769 ms 210 1580 ms 1572 ms 1557 ms 7411 1678 ms

13、 1732 ms 1642 ms 5812 1650 ms 1662 ms 1616 ms 202.108. 37.42Trace complete.结合前面讲过的网络基本结构，第7跳的网络设备没有响应，所以第7跳应该是“防火墙”。384、网络扫描 通过工具软件，进行网络主机开放端口、弱口令、系统漏洞等扫描，以查找发现可以入侵的系统主机。39扫描分类TCP全连接开放扫描半开放扫描TCP反向ident扫描IP头信息dumb扫描SYN扫描FIN扫描隐蔽扫描TCP分段ACK扫描XMAS扫描空扫描扫射扫描SYN/ACK扫描ping扫射其它扫描UDP/ICMP不可达FTP弹跳UDP扫射UDPrecvfr

14、om/write扫描ACK扫射SYN扫射ICMP扫射40扫描技术分析常规扫描技术调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢，易被记录高级扫描技术利用探测数据包的返回信息（例如RST）来进行间接扫描较为隐蔽，不易被日志记录或防火墙发现41完全连接扫描(TCP connect扫描)ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭42TCP connect扫描直接用connect连接对方的端口连接成功，说明对方端口是开放的优点简单，不需要特权用户缺点容易被察觉在应用日志中会有记录下来一些

15、没有任何动作的连接43被扫描主机开放的端口不提供服务的端口防火墙过滤的端口 扫描器SYNSYNSYNSYN+ACK握手RST 重置没有回应或者其他利用TCP三次握手的第一次进行扫描。半连接SYN扫描(TCP SYN扫描)44TCP SYN扫描Half open scan 在3次握手完成前终止连接方法发SYN如果收到RST，说明端口关闭如果收到SYN ACK，说明端口开放，发送RST优点应用程序日志没有记录缺点复杂，需要自己构造数据包很多系统要超级用户才能进行容易被发现45ClientACKServerRSTClientACKServer-端口开放端口关闭隐蔽扫描：ACK46隐蔽扫描：FINCl

16、ientFINServerRSTClientFINServer-未监听端口在监听端口473.4 端口扫描工具NmapXscan SuperScan Shadow Security Scanner MS06040Scanner 48Nmap探测工具王功能NMAP是探测网络主机和开放服务的佼佼者。是Linux下使用者的最爱，现在已经有Windows的版本。NMAP支持多种协议的扫描如UDP，TCP connect,TCP SYN, (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN swee

17、p, 和Null扫描。还提供一些实用功能，比如通过tcp/ip来甄别操作系统类型；秘密扫描、动态延迟和重发；欺骗扫描、端口过滤探测、分布扫描等。 4950-sT TCP Connect()扫描这是对TCP的最基本形式的侦测。对目标主机端口进行试探，如果该端口开放，则连接成功，否则代表这个端口没有开放。 -sS TCP SYN扫描就是我们介绍的半开式的扫描，速度会比connect扫描快。-sF -sX sNStealth FIN,Xmas Tree 或者Null扫描模式。 -sP Ping扫描对指定的IP发送ICMP，如果对方屏蔽了echo request，nmap还能发送一个TCP ack包到80端口探测。-sU UDP扫描确定某个UDP端口是否打开。 515