第2章信息收集

第二章信息收集吴少华电子信息学院第二章信息收集本章主要内容信息收集的概念和意义信息收集的方法和技术利用公开的信息服务扫描操作系统的类型探测2.1信息收集概述什么是信息收集？信息收集是指——黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标的所有探测活动2.1信息收集概述什么是信息收集？信息收集是指——黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标的所有探测活动

信息收集的内容是什么？

哪些信息对攻击是有意义的、是攻击者（当然也是网络防卫者）所关心的？2.1信息收集概述信息收集内容：域名和IP地址操作系统类型端口应用程序类型防火墙和入侵检测系统2.1信息收集概述信息收集的内容域名和IP地址操作系统类型端口应用程序类型防火墙、入侵检测等安全防范措施内部网络结构、域组织第二章信息收集2.1信息收集概述2.2利用公开服务收集信息2.3IP扫描与端口扫描2.4操作系统类型探测2.2利用公开服务收集信息利用公用信息服务进行信息收集WEB与搜索引擎服务USENET（新闻组服务）WhoIs服务DNS（域名系统）服务2.2.1WEB与搜索引擎服务目标：获取目标公司或网站的域名或网站地址直接进入目标网站或通过搜索引擎获得主页地址2.2.1WEB与搜索引擎服务目标：获取目标网络拓扑结构网络拓扑图IP分配表网络设备，安全设施…………网络攻防技术2.2.1WEB与搜索引擎服务WEB与搜索引擎服务公开的网页目标域名或网站地址网络拓扑结构网络管理员公司人员名单、电话、Email…………2.2.1WEB与搜索引擎服务WEB与搜索引擎服务搜索引擎GoogleBaiduYahoo搜索引擎为我们提供了在WEB检索信息的能力。能否在WEB中找到所需要的信息，关键在于能否合理地提取搜索的关键字搜索引擎服务搜索基本指令搜索技巧+/and强制包含检索项-排除某检索项“”组合多个检索词|或.匹配任意字符*匹配任意检索词site:搜索具体服务器或域名的网页filetype:搜索以特定文件扩展名结尾的URLintitle:搜索网页标题中的词汇inurl:搜索URL中的词汇intext:搜索正文中的词汇link:搜索连接到指定网页的网页网络攻防技术网络攻防技术搜索引擎服务GoogleHacking搜索密码文件搜索管理员后台URL搜索CGI漏洞搜索黑客留下的后门…………目标：获取网络设置不正确，可以下载的密码数据库网络攻防技术选择目标网络攻防技术下载GoogleHacking使用数据库中的帐号口令对登录GoogleHacking成功进入管理页面GoogleHackingGoogle

Hacking

的特点快速搜索引擎预先准备了大量处理好的信息以供检索准确搜索引擎做了关联性、重要性等各种过滤处理措施隐蔽搜索、查询都是通过搜索引擎的数据库进行智能搜索引擎自身的智能特性缓存保留了已经实际不存在的敏感信息2.2.2USENET（新闻组服务）USENETUSENET使用客户/服务器的工作方式使用NNTP（NetworkNewsTransportProtocol，TCP端口119）协议来完成客户和服务器间的交互用户使用新闻阅读器(newsreader)程序阅读Usenet文章新闻组阅读器软件一般具备在新闻组文章中进行搜索的功能，可以使用关键字对文章的发件人、文章的收件人、文章的标题或是文章的内容进行搜索WhoIs服务功能：查询已注册域名的拥有者信息域名登记人信息联系方式域名注册时间和更新时间权威DNS的IP地址使用方法：SamSpade等网络实用工具2.2.3WhoIs服务2.2.4DNS（域名系统）服务DNS：提供域名到IP地址的映射权威DNS——主DNSCashe-OnlyDNS——副DNSPing2.2.4DNS（域名系统）服务区域传送：允许一个副DNS更新自己的区域数据如果DNS配置不安全，可能造成内部主机名和IP地址对的泄漏在错误配置时DNS服务器会接受任何一个主机DNS区域传送请求。Windows2000Server的DNS服务程序在默认配置情况下，也允许向任何主机提供DNS区域传送如果没有使用公用/私用DNS机制分割外部公用DNS信息和内部私用DNS信息，任何主机都可以得到机构的所有内部主机名和IP地址第二章信息收集2.1信息收集概述2.2利用公开服务收集信息2.3IP扫描与端口扫描2.4操作系统类型探测2.3.1找到网络地址范围Ping:PacketInterNetGroper用来判断远程设备可访问性最常用的方法原理：发送ICMPEcho消息，然后等待ICMPReply消息Traceroute–用来发现实际的路由路径–原理：给目标的一个无效端口发送一系列UDP，其TTL依次增一，中间路由器返回一个ICMPTimeExceeded消息traceroute发送一系列UDP包(缺省大小为38字节)，其TTL字段从1开始递增，然后监听来自路径上网关发回来的ICMPTimeExceeded应答消息UDP包的端口设置为一个不太可能用到的值(缺省为33434)，因此，目标会送回一个ICMPDestinationUnreachable消息，指示端口不可达traceroute/tracert域名pathping2.3.2找到活动的主机--扫描技术基于TCP/IP协议，对各种网络服务，无论是主机或者防火墙、路由器都适用扫描器能够发现系统存活情况对端口扫描，发现哪些服务在运行扫描器能够暴露网络上潜在的脆弱性，避免遭受不必要的攻击有进一步的功能，包括操作系统辨识、应用系统识别用途，双刃剑安全管理员可以用来确保自己系统的安全性黑客用来探查系统的入侵点端口扫描的技术已经非常成熟，目前有大量的商业、非商业的扫描器扫描器历史早期80年代，网络没有普及，上网的好奇心驱使许多年轻人通过Modem拨号进入到UNIX系统中。这时候的手段需要大量的手工操作于是，出现了wardialer——自动扫描，并记录下扫描的结果现代的扫描器要先进得多SATAN:SecurityAdministrator'sToolforAnalyzing1995年4月发布，引起了新闻界的轰动界面上的突破，从命令行走向图形界面(使用HTML界面)，不依赖于X两位作者的影响(DanFarmer写过网络安全检查工具COPS，另一位WeitseVenema是TCP_Wrapper的作者)Nmap作者为Fyodor，技术上，是最先进的扫描技术大集成结合了功能强大的通过栈指纹来识别操作系统的众多技术扫描技术主机扫描：确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构，主要利用ICMP数据包端口扫描：发现远程主机开放的端口以及服务操作系统指纹扫描：根据协议栈判别操作系统主机扫描主机扫描的目的是确定在目标网络上的主机是否可达，同时尽可能多映射目标网络的拓扑结构传统主机扫描技术高级主机扫描技术传统主机扫描技术PingPingsweepFping(unix)NONE-ECHOICMP其它ICMP服务类型（13和14、15和16、17和18）也可以用于对主机或网络设备如路由器等的探测ICMPTimeStampRequest和REPLY允许一个节点查询另一个节点的当前时间，返回值是自午夜开始计算的毫秒数。发送者可以初始化标识符和序列号，请求端还填写发起时间戳，然后发送报文给应答系统。应答系统接受请求后，填写接受和传送的时间戳，把信息类型改变为REPLY应答并送回给发送者。返回值是自午夜开始计算的毫秒数。3.2高级主机扫描技术利用被探测主机产生的ICMP错误报文来进行复杂的主机探测异常的IP包头向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMPParameterProblemError信息。常见的伪造错误字段为HeaderLength和IPOptions。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也不同。•IP头中设置无效的字段值向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMPDestinationUnreachable信息。错误的数据分片当目标主机接收到错误的数据分片（如某些分片丢失），并且在规定的时间间隔内得不到更正时，将丢弃这些错误数据包，并向发送主机反馈ICMPFragmentReassemblyTimeExceeded错误报文。用UDP扫描向目标主机特定端口发送一个0字节数据的UDP包，关闭端口会反馈ICMPPortUnreachable错误报文，而开放的端口则没有任何反馈。通过多个端口的扫描，还可以探测到目标系统。通过超长包探测内部路由器若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志,该路由器会反馈FragmentationNeededandDon’tFragmentBitwasSet差错报文。反向映射探测用于探测被过滤设备或防火墙保护的网络和主机。构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并路由，对不在其服务的范围的IP包发送ICMPHostUnreachable或ICMPTimeExceeded错误报文，没有接收到相应错误报文的IP地址可被认为在该网络中2.3.3.找到活动的端口－－端口扫描端口扫描的直接成果就是得到目标主机开放和关闭的端口列表，这些开放的端口往往与一定的服务相对应，通过这些开放的端口，黒客就能了解主机运行的服务，然后就可以进一步整理和分析这些服务可能存在的漏洞，随后采取针对性的攻击。已知的端口扫描的类型包括：4.1开放扫描(OpenScanning)4.2半开扫描(Half-OpenScanning)4.3隐蔽扫描(StealthScanning)4.4其他扫描TCP连接若干要点TCP/IP的一些实现原则当一个SYN|ACK或者FIN数据包到达一个关闭的端口，端口发送一个RST数据包当一个SYN|ACK或者FIN数据包到达一个监听的端口，数据包被丢弃当一个包含ACK的数据包到达一个监听端口时，数据包被丢弃，同时发送一个RST数据包当一个不包含SYN位的数据包到达一个监听端口时，数据包被丢弃当一个SYN数据包到达一个监听端口时，正常的三阶段握手继续，回答一个SYN|ACK数据包扫描技术原理端口扫描技术概况端口服务表扫描分类端口扫描服务名称 端口/协议ftp-data 20/tcpftp 21/tcptelnet 23/tcpsmtp 25/tcp tftp 69/udpfinger 79/tcpwww 80/tcp pop3 110/tcp netbios-ns 137/tcp netbios-ns 137/udpnetbios-dgm 138/tcp netbios-dgm 138/udpnetbios-ssn 139/tcp netbios-ssn 139/udpmysqlMySQL 3306/tcpms-sql-sMicrosoft-SQL-Server 1433/tcpmicrosoft-dsMicrosoft-DS 445/tcp端口服务表扫描分类TCP全连接开放扫描半开放扫描TCP反向ident扫描IP头信息dumb扫描SYN扫描FIN扫描隐蔽扫描TCP分段ACK扫描XMAS扫描空扫描扫射扫描SYN/ACK扫描ping扫射其它扫描UDP/ICMP不可达FTP弹跳UDP扫射UDPrecvfrom/write扫描ACK扫射SYN扫射ICMP扫射端口扫描4.1开放扫描完全连接扫描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭端口扫描优点：快速，精确，不需要额外权限缺点：容易被检测和日志反向IDENT扫描（RFC1413）Clientident请求：port,portServer连接对应的用户确定进程拥有者优点：快速，可返回重要信息，不需要额外权限缺点：容易被检测4.2半开放扫描半连接SYN扫描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭*立即切断连接端口扫描优点：快速，可靠，不需要三次握手缺点：要求root权限IPID头哑扫描ABC目标机攻击者Dumb主机pingA伪装B向C发送SYN扫描C发送SYN/ACK或RST/ACK给B60bytesfromBBB.BBB.BBB.BBB:seq=1ttl=64id=+1win=0time=96ms60bytesfromBBB.BBB.BBB.BBB:seq=2ttl=64id=+1/3win=0time=88ms60bytesfromBBB.BBB.BBB.BBB:seq=3ttl=64id=+1/2win=0time=92msB忽略或者响应RST4.3隐蔽扫描隐蔽扫描：SYN/ACKClientSYN/ACKServerRSTClientSYN/ACKServer--端口关闭端口开放端口扫描优点：快速，可逃避IDS和防火墙，不需要三次握手缺点：不可靠（虚警）扫描技术分析隐蔽扫描：FINClientFINServerRSTClientFINServer--端口开放端口关闭端口扫描优点：可逃避IDS和防火墙，不需要三次握手缺点：不可靠（虚警）扫描技术分析隐蔽扫描：ACKClientACKServer(TTL<64)Server(WIN>0)ClientACKServer(TTL>64)Server(WIN=0)端口开放端口关闭端口扫描优点：可逃避IDS检测，很难被日志缺点：主要依赖于BSD网络代码的bug当Client发送一个ACK数据包给服务器时，服务器会回送一个RST数据包。开放端口发送的RST包的IP头中的TTL值一般比关闭的端口小，而且小于等于64。packet1:hostxxx.xxx.xxx.xxxport1F:RST-->TTL:70win:0packet2:hostxxx.xxx.xxx.xxxport2F:RST-->TTL:40win:0packet3:hostxxx.xxx.xxx.xxxport3F:RST-->TTL:70win:0packet4:hostxxx.xxx.xxx.xxxport4F:RST-->TTL:70win:0开放端口发送的RST包的TCP头的WINDOW值一般是非0的，而关闭的端口返回的包的WINDOW值为0。这对于早期的一些操作系统，如BSD系列的FreeBSD、OpenBSD，UNIX中的AIX是适用的。但新的一些版本和其它的操作系统已经不能使用该方法扫描了。packet5:hostxxx.xxx.xxx.xxxport1F:RST-->TTL:64win:0packet6:hostxxx.xxx.xxx.xxxport2F:RST-->TTL:64win:0packet7:hostxxx.xxx.xxx.xxxport3F:RST-->TTL:64win:512packet8:hostxxx.xxx.xxx.xxxport4F:RST-->TTL:64win:0NULL扫描ClientNULLServer-ClientNULLServerRST端口开放端口关闭优点：可逃避IDS，不需要三次握手缺点：不可靠（虚警），主要针对UNIX系统XMAS扫描ClientXMASServer-ClientXMASServerRST端口开放端口关闭优点：可逃避IDS，不需要三次握手缺点：不可靠（虚警），主要针对UNIX系统4.4其他扫描UDP扫描ClientUDPPACKETServer-多次ClientUDPPACKETServerICMP_PORT_UNREACHType3code3端口开放端口关闭优点：可逃避TCPIDS，用于扫描UDP端口缺点：需要ROOT权限FTPbounce扫描

PORTIP：PORTICMP扫描*《ICMPUsageinScanning》端口扫描2.4弄清操作系统操作系统辨识的动机许多漏洞是系统相关的，而且往往与相应的版本对应从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗(社会工程，socialengineering)如何辨识一个操作系统2.4.1一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息2.4.2TCP/IP栈指纹2.4.3DNS泄漏出OS系统2.4.1服务端口提供的信息Telnet服务Http服务Ftp服务2.4.2栈指纹技术定义：利用TCP/IP协议栈实现上的特点来辨识一个操作系统技术导向可辨识的OS的种类，包括哪些操作系统结论的精确度，细微的版本差异是否能识别一些工具Checkos,byShokQueso,bySavageNmap,byFyodor主动栈指纹识别技术原理：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本网络协议栈指纹构成1)

TTL

TTL：Time

To

Live，即数据包的“存活时间”，表示一个数据包在被丢弃之前可以通过多少跃点(Hop)。不同操作系统的缺省TTL值往往是不同的。

常见操作系统的TTL值：

Windows

9x/NT/2000

Intel

128

Digital

Unix

4.0

Alpha

60

Linux

2.2.x

Intel

64

Netware

4.11

Intel

128

AIX

4.3.x

IBM/RS6000

60

Cisco

12.0

2514

255

Solaris

8

Intel/Sparc

64

…

2)DF位

DF（不分段）位识别：不同OS对DF位有不同的处理方式，有些OS设置DF位，有些不设置DF位；还有一些OS在特定场合设置DF位，在其它场合不设置DF位。

3)

Window

Size

Window

Size：TCP接收（发送）窗口大小。它决定了接收信息的机器在收到多少数据包后发送ACK包。

特定操作系统的缺省Window

Size基本是常数，例如，AIX

用0x3F25，Windows、OpenBSD

、FreeBSD用0x402E。

一般地，UNIX的Window

Size较大。MSWindows，路由器，交换机等的较小。

4)

ACK

序号

不同的OS处理ACK序号时是不同的。如果发送一个FIN|PSH|URG的数据包到一个关闭的TCP

端口，大多数OS会把回应ACK包的序号设置为发送的包的初始序号，而Windows

和一些打印机则会发送序号为初始序号加1的ACK包。

5)ICMP地址屏蔽请求

对于ICMP地址屏蔽请求，有些OS会产生相应的应答，有些则不会。会产生应答的系统有OpenVMS,

MSWindows,

SUN

Solaris等。在这些产生应答的系统中，对分片ICMP地址屏蔽请求的应答又存在差别，可以做进一步的区分。

6)

对FIN包的响应

发送一个只有FIN标志位的TCP数据包给一个打开的端口，Linux等系统不响应；有些系统，例如

MS

Windows,

CISCO,

HP/UX等，发回一个RESET。7)

虚假标记的SYN包

在SYN包的TCP头里设置一个未定义的TCP

标记，目标系统在响应时，有的会保持这个标记，有的不保持。还有一些系统在收到这样的包的时候会复位连接。8)

ISN

(初始化序列号)

不同的OS在选择TCP

ISN时采用不同的方法。一些UNIX系统采用传统的64K递增方法，较新的Solaris,IRIX,FreeBSD,Digital

Unix,Cray等系统采用随机增量的方法；Linux

2.0,OpenVMS,

AIX等系统采用真随机方法。Windows系统采用一种时间相关的模型。还有一些系统使用常数。如，3Com集线器使用0x803，Apple

LaserWriter打印机使用0xC7001。9)ICMP

错误信息

在发送ICMP错误信息时，不同的OS有不同的行为。RFC

1812建议限制各种错误信息的发送率。有的OS做了限制，而有的没做。10)

ICMP

消息引用

RFC

规定ICMP错误消息可以引用一部分引起错误的源消息。在处理端口不可达消息时，大多数OS送回IP请求头外加8

字节。Solaris

送回的稍多，Linux

更多。

有些OS会把引起错误消息的头做一些改动再发回来。例如，FreeBSD，OpenBSD，ULTRIX，VAXen等会改变头的ID

。

这种方法功能很强，甚至可以在目标主机没有打开任何监听端口的情况下就识别出Linux和Solaris

。11)

TOS(服务类型)

对于ICMP端口不可达消息，送回包的服务类型(TOS)值也是有差别的。大多数OS是0，而Linux

是0xc0。12)

分段重组处理

在做IP包的分段重组时，不同OS的处理方式不同。有些OS会用新IP段覆盖旧的IP段，而有些会用旧的IP段覆盖新的IP段。13)

MSS(最大分段尺寸)

不同的OS有不同的缺省MSS值，对不同的MSS值的回应也不同。如，给Linux发送一个MSS值很小的包，它一般会把这个值原封不动地返回；其它的系统会返回不同的值。

14)

SYN

Flood限度

在处理SYN

Flood的时候，不同的OS有不同的特点。如果短时间内收到很多的伪造SYN包，一些OS会停止接受新的连接。有的系统支持扩展的方式来防止SYN

flood。15)

主机使用的端口 一些OS会开放特殊的端口，比如：WINDOWS的137、139,WIN2K的445；一些网络设备，如入侵检测系统、防火墙等也开放自己特殊的端口。16)

Telnet选项指纹

建立Telnet会话时，Socket连接完成后，会收到telnet守候程序发送的一系列telnet选项信息。不同OS有不同的Telnet选项排列顺序。17)

Http指纹

执行Http协议时,不同的WebServer存在差异。而从WebServer往往可以判断OS类型。WebServer的差异体现在如下方面：1：基本Http请求

处理HEAD/Http/1.0这样的请求时，不同系统返回信息基本相同，但存在细节差别。如，Apache返回的头信息里的Server和Date项的排序和其它的服务器不同。2：DELETE请求

对于DELETE/Http/1.0这样的非法请求，Apache响应"405MethodNotAllowed",IIS响应"403Forbidden",Netscape响应"401Unauthorized"3：非法Http协议版本请求

对于GET/Http/3.0这样的请求,Apache响应“400BadRequest”,IIS忽略这种请求,响应信息是OK,Netscape响应“505HttpVersionNotSupported”。4：不正确规则协议请求

对不规则协议的请求,Apache忽视不规则的协议并返回200"OK",IIS响应"400BadRequest",Netscape几乎不返回Http头信息。18)

打印机服务程序指纹

RFC1179规定了请求打印服务时须遵循的协议。

在实践中，如果打印请求符合RFC1179的格式，不同OS表现行为相同。但当打印请求不符合RFC1179的格式时，不同OS就会体现出差别。如对一个非法格式的请求，Solaris这样回应：

Reply:Invalidprotocolrequest(77):xxxxx而AIX系统这样回应：

Reply:0781-201ill-formedFROMaddress.

大多数OS会给出不同的响应信息。个别OS会给出长度为0的回应。对于Windows，则是通过专有的SMB协议（ServerMessageBlockProtocol）来实现打印机的共享。19)

网络协议栈指纹实践

在实践中，网络协议栈指纹方法通