网络攻防技术 第2章 信息收集

第二章信息收集技术章节安排2.1信息收集概述2.2公开信息收集2.3网络扫描2.4漏洞扫描2.5网络拓扑探测2.1信息收集概述信息收集是指黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标的所有探测活动。信息收集技术是一把双刃剑黑客需要收集信息，才能有效的实施攻击管理员使用信息收集技术可以发现系统的弱点？信息收集的内容是什么？哪些信息对攻击是有意义的、是攻击者（当然也是网络管理员）所关心的？2.1信息收集概述信息收集的内容域名和IP地址防火墙、入侵检测等安全防范措施内部网络结构、域组织、用户电子邮件操作系统类型端口系统构架敏感文件或目录应用程序类型……2.2公开信息收集利用Web服务利用搜索引擎服务利用WhoIs服务利用DNS域名服务公开信息收集方法的应用2.2公开信息收集1.利用Web服务网站拥有者信息邮编、地址论坛版本号网络管理员邮箱公司人员名单、电话、邮箱…………社会工程学2.2公开信息收集得到对应的IP地址利用DNS服务器：提供域名到IP地址的映射pingReplyfrom2time=11msTTL=24522.2公开信息收集获取目标网络拓扑结构网络拓扑图IP分配表子域名网络设备，安全设施…………2.2公开信息收集某大学校园网架构2.2公开信息收集2.利用搜索引擎服务-googlehacking共同特点：利用公开信息服务收集信息信息是公开的海量的信息中很多都是敏感的信息2.2公开信息收集搜索引擎搜索引擎为我们提供了在WEB检索信息的功能。它在互联网收集网站摘要信息的同时，也收集了许多隐蔽信息。GoogleHacking就是利用搜索引擎强大的搜索功能，选用搜索语法和特殊的搜索关键字，将隐藏在目标网站中的不恰当配置信息和后门信息找出来。2.2公开信息收集基本语法And与OR或+强制包含搜索项- 非，去掉搜索项““包含一个完整的语义.单个通配符*任意通配符2.2公开信息收集天龙八部2.2公开信息收集天龙八部佛教–金庸2.2公开信息收集高级操作符site:搜索具体服务器或域名的网页filetype:搜索特定类型的文件intitle:搜索网页标题inurl:搜索URLintext:搜索正文link:搜索连接到指定网页的网页2.2公开信息收集site:2.2公开信息收集“googlehacking”filetype:pdfFiletype所支持的文件类型AdobePortableDocumentFormat(pdf)AdobePostScript(ps)Lotus1-2-3(wk1,wk2,wk3,wk4,wk5,wki,wks,wku)LotusWordPro(lwp)MacWrite(mw)MicrosoftExcel(xls)MicrosoftPowerPoint(ppt)MicrosoftWord(doc)MicrosoftWorks(wks,wps,wdb)MicrosoftWrite(wri)RichTextFormat(rtf)Text(ans,txt)高级操作符：allintitleallintitle:googlehacking高级操作符：allinurlallinurl:googlehacking高级操作符：linklink:2.2公开信息收集GoogleHacking可以做到……搜索密码文件搜索管理员后台URL搜索web应用漏洞搜索黑客留下的后门…………2.2公开信息收集例

直接利用googlehacking搜索破解网站后台2.2公开信息收集inurl:/inc+conn.aspsite:/wwwroot2/inc/ParentDirectoryadmin.aspw_js/home_mdb.asp/w_js/home.mdb2.2公开信息收集ZoomEyeShodan2.2公开信息收集3.WhoIs服务功能：查询已注册域名的拥有者信息域名登记人信息联系电话和邮箱域名注册时间和更新时间权威DNS的IP地址使用方法：SamSpade等网络实用工具EXAMPLES2.2公开信息收集利用网站获得Whois数据国外的who.is：https://who.is/

站长之家：/爱站：/

微步：/企业的备案信息（中国）天眼查：/

ICP备案查询网：/

国家企业信用信息公示系统：/index.html

2.2公开信息收集利用的whois服务，输入,得到如下信息：DomainNameSINA.COMRegistrarNETWORKSOLUTIONS,INC.WhoisServerReferralURLNameServerNS1.SINA.COM.CNNameServerNS2.SINA.COM.CNStatusREGISTRARAR-LOCKUpdatedDate26-nov-2014CreationDate16-sep-1998ExpirationDate15-sep-20192.2公开信息收集

利用的whois服务，输入某主机的地址：88,得到以下结果（部分）：inetnum-55netnameZZIET-CNdescrZhengzhouInstituteofElectronicTechnologydescrZhengzhou,Henan450002,ChinacountryCNpersonZiyuanLiaddressZhengzhouInstituteofElectronicTechnologyphone+863717437964e-mailcyhu@changedszhu@199609112.2公开信息收集4.利有DNS域名服务DNS：提供域名到IP地址的映射权威DNS——主DNSCache-OnlyDNS——副DNS区域传送（Zonetransfer）：允许一个辅域名服务器更新自己的区域数据如果DNS配置不当，可能造成内部主机名和IP地址对的泄漏2.2公开信息收集使用Nslookup可查到域名服务器地址和IP地址，以及域名服务器的传输内容DNS禁止探测DNS允许探测2.2公开信息收集5.公开信息收集方法的应用社会工程学：利用受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。从同学录中寻找目标在论坛、聊天室设“钓鱼”陷阱通过简历收集信息利用搜索引擎进行数据挖掘网站出售注册信息2.3网络扫描主机扫描端口扫描系统类型扫描（1）主机扫描主机扫描——PingSweepingPingPing使用ICMP协议进行工作（1）主机扫描ICMP协议负责差错的报告与控制。比如目标不可达，路由重定向等等ICMP报文格式类型域(type)用来指明该ICMP报文的类型代码域(code)确定该包具体作用

081631

类型

代码

校验和

其他字段（不同的类型可能不一样）

数据区……

数据ICMP包头IP包头MAC帧头（1）主机扫描名称类型ICMPDestinationUnreachable（目标不可达）3ICMPSourceQuench（源抑制）4ICMPRedirection（重定向）5ICMPTimestampRequest/Reply（时间戳）13/14ICMPAddressMaskRequest/Reply（子网掩码）17/18ICMPEchoRequest/Reply（响应请求/应答）8/0常用的ICMP报文（1）主机扫描Ping的实现机制向目标主机发送ICMPEchoRequest(type8)数据包，等待回复的ICMPEchoReply包(type0)。数据区包含了一些随机测试数据，如”ABCDEFG….”等（1）主机扫描注意：根据RFC的定义，TCP/IP协议栈应该支持各种类型的ICMP报文。但事实上，在各个操作系统具体实现TCP/IP时，可能并没有完全遵循RFC标准。（1）主机扫描高级IP扫描技术异常的IP包头在IP头中设置无效的字段值错误的数据分片参考：高级IP扫描技术及原理介绍，/content/12/0705/20/1030755_222484335.shtml（1）主机扫描在IP头中设置无效的字段值向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMPParameterProblemError信息。常见的伪造错误字段为HeaderLengthField和IPOptionsField。（2）高级IP扫描技术错误的数据分片向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMPDestinationUnreachable信息。（2）端口扫描端口是通信的通道端口分为TCP端口与UDP端口因此，端口扫描可分类为TCP扫描UDP扫描目标主机的开放端口信息－入侵通道（2）端口扫描基本扫描用Socket开发TCP应用服务器端客户端（2）端口扫描connect()函数intconnect(SOCKETs,conststructsockaddrFAR*name,intnamelen);当connect返回0时，连接成功基本的扫描方法即TCPConnect扫描优点实现简单可以用普通用户权限执行缺点容易被目标应用日志所记录（2）端口扫描隐秘扫描服务器端客户端connect（2）端口扫描TCP的连接建立过程客户机服务器发送SYN

seq=x

接收SYN报文

发送SYNseq=y,ACKack=x+1

接收SYN+ACK

发送ACKack=y+1

接受ACK报文段

（2）端口扫描SYN扫描客户机服务器发送SYN

seq=x

接收SYN报文

发送SYNseq=y,ACKack=x+1

接收SYN+ACK

如果接收到SYN+ACK，表明服务器端口可连接如果服务器端口打开，则返回SYN+ACK（2）端口扫描SYN扫描的实现WinSock2接口RawSock方式，允许自定义IP包SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);（2）端口扫描SYN扫描的优缺点优点：一般不会被目标主机的应用所记录缺点：运行RawSocket时必须拥有管理员权限（2）端口扫描其它的隐秘扫描？TCP包头标志位01631源端口

目的端口

序列号

确认号

HLEN

保留

标志位

窗口

校验和

紧急指针

选项

填充

数据

保留保留UrgentpointACKPUSHRESETSYNFIN（2）端口扫描

直接发送FIN报文，会如何？对FIN报文的回复TCP标准关闭的端口——返回RST报文打开的端口——忽略BSD操作系统与TCP标准一致其他操作系统均返回RST报文（2）端口扫描优点不会被记录到日志可以绕过某些防火墙netstat命令不会显示——netstate命令只能显示TCP连接或连接的尝试缺点使用RAWIP编程，实现起来相对比较复杂不同操作系统结果不同，因此不完全可信（2）端口扫描其它隐秘端口扫描技术还有TCPnull,XmasTCPWindowTCPACKFTPProxyidleIP分段扫描（2）端口扫描常用的端口扫描工具UNIX下的端口扫描工具NmapWindows下的端口扫描工具SuperScanNmapforNT（3）系统类型扫描1.端口扫描结果分析

由于现代操作系统往往提供一些自身特有的功能，而这些功能又很可能打开一些特定的端口WINDOWS9X：137、139WINDOWS2000/XP：135、139、445135——LocationService137——NetBIOSNameService(UDP)139——NetBIOSFileandPrintSharing各种UNIX：512-514、2049（3）系统类型扫描应用程序BANNER服务程序接收到客户端的正常连接后所给出的欢迎信息（3）系统类型扫描（3）系统类型扫描TCP/IP协议栈指纹不同的操作系统在实现TCP/IP协议栈时都或多或少地存在着差异。而这些差异，我们就称之为TCP/IP协议栈指纹。不同的操作系统在实现TCP/IP协议栈的时候，并不是完全按照RFC所定义的标准来实现的在RFC中也没有对所有的问题给予精确的定义

TCP包头中的指纹源端口

目的端口

序列号

确认号

头长度

保留

比特位

窗口

校验和

紧急指针

选项

填充

数据

0 16 31ISNACKBOGUS标记位初始化窗口值TCP选项值IP包头中的指纹

版本

头长

服务类型

总长度

标识符

标志

分片偏移

生存时间

协议头部校验和

源IP地址

目的IP地址

IP选项（可以选择）

填充

数据

……

08162431标记生存时间TOSTCP/IP协议栈指纹关于如何用协议栈指纹的方法确定操作系统类型，请参阅Fyodor写的：《使用TCP/IP协议栈指纹进行远程操作系统辨识》协议栈指纹探测工具Checkos,byShokQueso,bySavageNmap,byFyodor2.4漏洞扫描漏洞扫描：指利用一些专门或综合漏洞扫描程序对目标存在的系统漏洞或应用程序漏洞进行扫描。漏洞扫描的缺陷：(1)报告并不一定可靠(2)易暴露目标通用专用漏洞扫描工具

漏洞信息的公开可以让系统管理员更有针对性地对自己管理的系统进行配置和管理。另外，也可以促使提供软件或硬件的厂商更快地解决问题。通用漏洞披露BugTraq漏洞数据库ICAT漏洞数据库CERT/CC漏洞信息数据库X-Force数据库中国“国家漏洞库”

CVE（CommonVulnerabilities&Exposures，通用漏洞披露）。BugTraq是由SecurityFocus公司维护的一个关于计算机安全漏洞详细信息讨论的邮件列表，讨论内容包括漏洞的描述、漏洞的渗透方法以及漏洞的修补方法等。ICAT是由美国标准技术研究所（NationalInstituteofStandardTechnology，NIST）维护的一个CVE兼容的漏洞信息检索索引。CERT/CC漏洞数据库也是一个CVE兼容的数据库。可以通过名字、ID号、CVE名字、公布日期、更新日期、严重性等方法检索漏洞信息X-Force数据库由ISS公司维护，是一个比较全面的漏洞信息数据库。基于中国的国情，中国建立了自己的漏洞库，即“国家漏洞库”。2.4漏洞扫描

漏洞检测就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。该技术通常采用两种策略，即被动式策略和主动式策略。被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查；主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。2.4漏洞扫描漏洞检测的主要方法：直接测试、推断和带凭证的测试。直接测试是指利用漏洞特点发现系统漏洞的方法。直接测试的特点：通常用于对Web服务器漏洞、拒绝服务（DoS）漏洞进行检测。能够准确地判断系统是否存在特定漏洞。对于渗透所需步骤较多的漏洞速度较慢。攻击性较强，可能对存在漏洞的系统造成破坏。对于DoS漏洞，测试方法会造成系统崩溃。不是所有漏洞的信息都能通过直接测试方法获得。

2.4漏洞扫描

推断

推断是指不利用系统漏洞而判断漏洞是否存在的方法。它并不直接渗透漏洞，只是间接地寻找漏洞存在的证据。采用推断方法的检测手段主要有版本检查、程序行为分析、操作系统堆栈指纹