网络攻防原理与技术 第3版 教案 -第4讲 网络侦查技术

内容备注《网络攻防原理与技术》课程教案讲课题目：第四讲网络侦查技术目的要求：了解网络侦察的主要内容；掌握网络侦查的常用方法；掌握网络扫描的主要技术；了解网络侦察的防御方法。重点难点：网络侦查的常用方法；网络扫描的主要技术。方法步骤：理论讲授。器材保障：电脑、投影仪。主要教学内容:一、网络侦查概述根据MITREATT&CK模型，网络侦察行为可分为10种。1）主动扫描（ActiveScanning）主动扫描是指通过网络流量主动探测目标网络基础设施相关的信息，包括：扫描目标IP地址块（ScanningIPBlocks）中的所有IP地址来收集信息（如在线的主机、开放的网络端口、系统指纹等），漏洞扫描（VulnerabilityScanning，发现目标主机/设备上存在的已知安全漏洞），词表扫描（WordlistScanning）。词表扫描中的词表内容通常包括通用的、常用的名字、文件扩展名或与特定软件有关的词汇（term）。2）收集目标主机信息（GatherVictimHostInformation）主机信息主要涉及主机的管理和配置，包括：目标硬件平台（Hardware）信息、软件（Software）信息、固件（Firmware）信息、客户机配置（ClientConfiguration）信息。3）收集目标身份信息（GatherVictimIdentityInformation）目标身份信息包括个人信息（如姓名，Email地址，住址、电话等联系信息等）以及敏感的身份认证信息，如账号凭证（credentials）。4）收集目标网络信息（GatherVictimNetworkInformation）网络信息主要包括：域名信息（DomainProperties），如域名称、域名注册人及联系人的电子邮件、电话、通信地址等联系信息、名字服务器等；DNS信息，包括注册的域名服务器及服务器中的域名记录；网络可信相关方信息（NetworkTrustDependencies）；网络拓扑信息（Topology）；网络安全应用（NetworkSecurityAppliances）信息，如防火墙、内容过滤设备、代理/堡垒主机等安全设备的部署信息。5）收集目标组织信息（GatherVictimOrgInformation）目标组织信息主要涉及分部/部门信息、商业运行信息、关键雇员的角色及分工等，具体包括：物理位置（PhysicalLocations），通过物理位置可以推断该组织的关键资源和信息技术基础设施所在的地理位置、行政区域等信息；业务关系（BusinessRelationships），利用一个组织与其二级或第三方合作伙伴（如受管理的服务提供商、承包商等）之间的关系信息，一方面可以利用与组织网络互联的合作伙伴的网络进入组织的网络，另一方面通过这些信息可以进一步了解该组织的软硬件资源的供应链和运输路径；业务活动时间（IdentifyBusinessTempo），如每周的工作日以及每天的工作时间；人员角色信息（IdentifyRoles），如关键员工的角色（职务）以及这些角色能够访问的数据/资源权限等。6）信息钓鱼（PhishingforInformation）信息钓鱼是指向目标发送钓鱼消息，诱骗目标泄露一些对后续攻击有用的信息。与钓鱼攻击（Phishing）不同的是，信息钓鱼的目的是从受害者那里收集数据，而不是执行恶意代码。7）搜索闭源资源（SearchClosedSources）攻击方有时需要从一些闭源资源（ClosedSources）中搜索、收集与攻击目标有关的信息，例如：从威胁情报服务提供商（ThreatIntelVendors）购买数据；从可信的私有资源和数据库提供商付费订购相关技术情报数据，当然有时也会从不可信渠道（如暗网、网络黑市）购买情报数据。8）搜索公开技术数据库（SearchOpenTechnicalDatabases）互联网上有大量公开（开源）的数据库或数据查询服务，从这些公开数据库中可以搜索、整理出大量有价值的目标相关信息，例如查询DNS服务器、WHOIS数据库、公共数字证书（DigitalCertificates）数据、CDN（ContentDeliveryNetwork）数据。此外，互联网上还有很多发布互联网扫描/调查结果的在线服务，通过它们可以查询到很多与目标有关的信息。9）搜索公开网站/域（SearchOpenWebsites/Domains）从公开可访问的网站/域中搜索与目标有关的信息，如求职网站、社交媒体（SocialMedia）、搜索引擎（SearchEngines，如百度、Google、ZoomEye、Shodan）、代码库（CodeRepositories，如GitHub、GitLab、SourceForge、BitBucket）。10）搜索攻击目标的网站（SearchVictim-OwnedWebsites）攻击目标自己的网站常常包含大量有价值的信息，例如公司的组织架构（部门及名称）、地理位置、关键员工信息（姓名、职务、联系方式、权力等信息）、业务信息、合作伙伴信息等。这些信息对于实施网络渗透、社会工程学攻击具有重要意义。二、信息收集方法（一）搜索引擎信息收集对网络侦察而言，要想提高搜索引擎在网络侦察中的利用效率和查询精度，攻击者需要更加明确地向搜索引擎表达需要检索的内容。下面让我们来看看百度检索中几个常用的命令和操作符。1.intitle:[检索条件]用途：用于检索标题中含有特定文本（检索条件）的页面。如果在搜索框中输入关键词，只要是页面中含有这个关键词，这些页面都会被搜索出来，而使用intitle命令，则仅返回标题中有这个关键词的网页。2.site:[域]用途：返回与特定域相关的检索结果。域的层次没有限制，可以是具体的域，如，也可以是如.edu、.org等顶级域。3.filetype:[文件后缀]用途：检索特定类型的文件，比如PPT,PPTX,DOC,DOCX,XLS,XLSX,PDF等。4.link:[Web页面]用途：给出和指定Web页面相链接的站点。通过这个命令可以快速查找与目标站点有业务关系的网站。5.inurl:[关键词]用途：限定在URL中搜索。通常情况下，任何网站的URL都不是随意设置的，而是含有一定用意，并且URL链接和网页内容密切相关。可以利用这种相关性来缩小搜索范围，快速准确地找到所需信息。6.cache:[关键词]用途：显示来自Baidu快照的页面内容。用于查找最近被移出或当前不可用的页面。很多时候会把各种检索命令和操作符组合起来，用于查找与特定目标有关的有用信息。如果要在互联网上搜索主机、服务器、摄像头、打印机、路由器等设备，则需要使用专用的搜索引擎，典型代表有Shodan（撒旦，其名字取自风靡一时的电脑游戏SystemShock中的邪恶主机，官网http://www.shodan.io），ZoomEye(钟馗之眼，官网)和FOFA（官网/）。Shodan搜索对象分为网络设备、网络服务、网络系统、banner信息关键字等四类。网络设备又分为网络连接设备和网络应用设备。网络连接设备是指将网络各个部分连接成一个整体的设备，主要包括：Hub（集线器）、Modem（调制解调器）、Switch（交换机）、Router（路由器）、Gateway（网关）、Server（各种网络服务器）。网络应用设备是指供助因特网提供的服务，实现了特定设计功能的设备，常见的有打印机（printer）、摄像头（netcam）、智能电视（TV）以及工业生产领域大量使用的传感器、控制单元等。网络服务是指网络提供的各种服务，如FTP、HTTP、Apache、IIS等。网络系统既包括操作系统（如Windows，Linux，Solaris，AIX等），也包括工业生产领域广泛使用的各类控制系统，如数据采集与监视控制系统（SupervisoryControlAndDataAcquisition,SCADA）、分散控制系统（DistributedControlSystem,DCS）\配电网管理系统（DistributionManagementSystem，DMS）等。Banner信息关键字类搜索对象是指用户分析Shodan搜索返回的banner后，将其中的关键字作为搜索对象，如弱口令（defaultpassword）、匿名登录（anonymouslogin）、管理员（admin）、HTTP报头（如HTTP200OK）等。Shodan搜索的工作原理：Shodan服务器从所有已分配的IP地址中任选一个，然后尝试通过不同端口与其建立IP连接。在此过程中，Shodan服务器记录那些返回banner信息的目的主机，并将返回的banner信息写入数据库。Banner信息是指服务器在向客户机提供服务前，告知客户机关于本机提供相关网络服务的系统及软件信息，以便客户机更好地与服务器建立会话。WHOIS查询在互联网上建立网站服务器、电子邮件服务器或其他服务时，需要向相关机构注册域名以方便用户访问。相关的注册资料，比如域名、个人联系方式、IP地址、机构地址等会被保存到若干个WHOIS数据库和DNS数据库中，这些数据库由注册机构和互联网基础设施组织所维护。攻击者可以通过查询WHOIS数据库获取目标站点的注册信息，然后利用这些信息进行后续攻击。早期可以从域名注册机构的WHOIS数据库中查询该域名的上述很多信息，如管理人和技术人员联系信息（邮箱、电话、地址等）。出于安全和隐私保护的原因，现在绝大多数WHOIS数据库，不再向非授权用户提供域名的详细信息，并且很多时候需要在其网站上注册才能进行查询。另外，还可以查询某个域名所对应的IP地址分配情况，也可以对某个IP地址进行查询以获得拥有该IP地址的机构信息。获取IP地址或地址段是进行精确网络扫描的基础。除了通过各WHOIS数据库维护方的网站上查询域名信息外，还可以通过各种工具查询WHOIS数据库。Windows和Linux操作系统中均有相关的WHOIS查询命令。例如，WHOISCL是Windows下的命令行版本的WHOIS数据库查询工具；Linux下也可以安装WHOIS工具。这些工具一般都支持用户添加WHOIS服务器，以支持更多的域名后缀的查询。DNS信息查询DNS是一个分布式数据库系统，以层次结构来存储IP地址、域名和邮件服务器等信息。根据DNS的层次结构，DNS命名空间也被分割成多个区域，各个区分别保存一个或多个DNS域的名称信息。域名服务器中的资源记录（ResourceRecord,RR）包含和域名相关的各项数据。资源记录包含很多种类，但常用的是Internet类（IN类），这种类包含多种不同的数据类型，如A类表示“由域名获得IPv4地址记录”，AAAA类表示“由域名获得IPv6地址记录”，MX类表示“域内邮件服务器地址记录”，NS类表示“域内权威域名服务器地址记录”。通常域名查询解析操作由多个DNS服务器提供，从而提供高可用性和容错性。大多数DNS系统的运行至少需要两台DNS服务器：一台主服务器和一台用来容错的辅助服务器。DNS服务器之间通过复制数据库文件来进行同步，这一过程称为“区域传送（ZoneTransfer）”。对于支持区域传送的目标DNS设施，攻击者可以利用这个操作获取目标DNS上的有用信息，域内所有主机域名及其对应的IP地址。使用区域传送查询DNS信息最常用的工具是nslookup，Windows系统和大多数Linux系统都支持这个命令。执行区域传送，必须使用“server[dns_server]”指定目标的主DNS服务器或辅助DNS服务器，然后使用“settype=ANY”命令为查询指定某种类型的记录，最后通过“ls–d[domain]”来请求目标域的DNS信息并将结果在屏幕上显示出来。需要说明的是，目前很多域名服务器已经对DNS区域传送进行了防御（禁止或限制请求来源）。网络拓扑发现查明目标网络的拓扑结构有利于找到目标网络的关键节点（例如路由器），从而提高攻击效率，达到最大攻击效果。我们一般通过Traceroute工具来跟踪TCP/IP数据包从出发点到目的地所经过路径来构建目标网络拓扑结构。Traceroute是一种网络故障诊断和获取网络拓扑结构的工具，通过发送小的数据包到目的设备直到接收到返回信息，来测量耗时，并返回设备的名称和地址；通过向目的地发送不同生存时间（TTL）的ICMP报文来确定到达目的地的路由。针对目标网络中的若干IP地址或域名（这些目标可以来自之前的WHOIS查询和DNS查询结果）进行路由查询，即可以分析出目标网络的拓扑结构。目前有不少图形化的分析工具用来辅助分析路由查询结果并构建拓扑结构，例如VisualRoute（/）等。利用社交网络获取信息社交网络已经构成了一组巨大的网民信息“大数据”，这些数据是了解攻击目标的重要情报来源。社交网络被认为拥有获取情报的天然优势。通过社交网络，可以挖掘出一个人的社会关系、朋友、敌人、工作、思维风格、喜好、厌恶、银行信息等，而这些信息对于网络攻击非常有帮助。利用社交网络进行情报搜集的方法可分为关注“用户”、关注“信息”和引导用户参与三种。1）关注“用户”。主要是利用社交网络的交互性特点，利用社交网络与想要关注的团体和个人建立联系，从中套取攻击目标有关的信息。2）关注“信息”。从社交网络上流动的海量信息中提取有用情报。针对社交网络的海量信息，搜集提取需要的信息内容，并运用先进的分析技术，特别是人工智能算法，对海量信息进行处理。3）主动邀请和引导社交网用户参与及建议。通过互动了解目标的相关信息，例如进行网络调查问卷等。利用Web网站获取信息Web站点通常会包含其组织机构的详尽信息，例如组织结构、员工名单、日程安排等。有经验的攻击者一般会仔细浏览目标对象的Web站点，查找自己感兴趣的信息。Web站点上可能被攻击者利用来攻击的比较有代表性的信息有：1）站点架构。一些站点会对其系统架构进行描述，这类信息往往能够给攻击带来便利。2）联系方式。企业员工的电话号码、邮箱地址、家庭住址等信息对于社会工程学非常有用。3）招聘信息。招聘信息往往会暴露公司需要哪方面的人才。4）公司文化。大多数机构的Web站点常常会披露机构的组织结构、会议安排、重要公告、工作日程、工作地点、产品资料等等，这些都可以用来进行社会工程学攻击。5）商业伙伴。可以了解公司的业务关系，对于公司的某些敏感信息很可能从其安全管理薄弱的合作伙伴那里取得。开源情报收集公开资源情报计划（OpenSourceIntelligence,OSINT）是美国中央情报局（CIA）最早启用的一种情报搜集手段，后泛指从各种公开的信息资源（如，报纸、电台、电视等新闻媒体，研究机构发布的研究报告，专家评论，论文，公开数据集，网站等）中寻找和获取有价值的情报，简称为“开源情报收集”。在网络攻防领域，开源情报收集是一种重要的网络侦察手段，对于掌握攻击目标信息，有针对性地制定作战方案具有重要意义。开源情报涉及大量的情报类型和收集工具，JustinNordine建立的开源情报收集框架（OSINTframework）包含了大量的开源情报及其收集工具链接，框架官网地址/。网络扫描（一）基本概念网络扫描技术，简单来说，就是对特定目标进行各种试探性通信，以获取目标信息的行为。网络扫描的方法和手段种类多样，攻击者通过网络扫描主要可以达成以下几种目的。（1）判断目标主机的工作状态，即判断目标主机是否联网并处于开机状态。（2）判断目标主机的端口工作状态，即端口处于监听还是处于关闭的状态。（3）判断目标主机的操作系统类型。通过远程扫描可以大致判断目标主机运行的是Windows操作系统、Linux操作系统，还是Solaris、IBMAIX等其他类型的操作系统。攻击者攻击时所采用的方法与目标主机的操作系统紧密联系。（4）判断目标主机可能存在的安全漏洞。向目标主机发送精心设计的探测数据包，根据目标主机的响应，能够判断出目标主机存在的安全漏洞。主机发现、端口扫描、操作系统识别和漏洞扫描是网络扫描的四种主要类型。（二）主机发现根据所采用的网络协议不同，主机发现技术可以划分为两类，一类是基于ICMP协议的主机发现，另一类是基于IP协议的主机发现。利用ICMP协议进行主机发现的最简单方法是使用ping命令。ping命令在网络中广泛使用，可以说是使用最频繁的网络命令。ping命令的作用是检查一台主机网络连接情况，其实质上是发送ICMP回送请求，根据是否收到对方主机的回答来判断对方是否是一台处于工作中的联网主机。除了回送请求之外，ICMP其他类型的查询报文也可以用于主机发现。例如，向某个IP地址发送地址掩码请求，并收到了回答，那么可以断定该IP地址对应于网络中的一台存活主机。向目标IP地址发送以ping命令为代表的ICMP查询报文是进行主机发现的一种简单易行的方法，但是这种方法存在一个严重缺陷。如果发送请求后没有接收到回答，不能简单地推断没有与该IP地址对应的存活主机。原因在于大部分防火墙会对ICMP查询报文进行过滤，查询报文无法到达目标主机。因此，没有接收到与ICMP查询报文对应的回答，无法确定是防火墙对ICMP查询报文进行了过滤，还是网络中没有与IP地址对应的存活主机。基于IP协议进行主机发现往往可以避免防火墙的影响，此类主机发现技术将向目标IP地址发送精心设计的IP数据包，诱使与目标IP地址对应的存活主机反馈ICMP差错报告报文，暴露自己的存活状态。在这类主机发现技术中，一种较为常用的方法是发送首部异常的IP数据包。TCP/IP体系结构中，IP数据包的头首部包括了版本、首部长度、服务类型、总长度、协议、首部校验和等多个字段，大部分字段的格式和内容都有严格要求。如果将一些值随意填入数据包的头首部，则接收数据包的主机在对数据包进行检查时往往会报错，将会向IP数据包的源主机返回“参数有问题”的ICMP差错报告报文。（三）端口扫描攻击者在主机发现的基础上，可以进一步获取主机信息以便进行网络攻击。对于网络主机而言，每一个处于监听状态的端口都与网络服务紧密联系，都是潜在的入侵通道。端口扫描技术能够使攻击者掌握主机上所有端口的工作状态，进而推断主机上开放了哪些网络服务，为更为高效精准的进行网络攻击奠定基础。端口扫描的基本原理是向目标主机的所有或者需要扫描的特定端口发送特殊的数据包，若该端口对应的网络服务对外提供该服务就会返回信息，扫描器通过分析其返回的信息以此判断目标主机端口的服务状态，发现特定主机提供了哪些服务，进而利用服务的漏洞对网络系统进行攻击。目前，根据使用的协议，主要有二类端口扫描技术：TCP扫描、UDP扫描（早期还有FTP代理扫描，现已很少使用）。为了应对复杂的网络情况，特别是目标网络中的安全防护系统，如防火墙、入侵检测系统，大多数网络扫描工具均支持多种扫描技术进行扫描。TCP协议由于具有面向连接、通信传输可靠的优点，HTTP服务、FTP服务、SMTP服务等很多重要的网络服务都是以其作为通信基础。对于TCP端口的扫描，最直接有效的方法是利用TCP连接的建立过程。主机上的一个TCP端口，如果能够通过三次握手与其建立TCP连接，那么可以断定该端口处于监听状态，或者说是开放的。对于目的主机上的待扫描TCP端口，TCP全连接扫描技术尝试通过与端口建立完整的TCP连接，根据连接建立的成败推断端口的工作状态。各种类型的网络编程语言都能够实现TCP三次握手，实现的方法通常是使用操作系统提供的connect函数。在扫描主机上指定目的主机和目的端口，调用connect函数与相应端口进行TCP三次握手，如果相应端口处于监听状态，则connect函数将成功，返回数值0。如果相应的端口处于关闭状态，connect函数将失败，函数将返回SOCKET_ERROR信息。使用connect函数进行扫描具有稳定可靠，对于端口状态的判定结果准确等优点。此外，这种扫描技术还有一个突出优点，即connect函数对于调用者没有任何权限要求。因为connect函数的功能是建立正常的TCP连接，系统中的任何用户都可以使用这个调用。TCP全连接扫描技术的主要缺点是扫描行为明显，容易被发现。一方面，失败的TCP连接请求以及相应产生的错误信息常常会被记录在目标主机的日志中，如果在短时间内针对主机的大量端口进行扫描，往往会产生大量的错误信息导致扫描行为暴露。另一方面，目标主机通常会记录下成功的TCP连接，如果攻击者利用扫描确定的开放端口进行攻击，在攻击成功后很容易被追溯。TCPSYN扫描与TCP全连接扫描相似，也是以TCP三次握手过程为基础，两者的主要区别在于TCPSYN扫描刻意不建立完整的TCP连接，以避免扫描行为的暴露。对TCP三次握手过程进行分析，可以看出在三次握手的第二阶段，即客户端接收到服务器端响应时已经能够确定端口的工作状态，无须完成三次握手的最后一步。TCPSYN扫描就是依据此思想进行，这种扫描技术也常常被称为“半开放”扫描。TCPFIN扫描技术不依赖于TCP的三次握手过程，它主要利用TCP报文段首部结构中的FIN标志位。按照RFC793的规定，主机端口接收到FIN标志位设置为1的报文时，如果端口处于关闭状态，应当回复RST标志位设置为1的报文，复位连接；如果端口处于监听状态则忽略报文，不进行任何回应。UDP协议是无连接的协议，在数据传输前没有连接建立的过程。使用UDP协议进行数据传输并不能保证数据安全、可靠的到达目的主机。但由于UDP协议具有良好的灵活性，因而很多网络服务，如DNS和SNMP，都使用UDP协议进行数据通信。由于UDP协议很简单，在通信过程中没有复杂的交互过程，这使得判断主机UDP端口的工作情况较为困难。目前对于UDP端口工作状态的判断，主要是基于这样一种通信特性：扫描主机向目标主机的UDP端口发送UDP数据包，如果目标端口处于监听状态，将不会做出任何响应；而如果目标端口处于关闭状态，将会返回ICMP_PORT_UNREACH错误。从表面上看，目标端口工作状态不同对扫描数据包将做出不同响应，区分度很好。但实际应用中必须考虑到UDP数据包和ICMP错误消息在通信中都可能丢失，不能保证到达，这将使得判断出现偏差。操作系统识别主机使用的操作系统不同，可能存在的漏洞也大相径庭。例如，Window操作系统和UNIX操作系统漏洞信息完全不同，即使同属Windows家族的WindowsXP系统和Windows2007系统所存在的安全漏洞也有很大差异，攻击者在攻击时必须相应采取不同的攻击措施。操作系统识别旨在确定目标主机所运行的操作系统，便于攻击者采取最有效的攻击方法和手段。操作系统识别的方法根据使用的信息可以划分为三类：通过旗标信息识别，通过端口信息识别，通过TCP/IP协议栈指纹识别。为了提高识别的准确率，实际的网络扫描工具软件，如Nmap，均是通过综合运用多种扫描方法进行远程探测，根据返回的结果综合分析给出最有可能的识别结果，一般用百分比表示，如识别准确率98％。旗标（banner）指的是客户端向服务器端提出连接请求时服务器端所返回的欢迎信息，像FTP、SMTP、Telnet等提供网络服务的程序通常都有旗标信息。服务程序的旗标虽然不会直接通告主机运行的操作系统，但可以通过旗标反映出的服务程序信息进行操作系统的判断。端口扫描的结果在操作系统检测阶段也可以加以利用。不同操作系统通常会有一些默认开放的服务，这些服务使用特定的端口进行网络监听。例如，WindowsXP、Windows2003等系统默认开放了TCP135端口、TCP139端口以及TCP445端口，而Linux系统通常不会使用这些端口。端口工作状态的差异能够为操作系统检测提供一定的依据。对TCP/IP协议栈指纹进行分析是最为精确的一种检测操作系统的方法。所有操作系统在实现TCP/IP协议栈时都是以RFC文档为参考依据，但由于很多边界情况在RFC中没有明确定义，不同操作系统在具体实现时存在细节差异。可以利用系统实现上的差异，向目标主机发送精心设计的探测数据包，根据得到的响应，来推断目标主机的操作系统。漏洞扫描漏洞扫描是端口扫描和操作系统识别的后续工作，对于计算机管理员和攻击者而言都有重要意义。计算机管理员希望能够通过漏洞扫描及时发现计算机的安全漏洞从而有针对性地进行安全加固。攻击者则希望利用扫描找到能够使自己获取系统访问权限甚至控制权限的安全漏洞。从对黑客攻击行为的分析和收集的漏洞类型来看，漏洞扫描绝大多数都是针对特定操作系统所提供的特定的网络服务，也就是针对操作系统中某一个特定端口的。目前主要通过以下两种方法来检查目标主机是否存在漏洞：（1）特征匹配法，利用资产指纹与漏洞特征来发现漏洞。在对目标网络进行了主机扫描、端口扫描、操作系统识别等扫描工作后得到了目标网络的资产指纹信息，将这些资产指纹信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足匹配条件的漏洞存在。这种方法也有不足之处：一是要求事先获得目标网络的所有资产及其指纹信息；二是特征匹配的准确性存在问题，可能导致误判和漏判。（2）渗透测试法，利用掌握的漏洞信息和利用代码对目标系统进行攻击性测试，若攻击成功，则表明目标主机系统存在安全漏洞。这种方法的好处是判断准确，不足之处有两点：一是需要了解漏洞的细节，掌握漏洞的利用代码，这在有些情况下比较难得到；二是直接对目标进行攻击，环节多，耗时长，并且攻击行为还存在合法性问题。根据扫描目标的不同，漏洞扫描可以划分为基于主机的漏洞扫描和基于网络的漏洞扫描两类。基于主机的漏洞扫描往往要求在被检查系统上安装特定的扫描程序，并且赋予程序管理员权限，以确保程序能够访问操作系统的内核、系统的配置文件以及系统中的各类应用程序。扫描程序依据特定的规则对系统进行分析以发现各类安全漏洞。基于网络的漏洞扫描要求扫描主机与被扫描的目标系统通过网络相连，两台主机之间能够进行正常的网络通信。很多网络漏洞扫描软件采用了网络应用常见的C/S架构，由客户端和服务器端两部分组成，如Nessus扫描软件采用的就是这种架构。漏洞库和扫描引擎位于服务器端，供用户使用的扫描控制台位于客户端。这种体系结构的优点在于如果多个用户需要使用扫描服务，他们不必都安装扫描软件的服务程序，只要一台主机有服务程序，所有用户都可以共享扫描服务。网络侦察防御网络管理员需要了解网络侦察知识，从而知道系统可能正在被侦察，为系统可能遭受的攻击做更多的准备，并进行脆弱性分析，了解哪些信息正在被泄露并掌握系统存在的弱点。1.防御搜索引擎侦察防御己方的Web站点，避免其沦为搜索引擎和基于Web侦察的受害者，有两方面的工作要做：首先，对Web站点内容建立严格的信息披露策略，其次，要求搜索引擎移除不期望公开的Web页面索引。2.防御WHOIS查询因为要保证WHOIS信息可以被其他合法管理员获取，所以完全防御攻击者查询注册信息是不可能的。那么防御攻击者WHOIS查询的措施就是保证注册记录中没有额外可供攻击者使用的信息，比如管理员的账户名。另外，注册信息多被攻击者利用来进行社会工程学攻击，所以还要对员工进行培训，使他们避免掉进社会工程学攻击的圈套。此外，WHOIS数据库服务提供商也会采取措施，限制公开可访问的域名信息，对敏感信息需要经过认证和授权才可以访问。3.防御DNS侦察可以从以下三个方面来防御DNS侦察。1）避免通过DNS泄露额外