(本论文是笔者为学习《网络攻防技术》而总结的,侵略删除) )。
信息收集是网络攻击的第一步,是最重要的阶段,也是最耗时的阶段。 但是,信息的收集也不仅可以在攻击前进行,还可以夹杂攻击的各个阶段进行。
一、信息收集概况(一)信息收集的内容
进入目标时,从目标的域名、IP地址开始
了解系统缺陷和漏洞的情况,包括目标操作系统类型、开放端口、提供开放端口的服务或APP应用程序、漏洞、防火墙和入侵检测系统的情况(信息收集重点)
主要包括管理漏洞、系统漏洞和协议漏洞
(1)管理漏洞)目标系统信息泄露、配置错误、未采用必要的安全系统、设置弱密码等
)2)系统漏洞:未能及时更新导致的漏洞、系统设计缺陷等
(3)协议漏洞)入侵过程中需要进一步收集的信息,如认证协议、网络传输协议的设计缺陷等:
(二)信息收集的方法
技术手段(公开信息采集、网络扫描、漏洞扫描、网络拓扑发现非技术手段)社会工程等二、信息采集的技术手段(一)公开信息收集
使用Web服务
存在安全隐患的公共信息包括:
(1)网站提供的公共邮箱:
发送网络钓鱼邮件以欺骗和下载邮箱用户,运行包含恶意代码附件的邮件,以及使用社会工作者和词典解密邮箱
)2)网站所有页面的有用信息
例如,网络拓扑、网页源代码注释、目标域名、站点地址、站点模板、网络管理员信息、公司人员列表、电话使用搜索引擎服务
常用搜索引擎:谷歌、百度、Bing;
网络设备信息检索: Shoda、Censys;
查找源代码: Github
重要的是合理提取搜索关键词。 以谷歌为例的搜索技巧:
(1)检索具有在intitle/allintitle )标题中指定的关键字的页面
) inurl/allinurl :搜索包含指定关键字的URL地址的网页
(3) site )在指定网站内检索指定的关键字
(4) filetype )检索指定类型的文件
) link )返回链接到某个URL地址的所有页面
(6) related )检索与指定网站相关的主页
)7) cache :表示用谷歌缓存进行检索
(8) intext )检索正文中出现指定关键词的网页,使用Whois服务
注册的域名、域名注册人和相关管理员的联系方式(上次我们做项目时,我们找到了有联系人的私人电子邮件地址。 简直就是福利啊)、域名注册时间和更新时间、权威DNS服务器的IP地址等
如何查询Whois信息:提供域名查询服务主页: SamSpade、Whois利用DNS域名服务通过公共渠道收集有用的个人信息等具有Whois查询功能的网络工具
)1)在同窗会录中寻找目标
)2)在论坛、聊天室设置“钓鱼”陷阱
(3)建立信息收集
)4)基于搜索引擎的数据挖掘
)网站销售注册信息(二)网络扫描
主要分为主动扫描和被动扫描(主要是嗅探器)两种类型,包括主机扫描、端口扫描和系统类型扫描
主机扫描:
(1)使用ICMP扫描(ICMP查询、ICM推送、ICMP枚举);
(2)其他类型的主机扫描)构建异常的IP报头、在IP报头中设置无效的字段值、构建错误的数据区块、超长数据包检测内部路由器、超长数据包检测内部路由器、反向映射轮询
)1)连接扫描
)2)同步扫描和精细扫描
)3)其他端口扫描技术(同步ack扫描; TCP XMAS扫描; 空扫描; IP分段扫描、IP分段扫描、TCP FTP代理扫描对于扫描来说,NMAP ! ! ! 神一般的存在!
)4) UDP端口扫描)向目标主机上的UDP端口自由发送数据系统类型扫描:
判断对象系统的操作系统类型和版本、APP应用程序的版本等
(1)使用端口扫描结果
Windows :端口137、139、445等
Linux :端口512、513、514、2049等
QQ:8000;
SQL服务器: 1521
甲骨文: 2030;
Web代理服务器: 8080
)2)使用Banner
)3) TCP/IP协议栈指纹(最准确)(三)漏洞扫描
漏洞扫描分类:
(1)基于网络的漏洞扫描)从外部攻击者的角度扫描目标网络和系统,主要用于贪婪网络协议和计算机系统网络服务中存在的漏洞(漏洞信息收集工具)
)2)基于主机的漏洞扫描)从系统用户的角度检测计算机系统的漏洞,发现存在于APP应用软件、注册表或用户配置等中的漏洞扫描程序的配置。
(1)漏洞数据库模块
)2)扫描引擎模块
)3)用户设置控制台模块
)4)当前活动的基于扫描知识库的模块
(
5)结果存储器和报告生成工具(四)网络拓扑探测
拓扑探测(1)Traceroute技术
(2)SNMP:简单网络管理协议(C/S模式)
可以获取网段情况:机器名字、硬件信息、系统配置、路由表、网络连接情况网络设备识别
扫描整个目标网络的网络地址,发现存在的各种终端设备并获得各设备的系统和版本信息,将设备信息与漏洞信息进行关联,可以反映出网络终端设备的分布情况和存在的脆弱点
方法:①利用专用设备搜索引擎(如Shodan、ZoomEye)、②探测设备的多维特征形成指纹与指纹库对比
(1)Shodan侧重于从主机层面进行探测,ZoomEye更侧重于从应用服务尤其是Web应用层面进行扫描和识别
(2)FTP协议、SSH协议、Telnet协议、HTTP协议等有一些特定的旗标网络实体IP地理位置定位:
确定一个网络目标节点在某个粒度层次的地理位置(IP定位–利用IP地址寻找地理坐标映射),可以通过已知数据库的查询和网络测量定位实现
(1)基于查询信息的定位:结果受限于注册信息的准确性,通常只能得到粗粒度的定位结果
(2)基于网络测量的定位:利用探测源的与目标实体的时延、拓扑或其他信息估计,得到的定位结果为一个单点或区域
PS:利用时延进行定位的方法,认为网络实体之间的时延与距离具有相关性