踩點與漏洞掃描

1、第二章 踩點與網(wǎng)絡(luò)掃描11、踩點（信息收集） 概念信息收集是指通過各種方式獲取所需要的信息。信息收集是信息得以利用的第一步，也是關(guān)鍵的一步。信息收集工作的好壞，直接關(guān)系到入侵與防御的成功與否。收集的主要信息 域名、IP地址、操作系統(tǒng)、主機類型、漏洞情況、開放端口、帳戶密碼等。21、踩點（信息收集） 為了保證信息收集的質(zhì)量，應(yīng)堅持以下原則：（1）準(zhǔn)確性原則 該原則要求所收集到的信息要真實，可靠。這是最基本的要求。（2）全面性原則 該原則要求所搜集到的信息要廣泛，全面完整。（3）時效性原則 信息的利用價值取決于該信息是否能及時地提供，即它的時效性。信息只有及時、迅速地提供給它的使用者才能有效地發(fā)揮

2、作用。32.信息收集技術(shù)信息收集非技術(shù)手段合法途徑從目標(biāo)機構(gòu)的網(wǎng)站獲取新聞報道，出版物新聞組或論壇社會工程手段假冒他人，獲取第三方的信任搜索引擎42.1 搜索引擎 搜索引擎是自動從因特網(wǎng)收集信息，經(jīng)過一定整理以后，提供給用戶進(jìn)行查詢的系統(tǒng)。它包括信息搜集、信息整理和用戶查詢?nèi)糠?。搜索引擎使用技?Google Hackingintext:將網(wǎng)頁中正文中的字符作為搜索條件，例如：輸入“intext:安全”，將搜索出正文里包含“安全”關(guān)鍵字的網(wǎng)頁。allintext:與intext類似。intitle:在網(wǎng)頁標(biāo)題中搜索包含關(guān)鍵字的網(wǎng)頁，例如：輸入“intitle:管理”，即可找出網(wǎng)頁標(biāo)題中包含“

3、管理”的網(wǎng)頁。allintitle:與intitle類似。6cache:在google的緩存里搜索，這里可能會找到很多很有用的東西哦，雖然此刻網(wǎng)頁已經(jīng)刪除，但google服務(wù)器里還保存有。define:查找詞語的定義，例如：輸入“define hacker”，即可找到“hacker”的相關(guān)定義。:查找指定類型的網(wǎng)頁，這個關(guān)鍵字非常有用，例如：輸入“”即可找出文件類型為bak的文件（該文件很可能由各種編輯器自動備份產(chǎn)生，有可能找到網(wǎng)站的源碼）；又如，通常黑客會嘗試下載網(wǎng)站的數(shù)據(jù)庫文件（*.mdb），即可用“”來搜索，找到數(shù)據(jù)庫文件后直接下載，或許就能得到網(wǎng)站的權(quán)限。7info:查找指定站點的基本

4、信息。inurl:查找在url中包含搜索詞的網(wǎng)頁，例如：黑客慣用的“inurl:admin”偶爾就能搜索出網(wǎng)站的登錄頁面，從而進(jìn)行下一步的攻擊。link:搜索與某網(wǎng)站做了鏈接的網(wǎng)頁，例如：輸入“l(fā)ink:”即可搜索出包含有鏈接到“”的網(wǎng)頁（這個可以用來找出有多少網(wǎng)頁在鏈接你的網(wǎng)站哦）。site:用于搜索某一域內(nèi)的網(wǎng)頁，例如：輸入“site:”，即可實現(xiàn)在“”域內(nèi)搜索的目的。8還有一些符號在搜索中也是很有用的：+ 必須包含有的搜索詞；- 不能包含的搜索詞； 搜索同意詞；. 單一通配符；* 通配符，可匹配多個字符；“” 精確的查詢。 92.2 域名解析域名：為了方便記憶而專門建立的一套地址轉(zhuǎn)換系統(tǒng)

5、。一個域名對應(yīng)一個IP地址，而多個域名可以同時被解析到一個IP地址。域名解析：域名到IP地址的轉(zhuǎn)換過程。域名解析服務(wù)器：DNSDomain Name System。10- 代表商業(yè)性公司baidu代表公司名字www代表baidu公司的一臺3W服務(wù)器動態(tài)DNS服務(wù)，就是將固定的域名和動態(tài)的IP地址實時對應(yīng)的服務(wù)。112.3 路由跟蹤 概念路由跟蹤就是從本地開始到達(dá)某一目標(biāo)地址所經(jīng)過的路由設(shè)備，并顯示出這些路由設(shè)備的IP、連接時間等信息。作用：如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點，方便維護(hù)人員的維護(hù)工作。對于“黑客”來說，這是個很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。

6、這對于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。 tracert ：用IP生存時間TTL字段和ICMP錯誤消息來確定從一個主機到網(wǎng)絡(luò)上其他主機的路由。 三個時間分別是發(fā)送的三個測試數(shù)據(jù)報的響應(yīng)時間1213Ping 、fping、ping sweepARP探測FingerWhoisDNS/nslookup搜索引擎（google、百度）telnet3.信息收集的工具軟件(技術(shù)手段)14ping作用和特點 ping命令是入侵者經(jīng)常使用的網(wǎng)絡(luò)命令，該命令應(yīng)用的是簡單網(wǎng)絡(luò)管理協(xié)議ICMP的一個管理方法，其目的就是通過發(fā)送特定形式的ICMP包來請求主機的回應(yīng)，進(jìn)而獲得主機的一些屬性。它的使用有些“投石問路”的味

7、道。道理雖然簡單，但是這個命令的用途卻非常廣泛，通過這個命令，入侵者可以來試探目標(biāo)主機是否活動，可以來查詢目標(biāo)主機的機器名，還可以配合ARP命令查詢目標(biāo)主機MAC地址，甚至可以推斷目標(biāo)主機操作系統(tǒng)或者進(jìn)行DDoS攻擊等。15原理Type = 8Type = 0ping類型為8，表示“回響請求”類型為0，表示“回響應(yīng)答”16主機在線情況主機不應(yīng)答情況1）主機不在線2）防火墻阻斷ICMP探測17ping表示5機器不在線；或者防火墻阻斷。18ping使用ping命令探測操作系統(tǒng)。不同的操作系統(tǒng)對于ping的TTL返回值是不同的，參見下表。操作系統(tǒng)默認(rèn)TTL返回值UNIX類255Windows 95/

8、9832Windows NT/2000/XP128Compaq Tru64 5.06419舉例1：Reply from 0: bytes=32 time1ms TTL=32Reply from 0 表示回應(yīng)ping的ip地址是0。bytes=32 表示回應(yīng)報文的大小，這里是32字節(jié)。time? /查看help28Nslookup29通過nslookup獲得子域名set querytype=anyxxx.xxx #輸入域名后根據(jù)輸出內(nèi)容找到dns服務(wù)器 primary name server = ns1.xxx.xxx.xxxserver ns1.xxx.xxx.xxx #連接DNS服務(wù)器ls

9、-d xxx.xxx 3031信息收集實訓(xùn)一、由域名得到網(wǎng)站的IP地址獲取學(xué)院對外網(wǎng)站的IP地址方法一：ping方法二：nslookup32信息收集實訓(xùn)二、由IP地址得到目標(biāo)主機的地理位置 獲取學(xué)院對外網(wǎng)站的ip地址后，可以通過查詢IP數(shù)據(jù)庫來得到該IP地址所對應(yīng)的地理位置。33信息收集實訓(xùn)三、網(wǎng)站基本信息查詢 商業(yè)網(wǎng)站中都會有個紅盾標(biāo)志，它一般會在主頁的最下角，是國家工商局用來管理經(jīng)營性網(wǎng)站的紅盾標(biāo)志（），里面記錄了網(wǎng)站的備案登記信息。因此，凡是經(jīng)營性網(wǎng)站都會有這個“紅盾”鏈接，單擊該鏈接，就會看見工商局公布的關(guān)于該網(wǎng)站的一些基本信息。34信息收集實訓(xùn)四、網(wǎng)站注冊信息搜集 一個網(wǎng)站在正式發(fā)布

10、之前，需要向有關(guān)機構(gòu)申請域名。申請到的域名信息將保存在域名管理機構(gòu)的數(shù)據(jù)庫服務(wù)器中，并且域名信息常常是公開的，任何人都可以查詢。然而正是這個域名信息暴露給入侵者許多敏感信息。 通常，查詢域名注冊信息的方法被稱為“WHOIS”。Windows下可以通過以下幾個網(wǎng)站來查詢域名注冊信息。中國互聯(lián)網(wǎng)絡(luò)信息中心中國萬網(wǎng)35信息收集實訓(xùn)五、網(wǎng)絡(luò)路由探測1VisualRoute探測 VisualRoute是圖形化的路由跟蹤工具，它是為了方便網(wǎng)管分析網(wǎng)絡(luò)故障節(jié)點而設(shè)計的。可以使用專門的VisualRoute軟件，也可以到使用該網(wǎng)站提供的VisualRoute功能。 VisualRoute Server集成了p

11、ing，WHOIS與traceroute程序功能，自動分析網(wǎng)絡(luò)連接結(jié)果并呈現(xiàn)在世界地圖上（鼠標(biāo)左鍵放大，右鍵縮?。峁谋本?、香港、臺灣、上海、深圳、中山到指定的任一個域名或IP的ping結(jié)果和圖形化的路由信息。36信息收集實訓(xùn)五、網(wǎng)絡(luò)路由探測2tracert命令推斷 tracert是路由跟蹤命令，通過該命令的返回結(jié)果，可以獲得本地到達(dá)目標(biāo)主機所經(jīng)過的網(wǎng)絡(luò)設(shè)備。用法：tracert -d -h maximum_hops -j host-list -w timeout target_name37信息收集實訓(xùn)看一個到新浪的實例：使用命令“tracert ”。C:tracert Tracing r

12、oute to 2over a maximum of 30 hops: 1 1 ms 1 ms 1 ms 210. 2 1 ms 1 ms 1 ms 210. 3 1 ms 1 ms 1 ms 202. 4 6 ms 6 ms 6 ms 202. 5 19 ms 18 ms 19 ms 202. . 6 19 ms 20 ms 19 ms 202. 7 * * * Request timed out. 8 1776 ms 1762 ms 1758 ms 219. 9 1766 ms 1757 ms 1769 ms 210 1580 ms 1572 ms 1557 ms 7411 1678 ms

13、 1732 ms 1642 ms 5812 1650 ms 1662 ms 1616 ms 202.108. 37.42Trace complete.結(jié)合前面講過的網(wǎng)絡(luò)基本結(jié)構(gòu)，第7跳的網(wǎng)絡(luò)設(shè)備沒有響應(yīng)，所以第7跳應(yīng)該是“防火墻”。384、網(wǎng)絡(luò)掃描 通過工具軟件，進(jìn)行網(wǎng)絡(luò)主機開放端口、弱口令、系統(tǒng)漏洞等掃描，以查找發(fā)現(xiàn)可以入侵的系統(tǒng)主機。39掃描分類TCP全連接開放掃描半開放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfr

14、om/write掃描ACK掃射SYN掃射ICMP掃射40掃描技術(shù)分析常規(guī)掃描技術(shù)調(diào)用connect函數(shù)直接連接被掃描端口無須任何特殊權(quán)限速度較慢，易被記錄高級掃描技術(shù)利用探測數(shù)據(jù)包的返回信息（例如RST）來進(jìn)行間接掃描較為隱蔽，不易被日志記錄或防火墻發(fā)現(xiàn)41完全連接掃描(TCP connect掃描)ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉42TCP connect掃描直接用connect連接對方的端口連接成功，說明對方端口是開放的優(yōu)點簡單，不需要特權(quán)用戶缺點容易被察覺在應(yīng)用日志中會有記錄下來一些

15、沒有任何動作的連接43被掃描主機開放的端口不提供服務(wù)的端口防火墻過濾的端口 掃描器SYNSYNSYNSYN+ACK握手RST 重置沒有回應(yīng)或者其他利用TCP三次握手的第一次進(jìn)行掃描。半連接SYN掃描(TCP SYN掃描)44TCP SYN掃描Half open scan 在3次握手完成前終止連接方法發(fā)SYN如果收到RST，說明端口關(guān)閉如果收到SYN ACK，說明端口開放，發(fā)送RST優(yōu)點應(yīng)用程序日志沒有記錄缺點復(fù)雜，需要自己構(gòu)造數(shù)據(jù)包很多系統(tǒng)要超級用戶才能進(jìn)行容易被發(fā)現(xiàn)45ClientACKServerRSTClientACKServer-端口開放端口關(guān)閉隱蔽掃描：ACK46隱蔽掃描：FINCl

16、ientFINServerRSTClientFINServer-未監(jiān)聽端口在監(jiān)聽端口473.4 端口掃描工具NmapXscan SuperScan Shadow Security Scanner MS06040Scanner 48Nmap探測工具王功能NMAP是探測網(wǎng)絡(luò)主機和開放服務(wù)的佼佼者。是Linux下使用者的最愛，現(xiàn)在已經(jīng)有Windows的版本。NMAP支持多種協(xié)議的掃描如UDP，TCP connect,TCP SYN, (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN swee

17、p, 和Null掃描。還提供一些實用功能，比如通過tcp/ip來甄別操作系統(tǒng)類型；秘密掃描、動態(tài)延遲和重發(fā)；欺騙掃描、端口過濾探測、分布掃描等。 4950-sT TCP Connect()掃描這是對TCP的最基本形式的偵測。對目標(biāo)主機端口進(jìn)行試探，如果該端口開放，則連接成功，否則代表這個端口沒有開放。 -sS TCP SYN掃描就是我們介紹的半開式的掃描，速度會比connect掃描快。-sF -sX sNStealth FIN,Xmas Tree 或者Null掃描模式。 -sP Ping掃描對指定的IP發(fā)送ICMP，如果對方屏蔽了echo request，nmap還能發(fā)送一個TCP ack包到80端口探測。-sU UDP掃描確定某個UDP端口是否打開。 515