網絡攻防原理與技術 第3版 教案 -第4講 網絡偵查技術

內容備注《網絡攻防原理與技術》課程教案講課題目：第四講網絡偵查技術目的要求：了解網絡偵察的主要內容；掌握網絡偵查的常用方法；掌握網絡掃描的主要技術；了解網絡偵察的防御方法。重點難點：網絡偵查的常用方法；網絡掃描的主要技術。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學內容:一、網絡偵查概述根據MITREATT&CK模型，網絡偵察行為可分為10種。1）主動掃描（ActiveScanning）主動掃描是指通過網絡流量主動探測目標網絡基礎設施相關的信息，包括：掃描目標IP地址塊（ScanningIPBlocks）中的所有IP地址來收集信息（如在線的主機、開放的網絡端口、系統(tǒng)指紋等），漏洞掃描（VulnerabilityScanning，發(fā)現目標主機/設備上存在的已知安全漏洞），詞表掃描（WordlistScanning）。詞表掃描中的詞表內容通常包括通用的、常用的名字、文件擴展名或與特定軟件有關的詞匯（term）。2）收集目標主機信息（GatherVictimHostInformation）主機信息主要涉及主機的管理和配置，包括：目標硬件平臺（Hardware）信息、軟件（Software）信息、固件（Firmware）信息、客戶機配置（ClientConfiguration）信息。3）收集目標身份信息（GatherVictimIdentityInformation）目標身份信息包括個人信息（如姓名，Email地址，住址、電話等聯系信息等）以及敏感的身份認證信息，如賬號憑證（credentials）。4）收集目標網絡信息（GatherVictimNetworkInformation）網絡信息主要包括：域名信息（DomainProperties），如域名稱、域名注冊人及聯系人的電子郵件、電話、通信地址等聯系信息、名字服務器等；DNS信息，包括注冊的域名服務器及服務器中的域名記錄；網絡可信相關方信息（NetworkTrustDependencies）；網絡拓撲信息（Topology）；網絡安全應用（NetworkSecurityAppliances）信息，如防火墻、內容過濾設備、代理/堡壘主機等安全設備的部署信息。5）收集目標組織信息（GatherVictimOrgInformation）目標組織信息主要涉及分部/部門信息、商業(yè)運行信息、關鍵雇員的角色及分工等，具體包括：物理位置（PhysicalLocations），通過物理位置可以推斷該組織的關鍵資源和信息技術基礎設施所在的地理位置、行政區(qū)域等信息；業(yè)務關系（BusinessRelationships），利用一個組織與其二級或第三方合作伙伴（如受管理的服務提供商、承包商等）之間的關系信息，一方面可以利用與組織網絡互聯的合作伙伴的網絡進入組織的網絡，另一方面通過這些信息可以進一步了解該組織的軟硬件資源的供應鏈和運輸路徑；業(yè)務活動時間（IdentifyBusinessTempo），如每周的工作日以及每天的工作時間；人員角色信息（IdentifyRoles），如關鍵員工的角色（職務）以及這些角色能夠訪問的數據/資源權限等。6）信息釣魚（PhishingforInformation）信息釣魚是指向目標發(fā)送釣魚消息，誘騙目標泄露一些對后續(xù)攻擊有用的信息。與釣魚攻擊（Phishing）不同的是，信息釣魚的目的是從受害者那里收集數據，而不是執(zhí)行惡意代碼。7）搜索閉源資源（SearchClosedSources）攻擊方有時需要從一些閉源資源（ClosedSources）中搜索、收集與攻擊目標有關的信息，例如：從威脅情報服務提供商（ThreatIntelVendors）購買數據；從可信的私有資源和數據庫提供商付費訂購相關技術情報數據，當然有時也會從不可信渠道（如暗網、網絡黑市）購買情報數據。8）搜索公開技術數據庫（SearchOpenTechnicalDatabases）互聯網上有大量公開（開源）的數據庫或數據查詢服務，從這些公開數據庫中可以搜索、整理出大量有價值的目標相關信息，例如查詢DNS服務器、WHOIS數據庫、公共數字證書（DigitalCertificates）數據、CDN（ContentDeliveryNetwork）數據。此外，互聯網上還有很多發(fā)布互聯網掃描/調查結果的在線服務，通過它們可以查詢到很多與目標有關的信息。9）搜索公開網站/域（SearchOpenWebsites/Domains）從公開可訪問的網站/域中搜索與目標有關的信息，如求職網站、社交媒體（SocialMedia）、搜索引擎（SearchEngines，如百度、Google、ZoomEye、Shodan）、代碼庫（CodeRepositories，如GitHub、GitLab、SourceForge、BitBucket）。10）搜索攻擊目標的網站（SearchVictim-OwnedWebsites）攻擊目標自己的網站常常包含大量有價值的信息，例如公司的組織架構（部門及名稱）、地理位置、關鍵員工信息（姓名、職務、聯系方式、權力等信息）、業(yè)務信息、合作伙伴信息等。這些信息對于實施網絡滲透、社會工程學攻擊具有重要意義。二、信息收集方法（一）搜索引擎信息收集對網絡偵察而言，要想提高搜索引擎在網絡偵察中的利用效率和查詢精度，攻擊者需要更加明確地向搜索引擎表達需要檢索的內容。下面讓我們來看看百度檢索中幾個常用的命令和操作符。1.intitle:[檢索條件]用途：用于檢索標題中含有特定文本（檢索條件）的頁面。如果在搜索框中輸入關鍵詞，只要是頁面中含有這個關鍵詞，這些頁面都會被搜索出來，而使用intitle命令，則僅返回標題中有這個關鍵詞的網頁。2.site:[域]用途：返回與特定域相關的檢索結果。域的層次沒有限制，可以是具體的域，如，也可以是如.edu、.org等頂級域。3.filetype:[文件后綴]用途：檢索特定類型的文件，比如PPT,PPTX,DOC,DOCX,XLS,XLSX,PDF等。4.link:[Web頁面]用途：給出和指定Web頁面相鏈接的站點。通過這個命令可以快速查找與目標站點有業(yè)務關系的網站。5.inurl:[關鍵詞]用途：限定在URL中搜索。通常情況下，任何網站的URL都不是隨意設置的，而是含有一定用意，并且URL鏈接和網頁內容密切相關?？梢岳眠@種相關性來縮小搜索范圍，快速準確地找到所需信息。6.cache:[關鍵詞]用途：顯示來自Baidu快照的頁面內容。用于查找最近被移出或當前不可用的頁面。很多時候會把各種檢索命令和操作符組合起來，用于查找與特定目標有關的有用信息。如果要在互聯網上搜索主機、服務器、攝像頭、打印機、路由器等設備，則需要使用專用的搜索引擎，典型代表有Shodan（撒旦，其名字取自風靡一時的電腦游戲SystemShock中的邪惡主機，官網http://www.shodan.io），ZoomEye(鐘馗之眼，官網)和FOFA（官網/）。Shodan搜索對象分為網絡設備、網絡服務、網絡系統(tǒng)、banner信息關鍵字等四類。網絡設備又分為網絡連接設備和網絡應用設備。網絡連接設備是指將網絡各個部分連接成一個整體的設備，主要包括：Hub（集線器）、Modem（調制解調器）、Switch（交換機）、Router（路由器）、Gateway（網關）、Server（各種網絡服務器）。網絡應用設備是指供助因特網提供的服務，實現了特定設計功能的設備，常見的有打印機（printer）、攝像頭（netcam）、智能電視（TV）以及工業(yè)生產領域大量使用的傳感器、控制單元等。網絡服務是指網絡提供的各種服務，如FTP、HTTP、Apache、IIS等。網絡系統(tǒng)既包括操作系統(tǒng)（如Windows，Linux，Solaris，AIX等），也包括工業(yè)生產領域廣泛使用的各類控制系統(tǒng)，如數據采集與監(jiān)視控制系統(tǒng)（SupervisoryControlAndDataAcquisition,SCADA）、分散控制系統(tǒng)（DistributedControlSystem,DCS）\配電網管理系統(tǒng)（DistributionManagementSystem，DMS）等。Banner信息關鍵字類搜索對象是指用戶分析Shodan搜索返回的banner后，將其中的關鍵字作為搜索對象，如弱口令（defaultpassword）、匿名登錄（anonymouslogin）、管理員（admin）、HTTP報頭（如HTTP200OK）等。Shodan搜索的工作原理：Shodan服務器從所有已分配的IP地址中任選一個，然后嘗試通過不同端口與其建立IP連接。在此過程中，Shodan服務器記錄那些返回banner信息的目的主機，并將返回的banner信息寫入數據庫。Banner信息是指服務器在向客戶機提供服務前，告知客戶機關于本機提供相關網絡服務的系統(tǒng)及軟件信息，以便客戶機更好地與服務器建立會話。WHOIS查詢在互聯網上建立網站服務器、電子郵件服務器或其他服務時，需要向相關機構注冊域名以方便用戶訪問。相關的注冊資料，比如域名、個人聯系方式、IP地址、機構地址等會被保存到若干個WHOIS數據庫和DNS數據庫中，這些數據庫由注冊機構和互聯網基礎設施組織所維護。攻擊者可以通過查詢WHOIS數據庫獲取目標站點的注冊信息，然后利用這些信息進行后續(xù)攻擊。早期可以從域名注冊機構的WHOIS數據庫中查詢該域名的上述很多信息，如管理人和技術人員聯系信息（郵箱、電話、地址等）。出于安全和隱私保護的原因，現在絕大多數WHOIS數據庫，不再向非授權用戶提供域名的詳細信息，并且很多時候需要在其網站上注冊才能進行查詢。另外，還可以查詢某個域名所對應的IP地址分配情況，也可以對某個IP地址進行查詢以獲得擁有該IP地址的機構信息。獲取IP地址或地址段是進行精確網絡掃描的基礎。除了通過各WHOIS數據庫維護方的網站上查詢域名信息外，還可以通過各種工具查詢WHOIS數據庫。Windows和Linux操作系統(tǒng)中均有相關的WHOIS查詢命令。例如，WHOISCL是Windows下的命令行版本的WHOIS數據庫查詢工具；Linux下也可以安裝WHOIS工具。這些工具一般都支持用戶添加WHOIS服務器，以支持更多的域名后綴的查詢。DNS信息查詢DNS是一個分布式數據庫系統(tǒng)，以層次結構來存儲IP地址、域名和郵件服務器等信息。根據DNS的層次結構，DNS命名空間也被分割成多個區(qū)域，各個區(qū)分別保存一個或多個DNS域的名稱信息。域名服務器中的資源記錄（ResourceRecord,RR）包含和域名相關的各項數據。資源記錄包含很多種類，但常用的是Internet類（IN類），這種類包含多種不同的數據類型，如A類表示“由域名獲得IPv4地址記錄”，AAAA類表示“由域名獲得IPv6地址記錄”，MX類表示“域內郵件服務器地址記錄”，NS類表示“域內權威域名服務器地址記錄”。通常域名查詢解析操作由多個DNS服務器提供，從而提供高可用性和容錯性。大多數DNS系統(tǒng)的運行至少需要兩臺DNS服務器：一臺主服務器和一臺用來容錯的輔助服務器。DNS服務器之間通過復制數據庫文件來進行同步，這一過程稱為“區(qū)域傳送（ZoneTransfer）”。對于支持區(qū)域傳送的目標DNS設施，攻擊者可以利用這個操作獲取目標DNS上的有用信息，域內所有主機域名及其對應的IP地址。使用區(qū)域傳送查詢DNS信息最常用的工具是nslookup，Windows系統(tǒng)和大多數Linux系統(tǒng)都支持這個命令。執(zhí)行區(qū)域傳送，必須使用“server[dns_server]”指定目標的主DNS服務器或輔助DNS服務器，然后使用“settype=ANY”命令為查詢指定某種類型的記錄，最后通過“l(fā)s–d[domain]”來請求目標域的DNS信息并將結果在屏幕上顯示出來。需要說明的是，目前很多域名服務器已經對DNS區(qū)域傳送進行了防御（禁止或限制請求來源）。網絡拓撲發(fā)現查明目標網絡的拓撲結構有利于找到目標網絡的關鍵節(jié)點（例如路由器），從而提高攻擊效率，達到最大攻擊效果。我們一般通過Traceroute工具來跟蹤TCP/IP數據包從出發(fā)點到目的地所經過路徑來構建目標網絡拓撲結構。Traceroute是一種網絡故障診斷和獲取網絡拓撲結構的工具，通過發(fā)送小的數據包到目的設備直到接收到返回信息，來測量耗時，并返回設備的名稱和地址；通過向目的地發(fā)送不同生存時間（TTL）的ICMP報文來確定到達目的地的路由。針對目標網絡中的若干IP地址或域名（這些目標可以來自之前的WHOIS查詢和DNS查詢結果）進行路由查詢，即可以分析出目標網絡的拓撲結構。目前有不少圖形化的分析工具用來輔助分析路由查詢結果并構建拓撲結構，例如VisualRoute（/）等。利用社交網絡獲取信息社交網絡已經構成了一組巨大的網民信息“大數據”，這些數據是了解攻擊目標的重要情報來源。社交網絡被認為擁有獲取情報的天然優(yōu)勢。通過社交網絡，可以挖掘出一個人的社會關系、朋友、敵人、工作、思維風格、喜好、厭惡、銀行信息等，而這些信息對于網絡攻擊非常有幫助。利用社交網絡進行情報搜集的方法可分為關注“用戶”、關注“信息”和引導用戶參與三種。1）關注“用戶”。主要是利用社交網絡的交互性特點，利用社交網絡與想要關注的團體和個人建立聯系，從中套取攻擊目標有關的信息。2）關注“信息”。從社交網絡上流動的海量信息中提取有用情報。針對社交網絡的海量信息，搜集提取需要的信息內容，并運用先進的分析技術，特別是人工智能算法，對海量信息進行處理。3）主動邀請和引導社交網用戶參與及建議。通過互動了解目標的相關信息，例如進行網絡調查問卷等。利用Web網站獲取信息Web站點通常會包含其組織機構的詳盡信息，例如組織結構、員工名單、日程安排等。有經驗的攻擊者一般會仔細瀏覽目標對象的Web站點，查找自己感興趣的信息。Web站點上可能被攻擊者利用來攻擊的比較有代表性的信息有：1）站點架構。一些站點會對其系統(tǒng)架構進行描述，這類信息往往能夠給攻擊帶來便利。2）聯系方式。企業(yè)員工的電話號碼、郵箱地址、家庭住址等信息對于社會工程學非常有用。3）招聘信息。招聘信息往往會暴露公司需要哪方面的人才。4）公司文化。大多數機構的Web站點常常會披露機構的組織結構、會議安排、重要公告、工作日程、工作地點、產品資料等等，這些都可以用來進行社會工程學攻擊。5）商業(yè)伙伴。可以了解公司的業(yè)務關系，對于公司的某些敏感信息很可能從其安全管理薄弱的合作伙伴那里取得。開源情報收集公開資源情報計劃（OpenSourceIntelligence,OSINT）是美國中央情報局（CIA）最早啟用的一種情報搜集手段，后泛指從各種公開的信息資源（如，報紙、電臺、電視等新聞媒體，研究機構發(fā)布的研究報告，專家評論，論文，公開數據集，網站等）中尋找和獲取有價值的情報，簡稱為“開源情報收集”。在網絡攻防領域，開源情報收集是一種重要的網絡偵察手段，對于掌握攻擊目標信息，有針對性地制定作戰(zhàn)方案具有重要意義。開源情報涉及大量的情報類型和收集工具，JustinNordine建立的開源情報收集框架（OSINTframework）包含了大量的開源情報及其收集工具鏈接，框架官網地址/。網絡掃描（一）基本概念網絡掃描技術，簡單來說，就是對特定目標進行各種試探性通信，以獲取目標信息的行為。網絡掃描的方法和手段種類多樣，攻擊者通過網絡掃描主要可以達成以下幾種目的。（1）判斷目標主機的工作狀態(tài)，即判斷目標主機是否聯網并處于開機狀態(tài)。（2）判斷目標主機的端口工作狀態(tài)，即端口處于監(jiān)聽還是處于關閉的狀態(tài)。（3）判斷目標主機的操作系統(tǒng)類型。通過遠程掃描可以大致判斷目標主機運行的是Windows操作系統(tǒng)、Linux操作系統(tǒng)，還是Solaris、IBMAIX等其他類型的操作系統(tǒng)。攻擊者攻擊時所采用的方法與目標主機的操作系統(tǒng)緊密聯系。（4）判斷目標主機可能存在的安全漏洞。向目標主機發(fā)送精心設計的探測數據包，根據目標主機的響應，能夠判斷出目標主機存在的安全漏洞。主機發(fā)現、端口掃描、操作系統(tǒng)識別和漏洞掃描是網絡掃描的四種主要類型。（二）主機發(fā)現根據所采用的網絡協議不同，主機發(fā)現技術可以劃分為兩類，一類是基于ICMP協議的主機發(fā)現，另一類是基于IP協議的主機發(fā)現。利用ICMP協議進行主機發(fā)現的最簡單方法是使用ping命令。ping命令在網絡中廣泛使用，可以說是使用最頻繁的網絡命令。ping命令的作用是檢查一臺主機網絡連接情況，其實質上是發(fā)送ICMP回送請求，根據是否收到對方主機的回答來判斷對方是否是一臺處于工作中的聯網主機。除了回送請求之外，ICMP其他類型的查詢報文也可以用于主機發(fā)現。例如，向某個IP地址發(fā)送地址掩碼請求，并收到了回答，那么可以斷定該IP地址對應于網絡中的一臺存活主機。向目標IP地址發(fā)送以ping命令為代表的ICMP查詢報文是進行主機發(fā)現的一種簡單易行的方法，但是這種方法存在一個嚴重缺陷。如果發(fā)送請求后沒有接收到回答，不能簡單地推斷沒有與該IP地址對應的存活主機。原因在于大部分防火墻會對ICMP查詢報文進行過濾，查詢報文無法到達目標主機。因此，沒有接收到與ICMP查詢報文對應的回答，無法確定是防火墻對ICMP查詢報文進行了過濾，還是網絡中沒有與IP地址對應的存活主機?；贗P協議進行主機發(fā)現往往可以避免防火墻的影響，此類主機發(fā)現技術將向目標IP地址發(fā)送精心設計的IP數據包，誘使與目標IP地址對應的存活主機反饋ICMP差錯報告報文，暴露自己的存活狀態(tài)。在這類主機發(fā)現技術中，一種較為常用的方法是發(fā)送首部異常的IP數據包。TCP/IP體系結構中，IP數據包的頭首部包括了版本、首部長度、服務類型、總長度、協議、首部校驗和等多個字段，大部分字段的格式和內容都有嚴格要求。如果將一些值隨意填入數據包的頭首部，則接收數據包的主機在對數據包進行檢查時往往會報錯，將會向IP數據包的源主機返回“參數有問題”的ICMP差錯報告報文。（三）端口掃描攻擊者在主機發(fā)現的基礎上，可以進一步獲取主機信息以便進行網絡攻擊。對于網絡主機而言，每一個處于監(jiān)聽狀態(tài)的端口都與網絡服務緊密聯系，都是潛在的入侵通道。端口掃描技術能夠使攻擊者掌握主機上所有端口的工作狀態(tài)，進而推斷主機上開放了哪些網絡服務，為更為高效精準的進行網絡攻擊奠定基礎。端口掃描的基本原理是向目標主機的所有或者需要掃描的特定端口發(fā)送特殊的數據包，若該端口對應的網絡服務對外提供該服務就會返回信息，掃描器通過分析其返回的信息以此判斷目標主機端口的服務狀態(tài)，發(fā)現特定主機提供了哪些服務，進而利用服務的漏洞對網絡系統(tǒng)進行攻擊。目前，根據使用的協議，主要有二類端口掃描技術：TCP掃描、UDP掃描（早期還有FTP代理掃描，現已很少使用）。為了應對復雜的網絡情況，特別是目標網絡中的安全防護系統(tǒng)，如防火墻、入侵檢測系統(tǒng)，大多數網絡掃描工具均支持多種掃描技術進行掃描。TCP協議由于具有面向連接、通信傳輸可靠的優(yōu)點，HTTP服務、FTP服務、SMTP服務等很多重要的網絡服務都是以其作為通信基礎。對于TCP端口的掃描，最直接有效的方法是利用TCP連接的建立過程。主機上的一個TCP端口，如果能夠通過三次握手與其建立TCP連接，那么可以斷定該端口處于監(jiān)聽狀態(tài)，或者說是開放的。對于目的主機上的待掃描TCP端口，TCP全連接掃描技術嘗試通過與端口建立完整的TCP連接，根據連接建立的成敗推斷端口的工作狀態(tài)。各種類型的網絡編程語言都能夠實現TCP三次握手，實現的方法通常是使用操作系統(tǒng)提供的connect函數。在掃描主機上指定目的主機和目的端口，調用connect函數與相應端口進行TCP三次握手，如果相應端口處于監(jiān)聽狀態(tài)，則connect函數將成功，返回數值0。如果相應的端口處于關閉狀態(tài)，connect函數將失敗，函數將返回SOCKET_ERROR信息。使用connect函數進行掃描具有穩(wěn)定可靠，對于端口狀態(tài)的判定結果準確等優(yōu)點。此外，這種掃描技術還有一個突出優(yōu)點，即connect函數對于調用者沒有任何權限要求。因為connect函數的功能是建立正常的TCP連接，系統(tǒng)中的任何用戶都可以使用這個調用。TCP全連接掃描技術的主要缺點是掃描行為明顯，容易被發(fā)現。一方面，失敗的TCP連接請求以及相應產生的錯誤信息常常會被記錄在目標主機的日志中，如果在短時間內針對主機的大量端口進行掃描，往往會產生大量的錯誤信息導致掃描行為暴露。另一方面，目標主機通常會記錄下成功的TCP連接，如果攻擊者利用掃描確定的開放端口進行攻擊，在攻擊成功后很容易被追溯。TCPSYN掃描與TCP全連接掃描相似，也是以TCP三次握手過程為基礎，兩者的主要區(qū)別在于TCPSYN掃描刻意不建立完整的TCP連接，以避免掃描行為的暴露。對TCP三次握手過程進行分析，可以看出在三次握手的第二階段，即客戶端接收到服務器端響應時已經能夠確定端口的工作狀態(tài)，無須完成三次握手的最后一步。TCPSYN掃描就是依據此思想進行，這種掃描技術也常常被稱為“半開放”掃描。TCPFIN掃描技術不依賴于TCP的三次握手過程，它主要利用TCP報文段首部結構中的FIN標志位。按照RFC793的規(guī)定，主機端口接收到FIN標志位設置為1的報文時，如果端口處于關閉狀態(tài)，應當回復RST標志位設置為1的報文，復位連接；如果端口處于監(jiān)聽狀態(tài)則忽略報文，不進行任何回應。UDP協議是無連接的協議，在數據傳輸前沒有連接建立的過程。使用UDP協議進行數據傳輸并不能保證數據安全、可靠的到達目的主機。但由于UDP協議具有良好的靈活性，因而很多網絡服務，如DNS和SNMP，都使用UDP協議進行數據通信。由于UDP協議很簡單，在通信過程中沒有復雜的交互過程，這使得判斷主機UDP端口的工作情況較為困難。目前對于UDP端口工作狀態(tài)的判斷，主要是基于這樣一種通信特性：掃描主機向目標主機的UDP端口發(fā)送UDP數據包，如果目標端口處于監(jiān)聽狀態(tài)，將不會做出任何響應；而如果目標端口處于關閉狀態(tài)，將會返回ICMP_PORT_UNREACH錯誤。從表面上看，目標端口工作狀態(tài)不同對掃描數據包將做出不同響應，區(qū)分度很好。但實際應用中必須考慮到UDP數據包和ICMP錯誤消息在通信中都可能丟失，不能保證到達，這將使得判斷出現偏差。操作系統(tǒng)識別主機使用的操作系統(tǒng)不同，可能存在的漏洞也大相徑庭。例如，Window操作系統(tǒng)和UNIX操作系統(tǒng)漏洞信息完全不同，即使同屬Windows家族的WindowsXP系統(tǒng)和Windows2007系統(tǒng)所存在的安全漏洞也有很大差異，攻擊者在攻擊時必須相應采取不同的攻擊措施。操作系統(tǒng)識別旨在確定目標主機所運行的操作系統(tǒng)，便于攻擊者采取最有效的攻擊方法和手段。操作系統(tǒng)識別的方法根據使用的信息可以劃分為三類：通過旗標信息識別，通過端口信息識別，通過TCP/IP協議棧指紋識別。為了提高識別的準確率，實際的網絡掃描工具軟件，如Nmap，均是通過綜合運用多種掃描方法進行遠程探測，根據返回的結果綜合分析給出最有可能的識別結果，一般用百分比表示，如識別準確率98％。旗標（banner）指的是客戶端向服務器端提出連接請求時服務器端所返回的歡迎信息，像FTP、SMTP、Telnet等提供網絡服務的程序通常都有旗標信息。服務程序的旗標雖然不會直接通告主機運行的操作系統(tǒng)，但可以通過旗標反映出的服務程序信息進行操作系統(tǒng)的判斷。端口掃描的結果在操作系統(tǒng)檢測階段也可以加以利用。不同操作系統(tǒng)通常會有一些默認開放的服務，這些服務使用特定的端口進行網絡監(jiān)聽。例如，WindowsXP、Windows2003等系統(tǒng)默認開放了TCP135端口、TCP139端口以及TCP445端口，而Linux系統(tǒng)通常不會使用這些端口。端口工作狀態(tài)的差異能夠為操作系統(tǒng)檢測提供一定的依據。對TCP/IP協議棧指紋進行分析是最為精確的一種檢測操作系統(tǒng)的方法。所有操作系統(tǒng)在實現TCP/IP協議棧時都是以RFC文檔為參考依據，但由于很多邊界情況在RFC中沒有明確定義，不同操作系統(tǒng)在具體實現時存在細節(jié)差異?？梢岳孟到y(tǒng)實現上的差異，向目標主機發(fā)送精心設計的探測數據包，根據得到的響應，來推斷目標主機的操作系統(tǒng)。漏洞掃描漏洞掃描是端口掃描和操作系統(tǒng)識別的后續(xù)工作，對于計算機管理員和攻擊者而言都有重要意義。計算機管理員希望能夠通過漏洞掃描及時發(fā)現計算機的安全漏洞從而有針對性地進行安全加固。攻擊者則希望利用掃描找到能夠使自己獲取系統(tǒng)訪問權限甚至控制權限的安全漏洞。從對黑客攻擊行為的分析和收集的漏洞類型來看，漏洞掃描絕大多數都是針對特定操作系統(tǒng)所提供的特定的網絡服務，也就是針對操作系統(tǒng)中某一個特定端口的。目前主要通過以下兩種方法來檢查目標主機是否存在漏洞：（1）特征匹配法，利用資產指紋與漏洞特征來發(fā)現漏洞。在對目標網絡進行了主機掃描、端口掃描、操作系統(tǒng)識別等掃描工作后得到了目標網絡的資產指紋信息，將這些資產指紋信息與網絡漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在。這種方法也有不足之處：一是要求事先獲得目標網絡的所有資產及其指紋信息；二是特征匹配的準確性存在問題，可能導致誤判和漏判。（2）滲透測試法，利用掌握的漏洞信息和利用代碼對目標系統(tǒng)進行攻擊性測試，若攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。這種方法的好處是判斷準確，不足之處有兩點：一是需要了解漏洞的細節(jié)，掌握漏洞的利用代碼，這在有些情況下比較難得到；二是直接對目標進行攻擊，環(huán)節(jié)多，耗時長，并且攻擊行為還存在合法性問題。根據掃描目標的不同，漏洞掃描可以劃分為基于主機的漏洞掃描和基于網絡的漏洞掃描兩類。基于主機的漏洞掃描往往要求在被檢查系統(tǒng)上安裝特定的掃描程序，并且賦予程序管理員權限，以確保程序能夠訪問操作系統(tǒng)的內核、系統(tǒng)的配置文件以及系統(tǒng)中的各類應用程序。掃描程序依據特定的規(guī)則對系統(tǒng)進行分析以發(fā)現各類安全漏洞?；诰W絡的漏洞掃描要求掃描主機與被掃描的目標系統(tǒng)通過網絡相連，兩臺主機之間能夠進行正常的網絡通信。很多網絡漏洞掃描軟件采用了網絡應用常見的C/S架構，由客戶端和服務器端兩部分組成，如Nessus掃描軟件采用的就是這種架構。漏洞庫和掃描引擎位于服務器端，供用戶使用的掃描控制臺位于客戶端。這種體系結構的優(yōu)點在于如果多個用戶需要使用掃描服務，他們不必都安裝掃描軟件的服務程序，只要一臺主機有服務程序，所有用戶都可以共享掃描服務。網絡偵察防御網絡管理員需要了解網絡偵察知識，從而知道系統(tǒng)可能正在被偵察，為系統(tǒng)可能遭受的攻擊做更多的準備，并進行脆弱性分析，了解哪些信息正在被泄露并掌握系統(tǒng)存在的弱點。1.防御搜索引擎?zhèn)刹旆烙悍降腤eb站點，避免其淪為搜索引擎和基于Web偵察的受害者，有兩方面的工作要做：首先，對Web站點內容建立嚴格的信息披露策略，其次，要求搜索引擎移除不期望公開的Web頁面索引。2.防御WHOIS查詢因為要保證WHOIS信息可以被其他合法管理員獲取，所以完全防御攻擊者查詢注冊信息是不可能的。那么防御攻擊者WHOIS查詢的措施就是保證注冊記錄中沒有額外可供攻擊者使用的信息，比如管理員的賬戶名。另外，注冊信息多被攻擊者利用來進行社會工程學攻擊，所以還要對員工進行培訓，使他們避免掉進社會工程學攻擊的圈套。此外，WHOIS數據庫服務提供商也會采取措施，限制公開可訪問的域名信息，對敏感信息需要經過認證和授權才可以訪問。3.防御DNS偵察可以從以下三個方面來防御DNS偵察。1）避免通過DNS泄露額外