2踩点与漏洞扫描

第二章踩点与网络扫描1、踩点（信息收集）概念信息收集是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步，也是关键的一步。信息收集工作的好坏，直接关系到入侵与防御的成功与否。收集的主要信息域名、IP地址、操作系统、主机类型、漏洞情况、开放端口、帐户密码等。1、踩点（信息收集）为了保证信息收集的质量，应坚持以下原则：（1）准确性原则该原则要求所收集到的信息要真实，可靠。这是最基本的要求。（2）全面性原则该原则要求所搜集到的信息要广泛，全面完整。（3）时效性原则信息的利用价值取决于该信息是否能及时地提供，即它的时效性。信息只有及时、迅速地提供给它的使用者才能有效地发挥作用。2.信息收集技术信息收集—非技术手段合法途径从目标机构的网站获取新闻报道，出版物新闻组或论坛社会工程手段假冒他人，获取第三方的信任搜索引擎2.1搜索引擎搜索引擎是自动从因特网收集信息，经过一定整理以后，提供给用户进行查询的系统。它包括信息搜集、信息整理和用户查询三部分。搜索引擎使用技巧GoogleHackingintext:将网页中正文中的字符作为搜索条件，例如：输入“intext:安全”，将搜索出正文里包含“安全”关键字的网页。allintext:与intext类似。intitle:在网页标题中搜索包含关键字的网页，例如：输入“intitle:管理”，即可找出网页标题中包含“管理”的网页。allintitle:与intitle类似。cache:在google的缓存里搜索，这里可能会找到很多很有用的东西哦，虽然此刻网页已经删除，但google服务器里还保存有。define:查找词语的定义，例如：输入“definehacker”，即可找到“hacker”的相关定义。filetype:查找指定类型的网页，这个关键字非常有用，例如：输入“filetype:bak”即可找出文件类型为bak的文件（该文件很可能由各种编辑器自动备份产生，有可能找到网站的源码）；又如，通常黑客会尝试下载网站的数据库文件（*.mdb），即可用“filetype:mdb”来搜索，找到数据库文件后直接下载，或许就能得到网站的权限。还有一些符号在搜索中也是很有用的：+必须包含有的搜索词；-不能包含的搜索词；~搜索同意词；.单一通配符；*通配符，可匹配多个字符；“”精确的查询。2.2域名解析域名：为了方便记忆而专门建立的一套地址转换系统。一个域名对应一个IP地址，而多个域名可以同时被解析到一个IP地址。域名解析：域名到IP地址的转换过程。域名解析服务器：DNS—DomainNameSystem。.com代表商业性公司baidu代表公司名字服务，就是将固定的域名和动态的IP地址实时对应的服务。2.3路由跟踪概念路由跟踪就是从本地开始到达某一目标地址所经过的路由设备，并显示出这些路由设备的IP、连接时间等信息。作用：如果某段网络不通或网速很慢，可以利用路由跟踪找出某故障地点，方便维护人员的维护工作。对于“黑客”来说，这是个很有用的功能，他可以大概分析出你所在网络的状况。这对于第一步的周边网络环境信息收集很有用。tracert：用IP生存时间TTL字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。三个时间分别是发送的三个测试数据报的响应时间Ping、fping、pingsweepARP探测FingerWhoisDNS/nslookup搜索引擎（google、百度）telnet3.信息收集的工具软件(技术手段)ping作用和特点ping命令是入侵者经常使用的网络命令，该命令应用的是简单网络管理协议ICMP的一个管理方法，其目的就是通过发送特定形式的ICMP包来请求主机的回应，进而获得主机的一些属性。它的使用有些“投石问路”的味道。道理虽然简单，但是这个命令的用途却非常广泛，通过这个命令，入侵者可以来试探目标主机是否活动，可以来查询目标主机的机器名，还可以配合ARP命令查询目标主机MAC地址，甚至可以推断目标主机操作系统或者进行DDoS攻击等。原理主机A主机BType=8Type=0ping类型为8，表示“回响请求”类型为0，表示“回响应答”回显请求类型8回显应答代码0类型0代码0校验和校验和主机在线情况回显请求类型8代码0校验和不在线主机不应答情况1）主机不在线2）防火墙阻断ICMP探测ping表示192.168.1.25机器不在线；或者防火墙阻断。ping使用ping命令探测操作系统。不同的操作系统对于ping的TTL返回值是不同的，参见下表。操作系统默认TTL返回值UNIX类255Windows95/9832WindowsNT/2000/XP128CompaqTru645.064举例1：Replyfrom192.168.3.10:bytes=32time1msTTL=32Replyfrom192.168.3.10表示回应ping的ip地址是192.168.3.10。bytes=32表示回应报文的大小，这里是32字节。time1ms表示回应所花费的时间，小于1毫秒。TTL=32，TTL是生存时间，报文经过一个路由器就减1，如果减到0就会被抛弃。这里是32。ARP探测ARP请求广播ARP回应ARP请求广播ARP请求广播能探测同一局域网内的主机，因为防火墙不能阻断ARP请求。finger作用和特点UNIX系统中用于查询用户情况的程序网络服务服务端口：tcp79服务端程序fingerd,客户端程序finger不需要认证就提供用户信息命令格式：finger[选项][使用者][用户@主机]姓名电话最后登录时间fingerwhois作用和特点网络服务服务端口：tcp43服务端程序whoisd,客户端程序finger提供目标系统的地址信息参考网站1参考网站2常规信息收集网络域名网络Ip地址分配使用单位地址DNS作用和特点网络服务服务端口：udp53服务端程序bind,客户端程序nslookup提供目标系统域名与地址的转换Nslookup两种模式：交互式和非交互式。非交互式模式：Nslookup–DNS服务器或IP地址Nslookup?//查看helpNslookup通过nslookup获得子域名setquerytype=anyxxx.xxx#输入域名后根据输出内容找到dns服务器primarynameserver=ns1.xxx.xxx.xxxserverns1.xxx.xxx.xxx#连接DNS服务器ls-dxxx.xxx信息收集实训一、由域名得到网站的IP地址获取学院对外网站地址方法一：ping方法二：nslookup信息收集实训二、由IP地址得到目标主机的地理位置获取学院对外网站地址后，可以通过查询IP数据库来得到该IP地址所对应的地理位置。信息收集实训三、网站基本信息查询商业网站中都会有个红盾标志，它一般会在主页的最下角，是国家工商局用来管理经营性网站的红盾标志（），里面记录了网站的备案登记信息。因此，凡是经营性网站都会有这个“红盾”链接，单击该链接，就会看见工商局公布的关于该网站的一些基本信息。信息收集实训四、网站注册信息搜集一个网站在正式发布之前，需要向有关机构申请域名。申请到的域名信息将保存在域名管理机构的数据库服务器中，并且域名信息常常是公开的，任何人都可以查询。然而正是这个域名信息暴露给入侵者许多敏感信息。通常，查询域名注册信息的方法被称为“WHOIS”。Windows下可以通过以下几个网站来查询域名注册信息。中国互联网络信息中心信息收集实训五、网络路由探测1．VisualRoute探测VisualRoute是图形化的路由跟踪工具，它是为了方便网管分析网络故障节点而设计的。可以使用专门的VisualRoute软件，也可以到使用该网站提供的VisualRoute功能。VisualRouteServer集成了ping，WHOIS与traceroute程序功能，自动分析网络连接结果并呈现在世界地图上（鼠标左键放大，右键缩小），提供从北京、香港、台湾、上海、深圳、中山到指定的任一个域名或IP的ping结果和图形化的路由信息。信息收集实训五、网络路由探测2．tracert命令推断tracert是路由跟踪命令，通过该命令的返回结果，可以获得本地到达目标主机所经过的网络设备。用法：tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name信息收集实训看一个到新浪的实例：使用命令“tracert”。C:\tracert[202.108.37.42]overamaximumof30hops:11ms1ms1ms210.□.□.□21ms1ms1ms210.□.□.□31ms1ms1ms202.□.□.□46ms6ms6mssydl3.□.net[202.□.□.□]519ms18ms19msbysy3.□.net[202.□.□.□]619ms20ms19ms202.□.□.□7***Requesttimedout.81776ms1762ms1758ms219.□.□.□91766ms1757ms1769ms202.96.12.42101580ms1572ms1557ms202.106.192.174111678ms1732ms1642ms210.74.176.158121650ms1662ms1616mssina37-42.sina.com.cn[202.108.37.42]Tracecomplete.结合前面讲过的网络基本结构，第7跳的网络设备没有响应，所以第7跳应该是“防火墙”。4、网络扫描通过工具软件，进行网络主机开放端口、弱口令、系统漏洞等扫描，以查找发现可以入侵的系统主机。扫描分类TCP全连接开放扫描半开放扫描TCP反向ident扫描IP头信息dumb扫描SYN扫描FIN扫描隐蔽扫描TCP分段ACK扫描XMAS扫描空扫描扫射扫描SYN/ACK扫描ping扫射其它扫描UDP/ICMP不可达FTP弹跳UDP扫射UDPrecvfrom/write扫描ACK扫射SYN扫射ICMP扫射扫描技术分析常规扫描技术调用connect函数直接连接被扫描端口无须任何特殊权限速度较慢，易被记录高级扫描技术利用探测数据包的返回信息（例如RST）来进行间接扫描较为隐蔽，不易被日志记录或防火墙发现完全连接扫描(TCPconnect扫描)ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口开放端口关闭TCPconnect扫描直接用connect连接对方的端口连接成功，说明对方端口是开放的优点简单，不需要特权用户缺点容易被察觉在应用日志中会有记录下来一些没有任何动作的连接被扫描主机开放的端口不提供服务的端口防火墙过滤的端口扫描器SYNSYNSYNSYN+ACK握手RST重置没有回应或者其他利用TCP三次握手的第一次进行扫描。半连接SYN扫描(TCPSYN扫描)TCPSYN扫描Halfopenscan在3次握手完