第二章 踩点――收集信息

第二章踩点——收集信息2.1简介2.2踩点常用的工具和方法2.3踩点对策2.1简介当黑客面对特定的网络资源准备行动之前，首先要做的就是收集汇总各种与目标系统相关的信息，形成对目标网络必要的轮廓性认识，并为实施攻击做好准备——踩点（Footprinting）。黑客的攻击活动就是从踩点开始的。返回首页踩点所得到的有价值信息信息名称简单说明网页信息包括联系方式、合作伙伴、公司业务情况等较直观的信息域名信息包括域名服务器、网管联系人、邮件服务器以及其他应用服务器的注册信息网络块公司注册的IP地址范围网络结构初步探测目标网络的拓扑结构，包括防火墙位置等路径信息通达目标系统的网络路由信息其他包括一些非常规手段得到的有价值信息，社会工程学2.2踩点常用的工具和方法域名服务器DNS（DomainNameServer)分布式DBS用于主机名和IP地址间的相互转换。C/S模式：S端最普遍使用BIND，C端负责访问的是解析器，由系统提供的函数库来实现。DNS服务器对来自解析器的请求，可以采用递归和非递归两种方式进行地址解析。解析器缺省会请求递归方式的解析。返回首页2.2.1直接利用浏览器获取信息1.通过各种搜索引擎（Yahoo、Google等），查找漏洞所含有的特征字符串，获得存在漏洞网站。2.Whois是很常用的一个工具，许多Whois服务器也支持访问方式。踩点者会得到包含域、网络以及管理者在内的众多信息。•国外域名：•国内域名：再间接查询2.2.2使用命令行方式的踩点工具1.Finger（TCP79）——帐号信息Morris蠕虫通过最初版本Finger服务找到入侵点。•finger：列出当前注册登录到本系统的用户信息•finger[UserName]@ServerName：列出服务器的注册用户•finger0@ServerName：列出目标系统中从来没有登录过的帐号名称这些从来未曾登录过的帐号，往往就是具有缺省口令的特殊帐号，攻击者很可能借此进入系统。2.Whois（TCP43）——域、网络以及管理者缺省的Whois服务器是rs.internic.net，一般情况下，需要指定确切的Whois服务器。例：#whois–hwhois.edu.cnsjtu.edu.cn或telnetwhois.edu.cn43，再键入sjtu.edu.cn3.Nslookup——经典的DNS测试工具(UNIX/NT)自身具备域名解析器功能，并在交互模式下提供了几乎所有与域名相关的操作。包含下列命令：•ls命令：该命令随同其相应的选项，可以列举指定域（在缺省域名服务器所属范围内）的区域文件内容。正常域名解析是解析器和域名服务器通过UDP53端口来进行，为了在两个域名服务器之间同步数据，经常会通过TCP53端口来进行通信，而Nslookup的ls命令就可以模拟这一过程。因为该域的DNS服务器允许任意的域名文件传输，所以通过ls命令就可以得到该域所有主机的相关信息。如果域名服务器禁止或者限制一定范围内的域名文件传输，通过ls命令将得不到任何有用的信息。4.Dig——DNS测试及故障诊断工具所有选项都在命令行使用，比Nslookup简洁方便。5.Ping——测试网络畅通与否细微分析Ping的数据通信过程，协议分析（包括协议分析工具）对深入掌握网络技术的重要作用。ping–l65500底层执行步骤如下：(1)域名解析器会解析到地址；(2)网络层协议会对指定长度为65500Byte的ICMPechorequest报文进行分片。*因为一个以太网帧正文部分最大只能为1500Byte，再去除20Byte的IP头，实际IP有效负载只能为1480Byte。借助SnifferPro4.5协议分析工具本地主机向目标主机连续发送45个分片的IP包。44*1480+388-8=65500（Byte）发送分片包是Windows系统中Ping工具独特功能，ICMP报文指定长度最大只能是65500Byte；而在UNIX系统中，无论有没有指定-l选项，Ping总是向目标主机发送84Byte长的IP包（不分片）。分片次序IP头（20Byte）ICMPecho头（Byte）填充数据（Byte）Flag偏移量（Byte)10010814722-44（n）001(n-1)*1480014804500044*1480=6512003886.Traceroute(Tracert)——跟踪路由信息的工具一般来说，一旦被探测的目标主机是活动系统，在它之前的一个节点通常就是执行路由功能的网络设备，比如路由器或者防火墙。复杂环境中：1）多个路由器共存——多接口路由设备或负载平衡装置2）每个路由接口分别使用不同ACL，且不同ACL对同一traceroute请求反应不同利用traceroute摸清网络拓扑不容易但重要。注意：1）UNIX中，traceroute默认发送UDP包，用-I改发ICMP包。Windows中一般发送ICMPECHO包。使用traceroute的结果随站点阻塞UDP还是ICMP包而变化。2）traceroute可绕过路由探测路径上的网络访问控制设备：traceroute10.10.10.2——被防火墙阻塞traceroute–S–p5310.10.10.2——扫描目标主机的固定53号端口，绕过防火墙3）使用TCP包也可以进行路由追踪2.3踩点对策1.层次结构的DNS分布DMZ中放置、E-mail、FTP服务器以及对外的DNS服务器等。对外的DNS服务器仅仅提供公共域可访问的主机域名解析服务，而所有网络内部主机的域名信息，应该是通过防火墙对外隔绝的。同时，在内部网络中，应该有另一个DNS服务器，提供对内的域名解析服务。返回首页内部DNS服务器和DMZ中的DNS服务器扮演的角色是不同的。为了限制内部DNS服务器向外直接发送域名解析请求，需要让DMZ中的DNS服务器扮演转发器的角色。即内部网络的DNS要配置其“转发”选项，使得自身无法解析的域名请求被“转发”到指定的DMZ服务器上。若内部网络的DNS服务器是UNIX的BIND，只需简单地修改/etc/named.conf配置文件即可。options{forworders{IPAddressOfDNSInDMZ;};forword-only;};2.限制区域文件传输DNS服务器提供区域文件传输功能，一般用在主DNS和辅DNS之间数据同步的情况下。如果网络中只有一个DNS服务器，应该禁止此功能；如果有其他DNS服务器，至少应该限制可进行区域文件传输的DNS服务器范围。同样修改/etc/named.conf配置文件可解决。