网络侦察
这是搜集的最后一篇
前言
找到可以作为潜在攻击目标的网络之后,攻击者就可以尝试确定哪些网络的拓扑结构和可能存在的网络访问路径了
路由追踪:traceroute工具
使用大多数UNIX版本和WindowsNT都提供的traceroute程序。这个工具允许查看一个IP数据包从一台主机一次经由一系列主机到达目的地的传输路径。其次它利用IP数据包里的存活时间(Time-To-Live,TTL)字段让IP数据包途径的每台路由器返回一条ICMP TIME_EXCEEDED(传输超时)消息。IP数据包途径的每一台路由器都会对TTL字段进行减1操作,这让TTL字段像一个网际条约次数的计数器,而我们也正好可以利用这一特点把IP数据包的实际传输路径准确的确定下来。它不仅可以用来发现对我们发出的数据包进行过滤的访问控制设备(一个防火墙或数据包过滤路由器),还可以用来探查目标网络所采用的网络拓扑结构
可以知道数据包在它们的传输路径上经过了几次网际条约之后才达到其最终目的地。这些数据包在穿过多个网络时并没有受到阻断,我们可以由把我认定目标主机真实存在,而达到最终目的地之前的那一次网际跳跃应该就是接入网络。当然,接入网络设备可能时一台防火墙,也可能时一个其他设备。一般来说,当你在某个网络上找到一个真实存在的系统时,在它之前的那个系统通常是一台具有路由功能的设备。
当然,这是最理想的情况。复杂环境中可能同时存在多个路由路径(多接口路由设备)或通信负载平衡装置,或者每个路由接口分别使用不同的访问控制列表(ACL,其实就是由一系列条件规则组成,对进站和出站的保温进行过滤处理的一种规则的集合)。
利用工具把网络上的多个系统角色确定下来之后就可以开始绘制目标玩咯的拓扑结构图并在途中标识除它的Internet网关以及个访问控制设备的分布位置。
在UNIX系统中,这个工具的默认行文基本上都是发出UDP数据包,并且可以用-I改用ICMP数据包。在Windows环境中,工具的默认行为是发出ICMP ECHO请求数据包。 因此使用traceroute工具的结果可能随站点阻塞UDP数据包还是阻塞ICMP数据包而变化。这个工具-g选项,还可以允许用户为数据包指定其途径路由。如果能肯定目标网关会接受一个由你指定其源路由的数据包,然后就可以尝试选择一个适当的网际跳跃计数值取启用这个选项。
还有几个开关。"-p n"开关允许指定一个UDP木匾端口号(n),这个端口号会在路由探测开始时按1递增。这意味着我们无法使用一个固定的端口号。但是后来的版本中有了补丁,给工具增加了一个可以组织目标端口号自动递增的"-s"开关。这样我们可以前行让我们发出的所有数据包都是用一个端口号。
UDP53号端口是一个很好的端口,因为很多站点都允许外来的DNS查询进入自己的内部网络。所以将其作为目标端口将大大提高网络访问控制设备放行数据包的概率
我们进行探测时被防火墙阻隔了
使用了选项以后我们发出的数据包时网络访问控制设备可以接受的了,所以顺利到达了目的地。当然,如果探测的端口号恰巧被监听,那么它就不会反悔ICMP无法到达的消息,这样的话即使探测数据包已经抵达目的地,也仍看不到主机的名字或IP地址
图形化界面的探测工具
之前的traceroute都是基于命令行的。当然也有图形化操作的。比如Neo Trace(www.mcafee.com)和Trout(www.foundstone.com)之类的工具来追踪路由。NeoTrace可以把每次忘记条约显示在一个图中,还可以将WHOIS查询结果集成进来。Trout工具采用了多线程技术
traceroute工具用来追踪路由的TTl字段时IP是举报表头的组成部分之一,因而并非只有UDP和ICMP数据包才能进行这种侦察。理论上来说任何一种IP数据包都可以用来追踪路由。也就是说即使是防火墙阻断了以上两种数据包,我们也可以绕过它们。tcptraceroute和Cain&Abel就是可以使用TCP数据包对特定端口上的通信进行路由追踪的两种代表性工具。还有一些技巧可以测除某给定访问公职设备所具体使用的ACL表。防火墙协议扫描就是这类技巧之一,fire walk就是这样的工具
防范网络侦察活动的相关对策
首先许多商业化的网络入侵侦测系统和网络入侵防御系统都能够监听到这类网络侦察活动。NIDS软件就可以检测到这类活动,关键是免费。snort时另一个开源和免费的可用NIDS平台。同时还可以将接入路由配置成限制ICMP和UDP数据包发送到某些特定的系统。
小结
攻击者可以采用多种不同方法来侦察网络或进行踩点。信息时代发展很快,各种工具层出不穷。所以对这类技巧的理解取决与你对新出现的攻击工具和技术的掌握能力。要懂得隐藏网络上的面目,减少信息的泄露;另外要高度警惕监控等各种可疑迹象