目录
一、信息收集概述
为了更加有效的实施攻击而在攻击前或攻击中进行的对目标的探测活动。
二、收集内容
域名信息、目标网站、系统CMS指纹、开放服务、开放端口。
三、收集方法
3.1 网络信息挖掘
网络信息挖掘是指从大量训练样本中获得数据之间的内在特征。
3.1.1 GoogleHacking
- 广义地定义为从WWW中发现和分析有用的信息,是在已知数据样本的基础上通过归纳学习、机器学习、统计分析等方法得到数据对象间的内在特性,据此采用信息过滤技术在网络中提取用户感兴趣的信息,获得更高层次的知识和规律。
- 可获取到目标域名或网站地址、网络拓扑结构、网络管理员、公司人员名单、电话、Email……
| 关键字 | 说明 |
| Site | 指定域名 |
| Inurl | URL中存在关键字的网页 |
| Intext | 网页正文中的关键字 |
| Filetype | 指定文件类型 |
| Intitle | 网页标题中的关键字 |
| Link | Link: baidu.com表示返回有baidu.com链接的URL |
| Info | 查找指定站点的一些基本信息 |
| Cache | 搜索Google里关于某些内容的缓存 |
| 1.快速 | 搜索引擎预先准备了大量处理好的信息以供检索 |
| 2.准确 | 搜索引擎做了关联性、重要性等各种过滤处理措施 |
| 3.隐蔽 | 搜索、查询都是通过搜索引擎的数据库进行 |
| 4.智能 | 搜索引擎自身的智能特性 |
3.1.2 Whois
标准的互联网协议,可查询:
- 已注册域名的所有者信息
- 域名登记人信息联系方式
- 域名注册时间和更新时间
- 权威DNS的IP地址
在kali里面,whois默认安装,直接使用whois +域名。
在线whois有:
- https://whois .aizhan .com
- http://whois .chinaz.com
- https://www .virustotal .com/
3.1.3 指纹识别
- 识别网站、操作系统等的特征码
- 网站CMS识别、计算机操作系统及Web容器的指纹识别
CMS (Content Management System)
- 文章系统或整站系统
- CMS指纹就是应用程序在html、JS、CSS中包含的一些特征码,有Dedecms (织梦)、Discuz、PHPwindPHPWeb等。
CMS指纹识别工具:
Web指纹识别、WhatwebWebRobo、轻量WEB指纹识别
在线CMS指纹识别:
- http://whatweb.bugscaner.com
- http://www .yunsee .cn/finger .html
- https://whatweb .net/
3.2 网络扫描技术
3.2.1 主机扫描
利用ICMP进行主机扫描,用ping命令。
- Linux系统的TTL值为64或255
- Windows NT/2000/XP系统的默认TTL值为128
- Win7系统的TTL值是64
- Windows 98系统的TTL值为32
- UNIX主机的TTL值为255
| Request timed out(响应超时) | 1.对方已关机,或网络上根本没有这个地址 2.对方与自己不在同一网段内 3.对方确实存在,但设置了ICMP数据包过滤,错误设置IP地址等 |
| Destination host Unreachable (目标不可达) | 1.对方与自己不在同一网段内 2.网线出了故障 |
| Bad IP address | 1.可能没有连接到DNS服务器,所以无法解析这个IP地址; 2.也可能是IP地址不存在 |
| Unknown host | 不知名主机 |
| No answer | 无响应 |
| Ping 127.0.0.1 | 127.0.0.1是本地循环地址,如果本地址无法Ping通,则表明本地机TCP/IP协议不能正常工作。 |
| no rout to host | 网卡工作不正常 |
3.2.2 端口扫描
- 向目标主机的各个端口发送连接请求根据返回的响应判断是否开放。
- 端口是由计算通信协议TCP/IP协议定义的。
- TCP链接的一个连接端,一般称为socket:[ip:端口]。
| TCP connect()扫描 | 原理 | 使用socket创建套接字,利用三次握手协议来判断目标端口是否存活。 |
| 优缺点 | 优点:实现简单,对操作者的权限没有严格要求,扫描速度快; 缺点:留下痕迹,易被发现,数据包容易被过滤掉。目标主机logs文件会显示一连串的连接和连接出错的信息。 |
|
| 防御方式及原理 | 黑名单机制:查询日志,如果发现某IP多次连接设备的不同端口,则加入黑名单。 防御原理:每次TCP连接后会将信息记录到日志中,当发现某IP多次连接设备的不同端口,就判断是TCP扫描,将此IP加入黑名单。 |
|
| SYN扫描 | 原理 | 与TCP扫描不用的是,当扫描端收到ACK/SYN应 答时发送了一条拒绝建立连接的RST请求。 |
| 优缺点 | 优点:比TCP Connect0)扫描隐蔽一些,不会留下扫描痕迹; 缺点:这种扫描需要有root权限。 |
|
| TCP FIN扫描 | 与发送的是带有FIN标识和端口号的数据包给服务端通过服务器的反馈情况判断端口的开放状态。 | |
| 如果服务端没有任何响应,则说明端口处于开放状态 (不论是否被防火墙过滤); 如果服务器返回一个RST数据包则说明端口处于关闭状态; 如果收到返回的ICMP数据包则表明数据包被过滤。 |
||
| UDP扫描 | 向目标UDP端口发送一些随机数据,如果端口关闭,则收到ICMP端口不可达消息;如果目标响应了一个UDP报文,则证明是open的。 | |
| 需要root权限 | ||
3.2.3 漏洞扫描
采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。
扫描原理和工作原理:
通过远程检测目标主机TCP/IP不同端口的服务,记录目标的回答。
- 是否能用匿名登录
- 是否能用Telnet,http等
- 是否有可写的FTP目录是否是用root在运行
漏洞扫描步骤:
- 探测存活主机
- 端口扫描
- 判断操作系统
- 网络服务扫描
- 漏洞特征库匹配探测
扫描工具:
Unix的Nmap:
- 多种多样的参数,丰富的脚本库
- 强大的可移植性
- 详细的文档说明,和强大的社区团队
Windows:
X-ScanSuper ScanNmap等