第2章-信息收集.pptx

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,第,二,章 信息收集技术,章节安排,2.1,信息收集概述,2.2,公开信息收集,2.3,网络扫描,2.4,漏洞扫描,2.5,网络拓扑探测,2.1,信息收集概述,信息收集是指黑客,为了更加有效地实施攻击,而在,攻击前,或,攻击过程中,对目标的所有,探测活动,。,信息收集技术是一把双刃剑,黑客需要收集信息，才能有效的实施攻击,管理员使用信息收集技术可以发现系统的弱点,？,信息收集的内容是什么？哪些信息对攻击是有意义的、是攻击者（当然也是网络管理员）所关心的？,2.1,信息收集概述,信息收集的内容,域名和,IP,地址,防火墙、入侵检测等安全防范措施,内部网络结构、域组织、用户电子邮件,操作系统类型,端口,系统构架,敏感文件或目录,应用程序类型,2.2,公开信息收集,利用,Web,服务,利用搜索引擎服务,利用,WhoIs,服务,利用,DNS,域名服务,公开信息收集方法的应用,2.2,公开信息收集,1.,利用,Web,服务,网站拥有者信息,邮编、地址,论坛,版本号,网络管理员邮箱,公司人员名单、电话、邮箱,社会工程学,2.2,公开信息收集,得到对应的,IP,地址,利用,DNS,服务器：提供域名到,IP,地址的映射,ping,Reply from 202.108.33.32 time=11ms TTL=245,202.108.33.32,2.2,公开信息收集,获取目标网络拓扑结构,网络拓扑图,IP,分配表,子域名,网络设备，安全设施,2.2,公开信息收集,某大学校园网架构,2.2,公开信息收集,2.,利用搜索引擎服务,-google hacking,共同,特点：利用公开信息服务收集信息,信息是公开的,海量的信息中很多都是敏感的信息,2.2,公开信息收集,搜索引擎,搜索引擎为我们提供了在,WEB,检索信息的功能。它在互联网收集网站摘要信息的同时，也收集了许多隐蔽信息。,Google Hacking,就是利用搜索引擎强大的搜索功能，选用,搜索语法,和特殊的,搜索关键字,，将隐藏在目标网站中的不恰当配置信息和后门信息找出来。,2.2,公开信息收集,基本语法,And,与,OR,或,+,强制包含搜索项,-,非，去掉搜索项,“,包含一个完整的语义,.,单个通配符,*,任意通配符,2.2,公开信息收集,天龙八部,2.2,公开信息收集,天龙八部 佛教,金庸,2.2,公开信息收集,高级操作符,site,:,搜索具体服务器或域名的网页,filetype:,搜索特定类型的文件,intitle:,搜索网页标题,inurl:,搜索,URL,intext:,搜索正文,link:,搜索连接到指定网页的网页,2.2,公开信息收集,site:,2.2,公开信息收集,“google hacking”,filetype:,pdf,Filetype,所支持的文件类型,Adobe Portable Document Format(pdf),Adobe PostScript(ps),Lotus 1-2-3(wk1,wk2,wk3,wk4,wk5,wki,wks,wku),Lotus WordPro(lwp),MacWrite(mw),Microsoft Excel(xls),Microsoft PowerPoint(ppt),Microsoft Word(doc),Microsoft Works(wks,wps,wdb),Microsoft Write(wri),Rich Text Format(rtf),Text(ans,txt),高级操作符：,allintitle,allintitle:,google hacking,高级操作符：,allinurl,allinurl:,google hacking,高级操作符：,link,link:,2.2,公开信息收集,Google Hacking,可以做到,搜索密码文件,搜索管理员后台,URL,搜索,web,应用漏洞,搜索黑客留下的后门,2.2,公开信息收集,例,直接利用,google hacking,搜索破解网站后台,2.2,公开信息收集,inurl,:/inc+conn.asp,site:,/wwwroot2/inc/,Parent Directory,admin.asp,w_js/home_mdb.asp,/w_js/,home.mdb,2.2,公开信息收集,ZoomEye,Shodan,2.2,公开信息收集,3.WhoIs,服务,功能：查询已注册域名的拥有者信息,域名登记人信息,联系电话和邮箱,域名注册时间和更新时间,权威,DNS,的,IP,地址,使用方法：,SamSpade,等网络实用工具,EXAMPLES,2.2,公开信息收集,利用网站获得,Whois,数据,国外的,who.is,：,https:/who.is/,站长之家：,Name,SINA.COM,Registrar,NETWORK SOLUTIONS,INC.,Whois Server,Referral URL,Name Server,NS1.SINA.COM.CN,Name Server,NS2.SINA.COM.CN,Status,REGISTRARAR-LOCK,Updated Date,26-nov-2014,Creation Date,16-sep-1998,Expiration Date,15-sep-2019,2.2,公开信息收集,利用,的,whois,服务，输入某主机的地址：,202.196.53.188,得到以下结果（部分）：,inetnum,202.196.48.0-202.196.63.255,netname,ZZIET-CN,descr,Zhengzhou Institute of Electronic Technology,descr,Zhengzhou,Henan 450002,China,country,CN,person,Ziyuan Li,address,Zhengzhou Institute of Electronic Technology,phone,+86 371 7437964,e-mail,cyhu,changed,szhu 19960911,2.2,公开信息收集,4.,利有,DNS,域名服务,DNS,：提供域名到,IP,地址的映射,权威,DNS,主,DNS,Cache-Only DNS,副,DNS,区域传送（,Zone transfer,）：允许一个辅域名服务器更新自己的区域数据,如果,DNS,配置不当，可能造成内部主机名和,IP,地址对的泄漏,2.2,公开信息收集,使用,Nslookup,可查到域名服务器地址和,IP,地址，以及域名服务器的传输内容,DNS,禁止探测,DNS,允许探测,2.2,公开信息收集,5.,公开信息收集方法的应用,社会工程学：,利用受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,。,从同学录中寻找目标,在论坛、聊天室设“钓鱼”陷阱,通过简历收集信息,利用搜索引擎进行数据挖掘,网站出售注册信息,2.3,网络扫描,主机扫描,端口扫描,系统类型扫描,（,1,）主机扫描,主机扫描,Ping Sweeping,Ping,Ping,使用,ICMP,协议进行工作,（,1,）主机扫描,ICMP,协议负责差错的报告与控制。比如目标不可达，路由重定向等等,ICMP,报文格式,类型域,(type),用来指明该,ICMP,报文的类型,代码域,(code),确定该包具体作用,0 8 16 31,类型,代码,校验和,其他字段（不同的类型可能不一样）,数据区,数据,ICMP,包头,IP,包头,MAC,帧头,（,1,）主机扫描,名称,类型,ICMP Destination Unreachable,（目标不可达）,3,ICMP Source Quench,（源抑制）,4,ICMP Redirection,（重定向）,5,ICMP Timestamp Request/Reply,（时间戳）,13/14,ICMP Address Mask Request/Reply,（子网掩码）,17/18,ICMP Echo Request/Reply,（响应请求,/,应答）,8/0,常用的,ICMP,报文,（,1,）主机扫描,Ping,的实现机制,向目标主机发送,ICMP Echo Request(type 8),数据包，等待回复的,ICMP Echo Reply,包,(type 0),。,数据区包含了一些随机测试数据，如”,ABCDEFG,.”,等,（,1,）主机扫描,注意：,根据,RFC,的定义，,TCP/IP,协议栈应该支持各种类型的,ICMP,报文。但事实上，在各个操作系统具体实现,TCP/IP,时，可能并没有完全遵循,RFC,标准。,（,1,）主机扫描,高级,IP,扫描技术,异常,的,IP,包头,在,IP,头中设置无效的字段值,错误的数据分片,参考：高级,IP,扫描技术及原理介绍，,Parameter Problem Error,信息。常见的伪造错误字段为,Header Length Field,和,IP Options Field,。,（,2,）高级,IP,扫描技术,错误的数据分片,向目标主机发送的,IP,包中填充错误的字段值，目标主机或过滤设备会反馈,ICMP Destination Unreachable,信息。,（,2,）端口扫描,端口是通信的通道,端口分为,TCP,端口与,UDP,端口,因此，端口扫描可分类为,TCP,扫描,UDP,扫描,目标主机的开放端口信息,入侵通道,（,2,）端口扫描,基本扫描,用,Socket,开发,TCP,应用,服务器端,客户端,（,2,）端口扫描,connect(),函数,int connect(SOCKET,s,const struct sockaddr FAR,*name,int,namelen,);,当,connect,返回,0,时，连接成功,基本的扫描方法即,TCP Connect,扫描,优点,实现简单,可以用普通用户权限执行,缺点,容易被目标应用日志所记录,（,2,）端口扫描,隐秘扫描,服务器端,客户端,connect,（,2,）端口扫描,TCP,的连接建立过程,客户机,服务器,发送,SYN,seq=x,接收,SYN,报文,发送,SYN seq=y,ACK ack=x+1,接收,SYN+ACK,发送,ACK ack=y+1,接受,ACK,报文段,（,2,）端口扫描,SYN,扫描,客户机,服务器,发送,SYN,seq=x,接收,SYN,报文,发送,SYN seq=y,ACK ack=x+1,接收,SYN+ACK,如果接收到,SYN+ACK,，表明服务器端口可连接,如果服务器端口打开，则返回,SYN+ACK,（,2,）端口扫描,SYN,扫描的实现,WinSock2,接口,Raw Sock,方式，允许自定义,IP,包,SockRaw=socket(AF_INET,SOCK_RAW,IPPROTO_IP);,（,2,）端口扫描,SYN,扫描的优缺点,优点：,一般不会被目标主机的应用所记录,缺点：,运行,Raw Socket,时必须拥有管理员权限,（,2,）端口扫描,其它的隐秘扫描？,TCP,包头标志位,0 16 31,源端口,目的端口,序列号,确认号,HLEN,保留,标志位,窗口,校验和,紧急指针,选项,填充,数据,保留,保留,Urgent point,ACK,PUSH,RESET,SYN,FIN,（,2,）端口扫描,直接发送,FIN,报文，会如何？,对,FIN,报文的回复,TCP,标准,关闭的端口,返回,RST,报文,打开的端口,忽略,BSD,操作系统,与,TCP,标准一致,其他操作系统,均返回,RST,报文,（,2,）端口扫描,优点,不会被记录到日志,可以绕过某些防火墙,netstat,命令不会显示,netstate,命令只能显示,TCP,连接或连接的尝试,缺点,使用,RAW IP,编程，实现起来相对比较复杂,不同操作系统结果不同，因此不完全可信,（,2,）端口扫描,其它隐秘端口扫描技术还有,TCP null,Xmas,TCP Window,TCP ACK,FTP Proxy,idle,IP,分段扫描,（,2,）端口扫描,常用的端口扫描工具,UNIX,下的端口扫描工具,Nmap,Windows,下的端口扫描工具,SuperScan,Nmap for NT,（,3,）系统类型扫描,1.,端口扫描结果分析,由于现代操作系统往往提供一些自身特有的功能，而这些功能又很可能打开一些特定的端口,WINDOWS 9X,：,137,、,139,WINDOWS 2000/XP,：,135,、,139,、,445,135Location Service,137NetBIOS Name Service(UDP),139NetBIOS File and Print Sharing,各种,UNIX,：,512-514,、,2049,（,3,）系统类型扫描,应用程序,BANNER,服务程序接收到客户端的正常连接后所给出的欢迎信息,（,3,）系统类型扫描,（,3,）系统类型扫描,TCP/IP,协议栈指纹,不同的操作系统在实现,TCP/IP,协议栈时都或多或少地存在着差异。而这些差异，我们就称之为,TCP/IP,协议栈指纹。,不同的操作系统在实现,TCP/IP,协议栈的时候，并不是完全按照,RFC,所定义的标准来实现的,在,RFC,中也没有对所有的问题给予精确的定义,TCP,包头中的指纹,源端口,目的端口,序列号,确认号,头长度,保留,比特位,窗口,校验和,紧急指针,选项,填充,数据,0 16 31,ISN,ACK,BOGUS,标记位,初始化窗口值,TCP,选项值,IP,包头中的指纹,版本,头长,服务类型,总长度,标识符,标志,分片偏移,生存时间,协议,头部校验和,源,IP,地址,目的,IP,地址,IP,选项（可以选择）,填充,数据,0 8 16 24 31,标记,生存时间,TOS,TCP/IP,协议栈指纹,关于如何用协议栈指纹的方法确定操作系统类型，请参阅,Fyodor,写的：,使用,TCP/IP,协议栈指纹进行远程操作系统辨识,协议栈指纹探测工具,Checkos,by Shok,Queso,by Savage,Nmap,by Fyodor,2.4,漏洞扫描,漏洞,扫描：指利用一些专门或综合漏洞扫描程序对目标存在的系统漏洞或应用程序漏洞进行扫描。,漏洞扫描的缺陷：,(1),报告并不一定可靠,(2),易暴露目标,通用,专用,漏洞扫,描工具,漏洞信息的公开可以让系统管理员更有针对性地对自己管理的系统进行配置和管理。另外，也可以促使提供软件或硬件的厂商更快地解决问题。,通用漏洞披露,BugTraq,漏洞数据库,ICAT,漏洞数据库,CERT/CC,漏洞信息数据库,X-Force,数据库,中国“国家漏洞库”,CVE,（,Common Vulnerabilities&Exposures,，通用漏洞披露）。,BugTraq,是由,Security Focus,公司维护的一个关于计算机安全漏洞详细信息讨论的邮件列表，讨论内容包括漏洞的描述、漏洞的渗透方法以及漏洞的修补方法等。,ICAT,是由美国标准技术研究所（,National Institute of Standard Technology,，,NIST,）维护的一个,CVE,兼容的漏洞信息检索索引。,CERT/CC,漏洞数据库也是一个,CVE,兼容的数据库。可以通过名字、,ID,号、,CVE,名字、公布日期、更新日期、严重性等方法检索漏洞信息,X-Force,数据库由,ISS,公司维护，是一个比较全面的漏洞信息数据库。,基于中国的国情，中国建立了自己的漏洞库，即“国家漏洞库”。,2.4,漏洞扫描,漏洞检测就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。该技术通常采用两种策略，即,被动式策略,和,主动式策略,。,被动式策略是,基于主机,的检测，对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查；,主动式策略是,基于网络,的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。,2.4,漏洞扫描,漏洞检测的主要方法：,直接测试、推断,和,带凭证的测试。,直接,测试是指利用漏洞特点发现系统漏洞的方法。,直接,测试,的特点：,通常,用于对,Web,服务器漏洞、拒绝服务（,DoS,）漏洞进行检测。,能够,准确地判断系统是否存在特定漏洞。,对于,渗透所需步骤较多的漏洞速度较慢。,攻击性,较强，可能对存在漏洞的系统造成破坏。,对于,DoS,漏洞，测试方法会造成系统崩溃。,不是,所有漏洞的信息都能,通过直接,测试,方法获得。,2.4,漏洞扫描,推断,推断是指不利用系统漏洞而判断漏洞是否存在的方法。它并不直接渗透漏洞，只是间接地寻找漏洞存在的证据。,采用推断方法的检测手段主要有,版本检查、程序行为分析、操作系统堆栈指纹分析和时序分析,等。,版本检查是推断方法中最简单的一个应用。,行为分析在需要推翻某个“风险假设”时非常有用。,2.4,漏洞扫描,2.5,网络拓扑探测,拓扑探测,网络设备识别,网络实体,IP,地理位置定位,2.5,网络拓扑探测,拓扑探测,Traceroute,技术：用来发现实际的路由路径,SNMP,C:tracert,Tracing route to 202.112.96.163,over a maximum of 30 hops:,1 10 ms 10 ms 10 ms 162.105.X.X,2 10 ms 10 ms 10 ms 162.105.254.250,3 10 ms 10 ms 10 ms 162.105.253.250,4 10 ms 10 ms 10 ms 202.112.38.73,.,10 10 ms 10 ms 10 ms 202.112.96.163,Trace complete.,2.5,网络拓扑探测,SNMP,不同类型网络设备之间客户机,/,服务器模式的简单通信协议。,两个基本命令模式：,Read,：观察设备配置信息。,Read/Write,：有权写入信息。,2.5,网络拓扑探测,网络设备识别,搜索引擎：,Sodan,、,ZoomEye,基于设备指纹的设备类型探测,Banner,信息的获取渠道：,FTP,协议,SSH,Telnet,HTTP,2.5,网络拓扑探测,网络实体,IP,地理位置定位,基于查询信息的定位,通过查询机构注册的信息确定网络设备的地理位置；,基于网络测量的定位,利用探测源与目标实体的时延、拓扑或其他信息估计目标实体的位置。,本章小结,本章从公开信息收集、网络扫描技术、漏洞扫描、网络拓扑探测等四个方面对信息收集进行介绍。信息收集是一把双刃剑，它可以帮助用户找到有用的信息，使信息真正的为用户服务；但它也是攻击者对目标进行攻击的第一步,，了解攻击者,信息,收集的思路与方法对于防御方辨别、隐藏“敏感”的信息有着重要的意义。,2025/1/7 周二,网络攻防技术,82,