网络攻防技术与实践笔记-信息收集技术手段

网络攻防技术与实践笔记（一）

一、网络踩点

1、 web搜索与搜索

Google、百度等高级搜索，xgoogle查询工具；wget爬虫工具，Teleport Pro、Offline Explorer爬虫工具

2、DNS和IP地址查询

(1) DNS注册信息WHOIS查询（域名管理与注册机制）

WHOIS查询客户端；GUI工具实现WHOIS查询：SamSpade、SuperScan

(2) DNS服务：

查询IP地址；DNS查询机制；DNS同步机制；DNS与IP映射查询客户端：nslookup，dig

(3) IP注册信息WHOIS查询；（IP地址的WHOIS查询机制）

(4) DNS与IP地址映射到真实世界中的地理位置：

国外：GeoIP City；国内：纯真IP库。

3、网络拓扑观察

(1) 主要技术手段为路由跟踪（traceroute）

(2) 图像化拓扑侦查工具工具：

VisualRoute、NeoTrace和Trout。

(3) 防范措施：

利用RotoRouter工具对traceroute路由跟踪提供虚假响应消息；

配置只响应特定的类型的ICMP和UDP报文。

            

二、网络扫描

1、主机扫描

(1) 目的：找出网段内活跃主机

(2) 手段：

ICMP扫描（ping）防火墙或路由设置了数据包过滤，会过滤掉ping报文

       TCP扫描：

1、TCP ACK Ping ：利用TCP三次握手，攻击机发送一个只有ACK标志的TCP数据包给目标主机来确认连接，而之前未发送SYN报文来发起连接，那么靶机就会发送一个TCP RST报文来终止连接，从未确定靶机存活。

 2、TCP SYN Ping ：攻击机发送TCP SYN+port报文到靶机，如果靶机回复RST ，那么代表靶机的此端口为关闭；如果靶机回复SYN+ACK，那么代表靶机端口开放。以上两种方法都能判断主机存活，而且还可以判断端口是否开放。

        UDP扫描（ping）：

攻击机向靶机的某个端口发送随机数据的UDP报文，如果靶机的该端口开放，那么靶机不会         有任何回复；如果靶机的端口不开放，那么会回复端口不可达（Port Unreachable）的报文。此种扫描方式容易         被防火墙和路由设备过滤。

        

         (3) 主机扫描工具：

         UNIX：nmap、fping、hping；

         Windows：nmap、SuperScan、PingSweep

其中nmap功能最为强大的工具，包括主机扫描、端口扫描、系统类型探测、网络服务查点、网络拓扑发现。nmap 包含上述主机扫描的扫描方式。

              (4) 主机扫描的防范措施：

                snort入侵检测系统、防火墙配置 

2、端口扫描

        (1) 目的：找出主机上开放的网络服务

(2) 端口：由ICANN分配，共65536个，0-1023为的系统服务端口。

(3) 扫描分类：端口作用在传输层，其中传输层协议为TCP、UDP，所以端口扫描需要针对TCP和UDP的端口号进行两遍扫描

(4) TCP扫描：

TCP Connect扫描，完整的TCP三次握手，扫描会被记录到被扫描主机中

TCP SYN扫描，三次握手的“半开连接”，需要构造特殊额数据包，需要特权用户权限

(5) UDP扫描：向目标端口发送特殊定制的UDP报文，如果被扫描端口关闭，那么将反馈ICMP端口不可达，如果被扫描端口开放的话，那么将响应特殊定制的数据报文。需要说明的是，如果UDP端口上运行的服务是从前从未见过的，那么可能无法触发反馈报文。没有任何反馈报文也可能意味着网络链路上存在防火墙设备。

(6) 高级扫描技术：

FIN扫描：直接向端口发送FIN数据包，如果端口开放，那么主机将忽略为建立连接的FIN包，如果端口关闭，扫描方将得到一个RST反馈。

ACK扫描：向主机发送ACK包，不管端口是否开启，主机均反馈RST报文，通过判断RST报文中的TTL来判断主机是否开放。TTL值小于64端口开启，大于64端口关闭

NULL扫描：将所有标志位置0，准确度不高，可以用来判断操作系统类型，Windows操作系统不管端口开启还是关闭都会返回RST报文。

Xman扫描：其FIN/URG/PUSH标志置1。

TCP窗口扫描：根据反馈的RST报文的TCP窗口大小差异来判断端口是否开放。

FTP弹射扫描：利用FTP代理选项达到隐蔽源地址端口扫描的目的。

(7) 端口扫描工具

NAMP工具集成了常用扫描和高级扫描技术

nmap -sT：TCP Connect()扫描

nmap -sS：TCP SYN 扫描

nmap -sF：FIN 端口扫描

nmap -sN：NULL扫描

nmap -sA：ACK 扫描

nmap -sX：圣诞树 扫描

nmap -sU：UDP 扫描

        

3、系统类型判断

(1) 目的：识别主机安装的操作系统类型与开放网络服务类型，以选择不同渗透代码与配置

(2) 操作系统探查技术：基于协议栈分析技术

主动分析：发送数据包，分析系统协议栈的差别，nmap将系统协议栈指纹特征保存在nmap-os-fingerprints文件里。工具：

被动分析技术：监测局域网中主机的通信，基于TCP/IP协议指纹的分析技术，具有极高的隐蔽性。工具：siphon、p0f

4、漏洞扫描

(1) 目的：找出主机/网络服务上存在的安全漏洞，作为破解通道

(2) 漏洞发布：美国：MITRE组织维护的Common Vulnerabilities and Exposures (CVE)以成为也极为标准；

Security Foucs维护的Bugtraq漏洞信息库；

美国国家漏洞库（National Vulnerability Database）

中国：国家信息安全漏洞库；国家信息安全漏洞共享平台

(3) 漏洞扫描器：Nessus

5、集合工具：Cheops-ng

三、网络查点（针对性的对选定的供给目标进行主动连接与查询）

1、旗标抓取：利用客户端工具连接至远程网络服务并观察输出以收集关键信息的技术手段

telnet：连接TCP23端口进行远程通信

强大的工具：netcat

2、网络服务查点（利用网络服务协议来进查点）

Windows平台：NetBIOS网络基本输入输出系统服务、SMB文件打印共享服务、MSRPC微软远程调用服务等

Unix平台：主要的网络服务协议：RPC、NFC、SNMP等

针对NetBIOS协议查点

工具：针对NetBIOS的nbstat(查询netbios名字表)、nbtscan(查询整个网络的netbios)

针对SMB协议查点，SMB协议可以运行在TCP 139端口（基于NetBIOS会话服务）或者是TCP 445 端口（基于TCP/IP的SMB）

（1）建立“空回话”：net use \\HOST\IPC$""/U:""，其中host为远程地址，其含义为使用空口令字（""）以及内建的匿名用户（/u:""）身份来连接主机名或是IP地址为host的“进程间通信”隐蔽共享卷，而这个共享卷是Windows系统默认开放的。如果连接成功那么攻击者就建立了一条开放的会话信道，以未认证的匿名用户身份尝试以下查点技术。

（2）查找主机共享资源

建立起空回话后，利用内建命令：net view //host ，查点远程系统上共享卷。工具：DumpSec，SMB查点工具。

（3）注册表查点

工具：DumpSec

Windows的默认配置是管理员才能访问注册表，因此远程注册表无法通过匿名空回话来进行。

（4）查点信任域

（5）用户查点

利用空会话手机Windows主机用户信息就像共享卷查点一样容易，DumpSec软件能够列出用户、组合权限。

3、网络查点的防范

（1）将不需要的服务都关掉，特别是外部网络用户对局域网相关服务如MSRPC、NetBIOS名字服务、SMB服务的访问。

（2）放弃不安全的网络协议，如SSH代替Telnet