信息收集與漏洞掃描

1、4 信息收集與漏洞掃描 攻擊的前奏1內(nèi)容踩點(diǎn)社會(huì)工程學(xué)搜索引擎網(wǎng)絡(luò)嗅探安全掃描21、踩點(diǎn)孫子兵法里指出：“知己知彼，百戰(zhàn)不殆；不知彼而知己，一勝一負(fù)；不知彼不知己，每戰(zhàn)必?cái)??！?對(duì)于黑客們來(lái)說(shuō)，在開始真正肆虐之前，必須完成三個(gè)基本步驟。本章討論第一個(gè)步驟踩點(diǎn)（footprinting），這是收集目標(biāo)信息的奇技淫巧。舉例來(lái)說(shuō)，當(dāng)盜賊決定搶劫一家銀行時(shí)，他們不會(huì)大搖大擺地走進(jìn)去直接要錢（至少明智的賊不會(huì)）。相反，他們會(huì)狠下一番苦功夫收集關(guān)于這家銀行的相關(guān)信息，包括武裝押運(yùn)車的路線和運(yùn)送時(shí)間、攝像頭位置和攝像范圍、出納員人數(shù)、逃跑出口以及其他任何有助于行事的信息。3踩點(diǎn)攻擊者可以通過(guò)對(duì)某個(gè)組織進(jìn)行有

2、計(jì)劃、有步驟的踩點(diǎn)，收集整理出一份關(guān)于該組織信息安防現(xiàn)狀的完整剖析圖。結(jié)合使用各種工具和技巧，攻擊者完全可以從對(duì)某個(gè)組織（比如XYZ公司）毫無(wú)所知變成知之甚詳，他們可以從公開渠道查出該組織具體使用的域名、網(wǎng)絡(luò)地址塊、與因特網(wǎng)直接相聯(lián)的各有關(guān)系統(tǒng)的IP地址以及與信息安防現(xiàn)狀有關(guān)的其他細(xì)節(jié)。有很多種技術(shù)可以用來(lái)進(jìn)行踩點(diǎn)，但它們的主要目的不外乎發(fā)現(xiàn)和收集與以下幾種與網(wǎng)絡(luò)環(huán)境相關(guān)的信息：因特網(wǎng)、內(nèi)聯(lián)網(wǎng)（intranet）、遠(yuǎn)程訪問(wèn)和外聯(lián)網(wǎng)（extranet）。4網(wǎng)絡(luò)環(huán)境需要確認(rèn)的信息因特網(wǎng)域名網(wǎng)絡(luò)地址塊可以直接從因特網(wǎng)進(jìn)行訪問(wèn)的各個(gè)系統(tǒng)的具體IP地址已被發(fā)現(xiàn)的各個(gè)系統(tǒng)上運(yùn)行的TCP和UDP服務(wù)系統(tǒng)體系

3、結(jié)構(gòu)（例如SPARC或X86）訪問(wèn)控制機(jī)制和相關(guān)的訪問(wèn)控制表（access control list，ACL）入侵檢測(cè)系統(tǒng)（intrusion detection system，IDS）各有關(guān)系統(tǒng)的細(xì)節(jié)信息（用戶名和用戶組名、系統(tǒng)旗標(biāo)、路由表、SNMP信息等等）DNS主機(jī)名外聯(lián)網(wǎng)連接的源地址和目標(biāo)地址連接的類型訪問(wèn)控制機(jī)制5網(wǎng)絡(luò)環(huán)境需要確認(rèn)的信息內(nèi)聯(lián)網(wǎng)組網(wǎng)協(xié)議（比如說(shuō)，IP、IPX、DecNET等等）內(nèi)部域名網(wǎng)絡(luò)地址塊可以直接從內(nèi)聯(lián)網(wǎng)進(jìn)行訪問(wèn)的各個(gè)系統(tǒng)的具體IP地址已被發(fā)現(xiàn)的各系統(tǒng)上運(yùn)行的TCP和UDP服務(wù)已被發(fā)現(xiàn)的各系統(tǒng)的體系結(jié)構(gòu)（例如，SPARC還是X86）訪問(wèn)控制機(jī)制和相關(guān)的訪問(wèn)控制表（

4、access control list，ACL）入侵檢測(cè)系統(tǒng)（intrusion detection system，IDS）各有關(guān)系統(tǒng)的細(xì)節(jié)信息（用戶名和用戶組名、系統(tǒng)旗標(biāo)、路由表、SNMP信息等等）遠(yuǎn)程訪問(wèn)模擬/數(shù)字電話號(hào)碼遠(yuǎn)程系統(tǒng)的類型身份驗(yàn)證機(jī)制VPN和相關(guān)的協(xié)議（IPSec和PPTP）6步驟1：確定踩點(diǎn)活動(dòng)范圍首先要解決的問(wèn)題是確定踩點(diǎn)活動(dòng)的范圍。換句話說(shuō)，是打算對(duì)目標(biāo)組織做全面的踩點(diǎn)，還是把自己的踩點(diǎn)活動(dòng)范圍控制在它的某個(gè)子公司或某個(gè)特定的地理位置？在許多場(chǎng)合，單是把與某個(gè)組織有關(guān)的的所有實(shí)體全都找出來(lái)就已經(jīng)是一項(xiàng)令人生畏的繁雜任務(wù)，若再想把它們都保護(hù)得面面俱到就更不容易了.7步驟2

5、：獲得必要的授權(quán)從純粹的技術(shù)角度講，OSI網(wǎng)絡(luò)模型只有7個(gè)層次，但在討論信息安防問(wèn)題的時(shí)候，都認(rèn)為應(yīng)該把政治因素和資金因素看做是OSI模型的第8層和第9層。這兩個(gè)層次對(duì)黑客來(lái)說(shuō)無(wú)足輕重，但你們卻必須特別加以注意。這些層次對(duì)信息安防工作有著種種影響，其中又以授權(quán)方面的問(wèn)題最不好解決。你的踩點(diǎn)或其他活動(dòng)是否得到了授權(quán)？你獲得的授權(quán)都允許你從事哪些具體的活動(dòng)？授權(quán)是否來(lái)自有權(quán)做出這種授權(quán)的人？授權(quán)是不是以書面形式下達(dá)的？目標(biāo)IP地址是否正確無(wú)誤？8步驟3：可以從公開渠道獲得的信息可以從公開渠道獲得的信息 流行度：9簡(jiǎn)單度：9影響力：2風(fēng)險(xiǎn)率：7如果把收集情報(bào)比作大海撈針的話，那么踩點(diǎn)活動(dòng)要撈的“針”

6、都有哪些呢？公司的Web網(wǎng)頁(yè)相關(guān)組織地理位置細(xì)節(jié)電話號(hào)碼、聯(lián)系人名單、電子郵件地址、詳細(xì)的個(gè)人資料近期重大事件（合并、收購(gòu)、裁員、快速增長(zhǎng)等等）可以表明現(xiàn)有信息安防機(jī)制的隱私/安防策略和技術(shù)細(xì)節(jié)已歸檔的信息心懷不滿的員工搜索引擎、Usenet和個(gè)人簡(jiǎn)歷讓人感興趣的其他信息9公司的Web網(wǎng)頁(yè)說(shuō)到踩點(diǎn)，仔細(xì)研究目標(biāo)組織的Web網(wǎng)頁(yè)通常是一個(gè)很好的出發(fā)點(diǎn)。在很多時(shí)候，目標(biāo)組織的Web站點(diǎn)會(huì)向攻擊者提供大量有用的信息。我們?cè)H眼見過(guò)很多缺乏安防意識(shí)的組織就那么毫不掩飾地把它們的網(wǎng)絡(luò)或系統(tǒng)安防配置細(xì)節(jié)列在它們的因特網(wǎng)Web服務(wù)器上。此外，HTML源代碼里的注釋語(yǔ)句也是一個(gè)收集情報(bào)的好去處。在諸如“”、“

7、!”和“”之類的HTML注釋標(biāo)記里往往會(huì)隱藏著一些你們?cè)赪eb瀏覽器的窗口畫面里看不到的秘密。以脫機(jī)方式閱讀源代碼通常要比以在線方式查閱來(lái)得更快，所以把整個(gè)站點(diǎn)鏡像下來(lái)進(jìn)行脫機(jī)瀏覽的好處很多。在你們自己的機(jī)器里保留一份目標(biāo)站點(diǎn)的本地拷貝可以讓你們通過(guò)各種編程手段去查找你們感興趣的注釋或其他內(nèi)容，而這將使你們的踩點(diǎn)活動(dòng)更有效率。至于鏡像整個(gè)Web站點(diǎn)的工具，UNIX操作系統(tǒng)下的Wget（）和Windows操作系統(tǒng)下的Teleport Pro（）都是非常不錯(cuò)的選擇。10地理位置細(xì)節(jié)對(duì)目的明確的攻擊者來(lái)說(shuō)，一個(gè)具體的地理地址往往非常有用。有了這個(gè)地址，攻擊者就可以去“翻垃圾”（從垃圾箱里尋找廢棄的敏

8、感文件）、盯梢、進(jìn)行社交工程或者展開其他非技術(shù)性的攻擊。利用泄露的地理地址還可能非法侵入對(duì)方的辦公大樓、有線或無(wú)線網(wǎng)絡(luò)、計(jì)算機(jī)等。利用因特網(wǎng)上的各種資源，攻擊者甚至可以獲得目標(biāo)建筑物的一份相當(dāng)詳盡的衛(wèi)星圖像。就拿筆者最喜歡的站點(diǎn)來(lái)說(shuō)吧，該站點(diǎn)的擁有者是Google公司的一家子公司，它可以讓你把全世界（至少是全世界的各主要都市）盡收眼底，并通過(guò)一個(gè)設(shè)計(jì)得非常優(yōu)秀的客戶端軟件以令人驚訝的清晰度和細(xì)節(jié)把某給定地址的周邊地理環(huán)境展示在你的面前（如圖1-1所示）。站點(diǎn)也是一個(gè)查看地理環(huán)境的流行資源。11電話號(hào)碼、聯(lián)系人名單、電子郵件地址和詳細(xì)的個(gè)人資料在得到你的電話號(hào)碼之后，攻擊者就可以通過(guò)、或之類的網(wǎng)

9、站查出你的地理地址。他們還可以根據(jù)你的電話號(hào)碼為他們的“密集撥號(hào)”攻擊設(shè)定一個(gè)攻擊范圍或是開展“社交工程”攻擊以獲得更多的信息和/或訪問(wèn)權(quán)限。12已歸檔的信息在因特網(wǎng)上有一些專門歸檔保存過(guò)期信息的站點(diǎn)，你們可以從這類站點(diǎn)上輕而易舉地檢索出很多從其原始來(lái)源都無(wú)法查到的信息。由于這類站點(diǎn)的存在，很多因?yàn)榘踩蚨惶匾鈩h除的信息還是可以被那些知道這一訣竅的人檢索出來(lái)。這類站點(diǎn)的例子有地址處的WayBack Machine網(wǎng)站（如圖1-3所示）、和通過(guò)Google搜索引擎的cached results（緩存結(jié)果）鏈接查看到的緩存結(jié)果（如圖1-4所示）。13在網(wǎng)站上檢索到的多年前的網(wǎng)頁(yè) 14搜索引擎的

10、特性使得任何人都可以輕而易舉地查看到它們?cè)鴺?biāo)引過(guò)的緩存內(nèi)容。圖中是通過(guò)Google搜索引擎的cached results（緩存結(jié)果）鏈接檢索出來(lái)的主頁(yè)的緩存版本 15Google與黑客1、 index of /admin2、index of /passwd /passwd目錄3、index of /password 4、index of /mail /電子郵件目錄5、“index of /config”/查詢config 目錄利用index of可以瀏覽一些隱藏在互聯(lián)網(wǎng)背后的開放了目錄瀏覽的網(wǎng)站服務(wù)器的目錄，并能夠下載本無(wú)法看到的密碼等有用文件16Google與黑客inurl: inurl:

11、是駭客重要的搜尋方法，可搜到網(wǎng)址包括的關(guān)鍵字， 例如填上 allinurl:login password 作搜尋，便會(huì)很易找到有 login 和 password 的網(wǎng)頁(yè)。 17搜索引擎、Usenet和個(gè)人簡(jiǎn)歷現(xiàn)如今的搜索引擎已經(jīng)發(fā)展到了一種不可思議的地步。只需幾秒鐘的時(shí)間，你就可以查到想知道的任何問(wèn)題的答案。現(xiàn)在，許多流行的搜索引擎都提供了這樣或那樣的高級(jí)搜索功能，這些功能可以幫助你把最細(xì)枝末節(jié)的信息輕而易舉地查找出來(lái)。搜索引擎:、和（它會(huì)把你的搜索請(qǐng)求同時(shí)發(fā)送給多個(gè)搜索引擎）。18步驟4：WHOIS和DNS查點(diǎn)whois 流行度：9簡(jiǎn)單度：9影響力：5風(fēng)險(xiǎn)率：8為了確保因特網(wǎng)上的各類系統(tǒng)可

12、以互聯(lián)互通、防止IP地址發(fā)生沖突、確保地理邊界和政治因素不會(huì)給名字解析帶來(lái)干擾，因特網(wǎng)的幾種基礎(chǔ)性功能必須由某個(gè)中央機(jī)構(gòu)統(tǒng)一管理起來(lái)。這意味著有人在管理著數(shù)量十分龐大的信息。如果你們了解這一點(diǎn)是如何做到的，就可以有效地利用好這個(gè)信息寶庫(kù)！因特網(wǎng)的這些核心功能是由一家名為Internet Corporation for Assigned Names and Numbers（ICANN；）的非贏利組織負(fù)責(zé)管理的。19ICANN有很多下屬分支機(jī)構(gòu)，我們此時(shí)最感興趣的是以下三個(gè)：Address Supporting Organization（ASO，地址支持組織）Generic Name Suppor

13、ting Organization（GNSO，基本名稱支持組織）Country Code Domain Name Supporting Organization（CNNSO，國(guó)家代碼域名支持組織） 20ASO負(fù)責(zé)聽取、審查與IP地址分配政策有關(guān)的意見并就這些問(wèn)題向ICANN董事會(huì)提出建議。ASO負(fù)責(zé)把IP地址塊統(tǒng)一分配給幾個(gè)在各自的轄區(qū)內(nèi)負(fù)責(zé)公共因特網(wǎng)號(hào)碼資源的管理、分配和注冊(cè)事務(wù)的洲際因特網(wǎng)注冊(cè)局（Regional Internet Registry，RIR；如下圖所示）。這些RIR再把IP地址分配給企事業(yè)單位、因特網(wǎng)接入服務(wù)提供商（Internet service provider，ISP

14、）或者根據(jù)當(dāng)?shù)卣ㄖ饕且恍┕伯a(chǎn)主義國(guó)家和集權(quán)統(tǒng)治國(guó)家）的有關(guān)規(guī)定國(guó)家因特網(wǎng)注冊(cè)局（National Internet Registry，NIR）或地區(qū)因特網(wǎng)注冊(cè)局（Local Internet Registry，LIR）：APNIC（） 亞太地區(qū)ARIN（） 南美洲、北美洲和非洲下撒哈拉地區(qū)LACNIC（） 拉丁美洲和加勒比海地區(qū)RIPE（） 歐洲、亞洲部分地區(qū)、赤道以北的非洲地區(qū)和中東地區(qū)AfriNIC（；目前仍是“觀察員身份”） 南非和北非地區(qū)目前分別由ARIN和RIPE負(fù)責(zé)，但最終將會(huì)交給AfriNIC來(lái)管轄21GNSO負(fù)責(zé)聽取、審查與通用頂級(jí)域域名分配政策有關(guān)的各種意見，并就這些問(wèn)

15、題向ICANN董事會(huì)提出建議（如右圖所示）。請(qǐng)注意，GNSO不負(fù)責(zé)具體的域名注冊(cè)事務(wù)，它只負(fù)責(zé)頂級(jí)域（比如.com、.net、.edu、.org和.info等），通用頂級(jí)域的完整清單可以在主頁(yè)上查到。22CCNSO負(fù)責(zé)聽取、審查與國(guó)家代碼頂級(jí)域域名分配政策有關(guān)的各種意見，并就這些問(wèn)題向ICANN董事會(huì)提出建議。請(qǐng)注意，CCNSO也不負(fù)責(zé)具體的域名注冊(cè)事務(wù)。國(guó)家代碼頂級(jí)域的完整清單可以在主頁(yè)上查到（如右圖所示）。23雖然上述信息的管理工作相當(dāng)集中化，但實(shí)際數(shù)據(jù)卻因?yàn)榧夹g(shù)和政治方面的原因分別存儲(chǔ)在全球各地的許多WHOIS服務(wù)器上。使事情變得更加復(fù)雜的是，WHOIS查詢的語(yǔ)法、允許的查詢類型、可供查

16、詢的數(shù)據(jù)和查詢結(jié)果的格式在不同的服務(wù)器間往往有著很大的差異。此外，出于防范垃圾郵件制造者、黑客和資源過(guò)載問(wèn)題的考慮，許多注冊(cè)服務(wù)商都會(huì)限制人們進(jìn)行某些查詢；出于國(guó)家安全方面的考慮，.mil和.gov域的信息完全不允許普通大眾進(jìn)行查詢。只要有合適的工具、再加上一些技巧和足夠的耐心，就應(yīng)該可以把這個(gè)星球上幾乎所有曾經(jīng)注冊(cè)過(guò)的單位和個(gè)人的域注冊(cè)信息和IP注冊(cè)信息查詢出來(lái)！24域注冊(cè)信息的查詢域注冊(cè)信息（比如）和IP注冊(cè)信息（比如IP地址塊、BGP自主系統(tǒng)號(hào)碼、等等）需要分別向兩個(gè)機(jī)構(gòu)注冊(cè)，這意味著我們需要沿著兩條不同的路徑去查找這些細(xì)節(jié)。先來(lái)看一個(gè)查找域注冊(cè)信息的例子，例子中的目標(biāo)組織是。首先，我們

17、需要確定想要查找的信息到底存儲(chǔ)在哪個(gè)WHOIS服務(wù)器上。這一查詢的基本思路是這樣的：先通過(guò)某個(gè)給定TLD（top-level domain，頂級(jí)域）的官方注冊(cè)局查出目標(biāo)組織是向哪家注冊(cè)商進(jìn)行注冊(cè)，再?gòu)哪羌易?cè)商那里查出查找的目標(biāo)組織的域名注冊(cè)細(xì)節(jié)。因?yàn)楣俜阶?cè)局（Registry）、注冊(cè)商（Registrar）和注冊(cè)人（Registrant，也就是目標(biāo)組織）的英文名稱都以字母“R”打頭，所以我們把它們統(tǒng)稱為WHOIS查詢的三個(gè)“R”。25首先，我們需要從站點(diǎn)查出所有.com域的最終注冊(cè)機(jī)構(gòu)。這個(gè)搜索（如下圖所示）告訴我們，.com域的官方注冊(cè)機(jī)構(gòu)是Verisign Global Registr

18、y Services（ ）26在Verisign Global Registry Services的站點(diǎn)上（見下圖），我們用“”作為關(guān)鍵字查出該域名是通過(guò)為的域名注冊(cè)商進(jìn)行的注冊(cè)。27如果我們?cè)偃ツ莻€(gè)站點(diǎn)（如下圖所示），就可以通過(guò)它們的Web界面查詢這家注冊(cè)商的WHOIS服務(wù)器查找到域名的注冊(cè)細(xì)節(jié)信息大功告成！28注冊(cè)人細(xì)節(jié)信息可以告訴我們目標(biāo)組織的地理地址、電話號(hào)碼、聯(lián)系人名字、電子郵件地址、DNS服務(wù)器名字、IP地址等很多有用的信息。此外，下面這些網(wǎng)站可以自動(dòng)完成這種WHOIS查詢：最后，還有其他一些GUI界面的工具可以幫助你們進(jìn)行這類查詢：SamSpade：SuperScan：NetSc

19、an Tools Pro：29IP注冊(cè)信息的查詢現(xiàn)在，你們已經(jīng)知道如何查詢域注冊(cè)信息了，可是IP注冊(cè)信息又該如何查詢呢？我們前面講過(guò)，IP注冊(cè)事務(wù)是由屬于ICANN的ASO的幾家RIR具體負(fù)責(zé)的。下面，我們就一起去看看如何查詢這些信息吧。與TLD的情況不同，ICANN（IANA）的WHOIS服務(wù)器目前并不是所有RIR的最終注冊(cè)機(jī)構(gòu)，但每家RIR都知道自己都管轄著哪些個(gè)IP地址范圍。我們只須從它們當(dāng)中隨便挑選一個(gè)作為IP注冊(cè)信息查詢的出發(fā)點(diǎn)，它就會(huì)告訴我們應(yīng)該去往哪一個(gè)RIR才能找到需要的信息。30我們不妨假設(shè)你希望了解源IP地址是的記錄項(xiàng)，你想知道這個(gè)IP地址到底來(lái)自哪里。從ARIN（http

20、:/）開始這次追蹤，于是把這個(gè)IP地址作為關(guān)鍵字輸入到了ARIN網(wǎng)站的WHOIS查詢提示框里（如下圖所示），但它卻告訴你說(shuō)這個(gè)IP地址范圍的實(shí)際管理者是APNIC。31在APNIC的站點(diǎn)繼續(xù)進(jìn)行這次搜索（如下圖所示）。在那里，就可發(fā)現(xiàn)這個(gè)IP地址是由印度的National Internet Backbone公司負(fù)責(zé)管理的。32機(jī)制資源適用平臺(tái)Web界面安裝有Web客戶程序的任何一種平臺(tái)Whois客戶程序大多數(shù)UNIX版本自帶的whois查詢工具UNIXChris Cappuccio（）編寫的Fwhois程序WS_Ping ProPackWindows 95/NT/2000/XPSam Spad

21、eWindows 95/NT/2000/XPSam Spade工具的Web界面安裝有Web客戶端程序的任何一種平臺(tái)Netscan工具Windows 95/NT/2000/XPXwhoisnr/xwhois/安裝有X和GTK+GUI開發(fā)工具包的UNIX系統(tǒng)JwhoisUNIXWHOIS查詢工具/數(shù)據(jù)源的下載地址和適用平臺(tái) 33步驟5：DNS查詢確認(rèn)了所有關(guān)聯(lián)的域名后，就可以開始查詢DNS了。DNS是一個(gè)把主機(jī)名映射為IP地址或者把IP地址映射為主機(jī)名的分布式數(shù)據(jù)庫(kù)系統(tǒng)。如果DNS配置得不夠安全，就有可能泄露有關(guān)組織的敏感信息。34區(qū)域傳送流行度：9簡(jiǎn)單度：9影響力：3風(fēng)險(xiǎn)率：7對(duì)一名系統(tǒng)管理員來(lái)

22、說(shuō)，允許不受信任的因特網(wǎng)用戶執(zhí)行DNS區(qū)域傳送（zone transfer）操作是后果最為嚴(yán)重的錯(cuò)誤配置之一。區(qū)域傳送操作指的是一臺(tái)后備服務(wù)器使用來(lái)自主服務(wù)器的數(shù)據(jù)刷新自己的zone數(shù)據(jù)庫(kù)。這為運(yùn)行中的DNS服務(wù)提供了一定的冗余度，其目的是為了防止主域名服務(wù)器因意外故障變得不可用時(shí)影響到全局。一般來(lái)說(shuō)，DNS區(qū)域傳送操作只在網(wǎng)絡(luò)里真的有后備域名DNS服務(wù)器時(shí)才有必要執(zhí)行，但許多DNS服務(wù)器卻被錯(cuò)誤地配置成只要有人發(fā)出請(qǐng)求，就會(huì)向?qū)Ψ教峁┮粋€(gè)zone數(shù)據(jù)庫(kù)的拷貝。如果所提供的信息只是與連到因特網(wǎng)上且具備有效主機(jī)名的系統(tǒng)相關(guān)，那么這種錯(cuò)誤配置不一定是壞事，盡管這使得攻擊者發(fā)現(xiàn)潛在目標(biāo)要容易得多。真

23、正的問(wèn)題發(fā)生在一個(gè)單位沒(méi)有使用公用/私用DNS機(jī)制來(lái)分割外部公用DNS信息和內(nèi)部私用DNS信息的時(shí)候，此時(shí)內(nèi)部主機(jī)名和IP地址都暴露給了攻擊者。把內(nèi)部IP地址信息提供給因特網(wǎng)上不受信任的用戶，就像是把一個(gè)單位的內(nèi)部網(wǎng)絡(luò)完整藍(lán)圖或?qū)Ш綀D奉送給了別人。35使用大多數(shù)UNIX和Windows上通常提供的nslookup客戶程序是執(zhí)行區(qū)域傳送的一個(gè)簡(jiǎn)單辦法。我們可以以交互模式使用nslookup：bash$ nslookupDefault Server: Address: Server: Address: Name: Address: set type=any ls -d T. /tmp/zone_o

24、ut36運(yùn)行nslookup程序。將回顯它當(dāng)前使用的名字服務(wù)器，它通常是本單位的本地DNS服務(wù)器或者某ISP提供的DNS服務(wù)器。以手動(dòng)方式告訴nslookup去查詢哪一個(gè)DNS服務(wù)器。具體到上面的例子，我們使用Tellurian Networks的主DNS服務(wù)器。接下來(lái)，我們把記錄類型設(shè)置為“any”，這允許你取得任何可能的DNS記錄（使用man nslookup命令查看），從而構(gòu)成一個(gè)完整的清單。最后，我們使用“l(fā)s”選項(xiàng)列出所有與目標(biāo)域名有關(guān)的記錄，其中“-d”開關(guān)用于列出該域名的所有記錄。我們?cè)谟蛎竺嫣砹艘粋€(gè)點(diǎn)號(hào)“.”以強(qiáng)調(diào)這是一個(gè)完全限定域名。另外，我們把輸出內(nèi)容重定向到文件 /tm

25、p/zone_out里去，以便稍后對(duì)它操作。完成區(qū)域傳送后，查看輸出文件，找一找是否存在有助于確認(rèn)特定系統(tǒng)的讓人感興趣的信息。因?yàn)門ellurian Network網(wǎng)站不允許進(jìn)行區(qū)域傳送操作，我們這里只能給出一個(gè)示例性的輸出結(jié)果：37bash$ more zone_outacct18 1D IN A 1D IN HINFO Gateway2000 WinWKGRPS1D IN MX 0 tellurianadmin-smtp1D IN RP bsmith.rci bsmith.who1D IN TXT Location:Telephone Roomau 1D IN A 1D IN HINFO

26、Aspect MS-DOS1D IN MX 0 andromeda1D IN RP jcoy.erebus jcoy.who1D IN TXT Location: Library在上面的輸出清單里，列在右邊的每個(gè)主機(jī)系統(tǒng)名欄都對(duì)應(yīng)一個(gè)“A”類型記錄，它指出了該系統(tǒng)的IP地址。另外，每臺(tái)主機(jī)都對(duì)應(yīng)一個(gè)HINFO記錄，標(biāo)識(shí)其平臺(tái)或所運(yùn)行的操作系統(tǒng)類型。38步驟6：網(wǎng)絡(luò)偵察找到可以作為潛在攻擊目標(biāo)的網(wǎng)絡(luò)之后，攻擊者就可以去嘗試確定那些網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和可能存在的網(wǎng)絡(luò)訪問(wèn)路徑了。路由追蹤：流行度：9簡(jiǎn)單度：9影響力：2風(fēng)險(xiǎn)率：7為了完成這一任務(wù)，我們可以使用大多數(shù)UNIX版本和Windows NT都

27、提供的traceroute程序（下載地址：）。在Windows操作系統(tǒng)里，因?yàn)樾枰c早期的8.3文件命名規(guī)則保持兼容，所以這個(gè)工具的程序名是“tracert”。39例如：bash$ traceroute traceroute to (), 30 hops max, 38 byte packets1 (3) 4.264 ms 4.245 ms 4.226 ms2 () 9.155 ms 9.181 ms 9.180 ms3 (0) 9.224 ms 9.183 ms 9.145 ms4 (3) 9.660 ms 9.771 ms 9.737 ms5 (17) 12.654 ms 10.145 m

28、s 9.945 ms6 (73) 10.235 ms 9.968 ms 10.024 ms7 (7) 133.128 ms 77.520 ms 218.464 ms8 (8) 65.065 ms 65.189 ms 65.168 ms9 (52) 64.998 ms 65.021 ms 65.301 ms10 (30) 82.511 ms 66.022 ms 66.17011 () 82.355 ms 81.644 ms 84.238 ms4010/1/2022412、Sniffer(嗅探器)簡(jiǎn)介嗅探器是能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備（軟件或硬件），嗅探器這個(gè)術(shù)語(yǔ)源于通用網(wǎng)絡(luò)公司(Network Ge

29、neral)開發(fā)的捕獲網(wǎng)絡(luò)數(shù)據(jù)包軟件Sniffer。以后的協(xié)議分析軟件都被稱為Sniffer。4110/1/202242Sniffer的用途Sniffer的正當(dāng)用處是分析網(wǎng)絡(luò)流量，確定網(wǎng)絡(luò)故障原因。比如：網(wǎng)絡(luò)的某一段出現(xiàn)問(wèn)題，報(bào)文傳輸非常慢，而管理員又不知道那里出了問(wèn)題。這時(shí)，就可以利用sniffer來(lái)確定網(wǎng)絡(luò)故障原因。另外，利用sniffer還可以統(tǒng)計(jì)網(wǎng)絡(luò)流量。而黑客利用sniffer軟件來(lái)捕獲網(wǎng)絡(luò)流量，從中發(fā)現(xiàn)用戶的各種服務(wù)的帳號(hào)和口令或是信用卡賬號(hào)。42網(wǎng)卡接收模式( 1) 廣播模式: 該模式下的網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息。( 2) 組播模式: 該模式下的網(wǎng)卡能夠接收組播數(shù)據(jù)。( 3)

30、 直接模式: 在這種模式下, 只有匹配目的MAC 地址的網(wǎng)卡才能接收該數(shù)據(jù)幀。( 4) 混雜模式: 在這種模式下, 網(wǎng)卡能夠接收一切監(jiān)聽到的數(shù)據(jù)幀, 而無(wú)論其目的MAC 地址是什么。10/1/2022434310/1/202244Sniffer工作原理正常模式：網(wǎng)卡只接收目的地址為本機(jī)的網(wǎng)絡(luò)數(shù)據(jù)?；祀s模式(promiscuous)：是指網(wǎng)卡接收網(wǎng)絡(luò)上傳輸?shù)乃芯W(wǎng)絡(luò)數(shù)據(jù)，而不僅僅只接收它們自己的數(shù)據(jù)。 Sniffer就是將主機(jī)的網(wǎng)絡(luò)接口(網(wǎng)卡)設(shè)置成混雜模式(promiscuous)，那么它就能夠接收到網(wǎng)絡(luò)中所有的報(bào)文和數(shù)據(jù)幀。Linux下設(shè)置網(wǎng)卡混雜模式需要root權(quán)限：ifconfig et

31、h0 promisc4410/1/202245Sniffer工作的必要條件sniffer工作在共享式以太網(wǎng)，也就是說(shuō)使用Hub來(lái)組成局域網(wǎng)。本機(jī)的網(wǎng)卡需要設(shè)置成混雜模式。本機(jī)上安裝處理數(shù)據(jù)包的嗅探軟件需要系統(tǒng)管理員權(quán)限來(lái)運(yùn)行sniffer軟件。4510/1/202246交換機(jī)工作原理交換機(jī)(switch)比集線器(HUB)更聰明，它知道每臺(tái)計(jì)算機(jī)的MAC地址信息和與之相連的特定端口，發(fā)給某個(gè)主機(jī)的數(shù)據(jù)包會(huì)被SWITCH從特定的端口送出，而不是象HUB那樣，廣播給網(wǎng)絡(luò)上所有的機(jī)器。 4610/1/202247被動(dòng)嗅探 vs 主動(dòng)嗅探共享式以太網(wǎng)的嗅探：由集線器（HUB）組建的以太網(wǎng)叫做共享式以太

32、網(wǎng)，采取數(shù)據(jù)廣播方式。Sniffer可以正常工作。交換式以太網(wǎng)的嗅探：由交換機(jī)（switch）組建的以太網(wǎng)，采取點(diǎn)對(duì)點(diǎn)數(shù)據(jù)傳輸方式。 sniffer在交換網(wǎng)絡(luò)環(huán)境中只能捕獲本機(jī)網(wǎng)絡(luò)流量。4710/1/202248交換網(wǎng)絡(luò)中的嗅探攻擊Arpspoof攻擊交換環(huán)境下的sniffer需要進(jìn)行arp欺騙攻擊（arpspoof），實(shí)際上是中間人攻擊。通過(guò)欺騙網(wǎng)關(guān)和被攻擊主機(jī)，感染它們的arp緩存來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的嗅探。MAC FLOOD（MAC地址泛濫） 向LAN中發(fā)送大量的隨機(jī)MAC地址，由于交換機(jī)把每個(gè)鏈路上使用的MAC地址都保存在它的內(nèi)存中，當(dāng)交換機(jī)的內(nèi)存被耗盡時(shí)，交換機(jī)就會(huì)將數(shù)據(jù)包發(fā)送到所有的鏈

33、路上，這時(shí)交換機(jī)變成了集線器。而sniffer在共享式網(wǎng)絡(luò)中可以嗅探到網(wǎng)絡(luò)中的所有數(shù)據(jù)包。48ARP協(xié)議及ARP欺騙ARP協(xié)議實(shí)現(xiàn)IP地址解析為MAC地址；RARP協(xié)議實(shí)現(xiàn)MAC地址解析為IP地址.Windows操作系統(tǒng)在接受到ARP REPLY的信息時(shí)，立刻更新緩存的ARP信息。因此，當(dāng)接收到假冒的ARP信息時(shí)， ARP緩存就被污染了。ARP協(xié)議不進(jìn)行驗(yàn)證和確認(rèn)。因此，ARP欺騙是很難防御的。49ARP欺騙(ARP spoof)向被欺騙主機(jī)發(fā)送包含欺騙內(nèi)容的ARP響應(yīng)包，來(lái)改變被欺騙主機(jī)的ARP緩沖。ARP欺騙攻擊是屬于局域網(wǎng)內(nèi)部的欺騙攻擊，即攻擊主機(jī)與被欺騙主機(jī)都必須在同一個(gè)網(wǎng)段內(nèi)。下面的

34、ARP欺騙攻擊實(shí)驗(yàn)所使用的攻擊工具是Dug Song的工具集Dsniff中的arpspoof。Arpsoof的限制是只能使用本機(jī)的MAC地址，而不能任意指定MAC地址。50在交換式網(wǎng)絡(luò)上監(jiān)聽數(shù)據(jù)包ARP重定向技術(shù)，一種中間人攻擊,可使用dsniff中的arpspoof實(shí)現(xiàn)。ABGW1 B打開IP轉(zhuǎn)發(fā)功能2 B發(fā)送假冒的arp包給A,聲稱自己是GW的IP地址3 A給外部發(fā)送數(shù)據(jù)，首先發(fā)給B4 B再轉(zhuǎn)發(fā)給GW51ARP欺騙GATE網(wǎng)關(guān)，被冒名的主機(jī) 00-00-00-00-00-00 C目標(biāo)機(jī)，被攻擊對(duì)象 00-00-e2-52-c3-38 13 B跳板機(jī)，被控制，用于偽造包的直接發(fā)送00-50-

35、56-40-5b-93 32 A發(fā)動(dòng)欺騙的主機(jī) 00-0d-87-61-a9-81 34 主機(jī)代號(hào)主機(jī)用途主機(jī)MAC地址主機(jī)IP52被欺騙主機(jī)的arp緩沖1step1:使用arp a 命令顯示C的arp緩存內(nèi)容為: Interface: 13 on Interface 0 x1000003 Internet Address Physical Address Type 00-00-00-00-00-00 dynamicstep2: A遠(yuǎn)程登陸B(tài)后，從B ping向C，這時(shí)C的arp緩存中加入了B的信息：Interface: 13 on Interface 0 x1000003Internet A

36、ddress Physical Address Type 00-00-00-00-00-00 dynamic 32 00-50-56-40-5b-93 dynamic53被欺騙主機(jī)的arp緩沖2step3：A控制B，以B的mac，網(wǎng)關(guān)的名義（ip），向C發(fā)arp響應(yīng)數(shù)據(jù)包，那么C中原來(lái)正確的網(wǎng)關(guān)mac信息將被替換成B的mac，這時(shí)C所有發(fā)向網(wǎng)關(guān)的包都會(huì)被送到B上，這樣B就可以捕獲所有C的網(wǎng)絡(luò)流量。Interface: 13 on Interface 0 x1000003 Internet Address Physical Address Type 32 00-50-56-40-5b-93 dy

37、namic 00-50-56-40-5b-93 dynamic5410/1/202255Sniffer工具介紹SnifferPro Tcpdump，WindumpDsniffSnifferProEthereal5510/1/202256tcpdump & windumptcpdump是由berkeley大學(xué)洛侖茲伯克利國(guó)家實(shí)驗(yàn)室開發(fā)的一個(gè)非常著名的sniffer軟件，同時(shí)也是一個(gè)網(wǎng)絡(luò)報(bào)文分析程序。它的報(bào)文過(guò)濾能力非常強(qiáng)大，它由很多個(gè)選項(xiàng)來(lái)設(shè)置過(guò)濾條件，并且通過(guò)布爾表達(dá)式來(lái)生成報(bào)文過(guò)濾器。windump是tcpdump的windows版本。安裝windump之前需要安裝winpcap庫(kù)。5610

38、/1/202257SnifferProNAI公司開發(fā)的功能強(qiáng)大的圖形界面的嗅探器SnifferPro，它是目前最好，功能最強(qiáng)大的Sniffer軟件，通用協(xié)議分析工具,占到網(wǎng)絡(luò)分析市場(chǎng)的76% 。. 作者（美）西蒙斯基（Shimonski，R.J.） 等著，陳逸 等譯. 電子工業(yè)出版社,ISBN 7121000075.5710/1/202258Dsniffdsniff是由Dug Song開發(fā)的，可以從 處下載。dsniff安裝需要其他幾個(gè)軟件包：OpenSSLlibpcapBerkeley DBlinnids5810/1/202259Ethereal最優(yōu)秀的跨平臺(tái)開源嗅探工具，有圖形化界面和命令

39、行兩種版本。目前支持windows和linux等多種操作系統(tǒng)。下載地址: 圖形化的報(bào)文過(guò)濾器： ethereal通過(guò)display filter對(duì)話框來(lái)創(chuàng)建報(bào)文過(guò)濾器，用戶可以通過(guò)指定不同協(xié)議的不同字段值來(lái)生成報(bào)文過(guò)濾規(guī)則，并且可以使用布爾表達(dá)式AND和OR來(lái)組合這些過(guò)濾規(guī)則。TCP會(huì)話流重組： ethereal通過(guò)follow TCP Stream來(lái)重組同一TCP會(huì)話的所有數(shù)據(jù)包。59選此開始設(shè)置捕獲包的參數(shù)選擇網(wǎng)絡(luò)接口選擇混雜模式設(shè)置過(guò)濾器點(diǎn)此開始捕獲60捕獲到的包列表數(shù)據(jù)包頭解析選此開始捕獲包原始數(shù)據(jù)包字節(jié)選此進(jìn)行分析設(shè)置顯示過(guò)濾條件選此進(jìn)行統(tǒng)計(jì)6110/1/202262display

40、filter62捕獲HTTP數(shù)據(jù)包3. 輸入網(wǎng)址1. 設(shè)置捕獲過(guò)濾器僅捕獲TCP包，端口802. 開始捕獲6310/1/202264Follow TCP Stream64Wireshark 65Sniffer ProSniffer應(yīng)用性能管理深入的協(xié)議分析報(bào)表實(shí)時(shí)故障診斷66SnifferPortable Wireless PDA Option67 Sniffer的產(chǎn)品組成 廣域網(wǎng)硬件(SnifferBook)兩種Portable平臺(tái):Dolch NotebookPOS硬件(SnifferBook Ultra)Gigabit SplitterATM硬件(ATMBook)分布式Sniffer A

41、gent(DSS/RMON)68Sniffer Pro69黑客工具Cain & AbelGoogle Hack V2.070Cain & AbelCain & Abel是一個(gè)可以破 解屏保、PWL密碼、共享密碼、緩存口令、遠(yuǎn)程共享口令、SMB口令、支持VNC口令解碼、Cisco Type-7口令解碼、Base64口令解碼、SQL Server 7.0/2000口令解碼、Remote Desktop口令解碼、Access Database口令解碼、Cisco PIX Firewall口令解碼、Cisco MD5解碼、NTLM Session Security口令解碼、IKE Aggressive

42、 Mode Pre-Shared Keys口令解碼、Dialup口令解碼、遠(yuǎn)程桌面口令解碼等綜合工具，還可以遠(yuǎn)程破 解，可以掛字典以及暴力破解，其sniffer功能極其強(qiáng)大，幾乎可以明文捕獲一切帳號(hào)口令，包括、IMAP、POP3、SMB、TELNET、VNC、TDS、 SMTP、MSKERB5-PREAUTH、MSN、RADIUS-KEYS、RADIUS-USERS、ICQ、IKE Aggressive Mode Pre-Shared Keys authentications等。71Cain & Abel 7273Google-Hack V2.074757610/1/202277Sniffer攻擊的預(yù)防和檢測(cè)利用交換機(jī)、路由器、網(wǎng)橋等設(shè)備對(duì)網(wǎng)絡(luò)合理分段。盡量避免使用Hub來(lái)連接網(wǎng)絡(luò)。配置地址綁定來(lái)防止ARP欺騙。采用加密會(huì)話，比如：SSH