網(wǎng)絡(luò)攻防原理與技術(shù) 第4版 課件 第4章 網(wǎng)絡(luò)偵察技術(shù);第5章 網(wǎng)絡(luò)掃描技術(shù)

本PPT是機械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網(wǎng)上資源或公開學(xué)術(shù)報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第四章網(wǎng)絡(luò)偵察技術(shù)網(wǎng)絡(luò)偵察收集的信息網(wǎng)絡(luò)偵察掃描：了解你的獵物！踩點、掃描、查點網(wǎng)絡(luò)偵察收集的信息任務(wù)，獲取以下信息靜態(tài)信息各種聯(lián)系信息，包括姓名、郵件地址、電話號碼等DNS、郵件、Web等服務(wù)器主機或網(wǎng)絡(luò)的IP地址（段）、名字和域網(wǎng)絡(luò)拓撲結(jié)構(gòu)業(yè)務(wù)信息動態(tài)信息目標(biāo)主機是否開機目標(biāo)主機是否安裝了某種你感興趣的軟件目標(biāo)主機安裝的是什么操作系統(tǒng)目標(biāo)主機上是否有某種安全漏洞可用于攻擊其它一切對網(wǎng)絡(luò)攻擊產(chǎn)生作用的各種信息找指定條件（如某地域、某廠家）的聯(lián)網(wǎng)主機或設(shè)備網(wǎng)絡(luò)偵察收集的信息你能想到哪些方法來獲得上述信息的一種或幾種？給你一個QQ號，如何找出QQ主人的相關(guān)信息？你了解社會工程學(xué)嗎？人肉搜索？如何發(fā)現(xiàn)一個人的社會關(guān)系？你使用過哪些搜索網(wǎng)站？如何使用？用它來干什么？連不上某臺主機（PING或上網(wǎng)）是否說明該主機沒開？當(dāng)網(wǎng)絡(luò)掃描遇到安全類軟件時會發(fā)生什么？為什么要禁止軍人上電視（／網(wǎng)絡(luò)）征婚、交友？（為什么軍人不能在電視或網(wǎng)絡(luò)上表明軍人身份？）如何提防被偵察？網(wǎng)絡(luò)偵察收集的信息各種聯(lián)系信息，包括姓名、郵件地址、電話號碼等；DNS、郵件、Web等服務(wù)器；主機或網(wǎng)絡(luò)的IP地址（段）、名字和域；網(wǎng)絡(luò)拓撲結(jié)構(gòu)；業(yè)務(wù)信息；其它一切對網(wǎng)絡(luò)攻擊產(chǎn)生作用的各種信息。內(nèi)容提要網(wǎng)絡(luò)偵察方法步驟1多用途偵察工具2網(wǎng)絡(luò)偵察防御3一、搜索引擎著名黑客AdrianLamo因曾攻擊一些著名的報業(yè)公司、石油公司、互聯(lián)網(wǎng)服務(wù)提供商和金融服務(wù)公司而聞名。有雜志在對他做專訪時，問他最鐘愛的黑客工具是什么時，他立即說：“沒什么特別的，搜索引擎是我最喜歡的工具”搜索引擎Baidu的重要檢索命令site:[域]用途：返回與特定域相關(guān)的檢索結(jié)果；示例：site:南京

（在域中查找含有“南京”的結(jié)果）Baidu的重要檢索命令link:[Web頁面]用途：給出和指定Web頁面相鏈接的站點，可能泄露目標(biāo)站點的業(yè)務(wù)關(guān)系；示例：link:（查看與教育部官網(wǎng)相鏈接的所有站點）。Baidu的重要檢索命令（cont.）intitle:[條件]用途：用于檢索標(biāo)題中含有特定檢索文本的頁面。在查找那些將Web頁面配置成可顯示不同的文件系統(tǒng)目錄的索引時將非常有用?？赡芊祷卣军c管理員意外泄露的敏感文件和配置數(shù)據(jù)；示例：site:intitle:”indexof”(查看站點中是否有通過Web服務(wù)器獲得的索引目錄)。Baidu的重要檢索命令（cont.）cache:[頁面]用途：顯示來自于Baidu快照的頁面內(nèi)容。對于查找最近被移出或當(dāng)前不可用的頁面時非常有用；示例：cache:（查找中最近被Baidubot抓取的頁面）。Baidu的重要檢索命令（cont.）filetype:[后綴]用途：檢索特定類型的文件；示例：filetype:pptsite:（查找域中所有的ppt文件）問題：查網(wǎng)絡(luò)安全方面的PPT？Baidu的重要檢索命令（cont.）Not（－）用途：過濾Web頁面中所包含的特定條件；示例：dolphins–football。Plus（+）用途：告訴Baidu不應(yīng)該把某個詞過濾掉（注意：不是告訴Baidu所有的頁面都要包含某個條件）；示例：site:+how+the。Google常用命令找目標(biāo)如何找網(wǎng)絡(luò)上的一臺主機或聯(lián)網(wǎng)設(shè)備？Shodan聯(lián)網(wǎng)設(shè)備搜索引擎(http://www.shodan.io)ShodanShodan搜索對象分為網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)系統(tǒng)、banner信息關(guān)鍵字四類Shodan網(wǎng)絡(luò)設(shè)備又分為網(wǎng)絡(luò)連接設(shè)備和網(wǎng)絡(luò)應(yīng)用設(shè)備。網(wǎng)絡(luò)連接設(shè)備是指將網(wǎng)絡(luò)各個部分連接成一個整體的設(shè)備，主要包括：主要包括Hub（集線器）、Modem（調(diào)制解調(diào)器）、Switch（交換機）、Router（路由器）、Gateway（網(wǎng)關(guān)）、Server（各種網(wǎng)絡(luò)服務(wù)器）。網(wǎng)絡(luò)應(yīng)用設(shè)備是指利用因特網(wǎng)提供的服務(wù)完成設(shè)計功能的設(shè)備，常見的有打印機、攝像頭、數(shù)字電話、數(shù)字空調(diào)、智能電視以及工業(yè)生產(chǎn)領(lǐng)域大量使用的傳感器、控制單元等。Shodan網(wǎng)絡(luò)服務(wù)是指網(wǎng)絡(luò)提供的各種服務(wù)，如FTP、HTTP等網(wǎng)絡(luò)系統(tǒng)包括：操作系統(tǒng)（如Windows，Linux，Solaris，AIX等）工業(yè)生產(chǎn)領(lǐng)域廣泛使用的各類控制系統(tǒng)，如數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SupervisoryControlAndDataAcquisition,SCADA）、集散控制系統(tǒng)（DistributedControlSystem,DCS）\配電網(wǎng)管理系統(tǒng)（DistributionManagementSystem，DMS）等ShodanBanner信息關(guān)鍵字類搜索對象是指用戶分析Shodan搜索返回的banner后，將其中的關(guān)鍵字作為搜索對象，如弱口令（defaultpassword）、匿名登錄（anonymouslogin）、HTTP報頭（如HTTP200OK）等。Shodan格式：ABCfilter:valuefilter:valuefilter:valueA、B、C為搜索對象，如網(wǎng)絡(luò)設(shè)備netcam、網(wǎng)絡(luò)服務(wù)器IIS。Filter為Shodan搜索過濾詞，常見的有地理位置、時間、網(wǎng)絡(luò)服務(wù)。Value為filter對應(yīng)的值，若filter是端口，則value的值對應(yīng)為Shodan支持搜索的端口值。需要注意的是filter與value之間的冒號后面沒有空格Shodan過濾詞：地理位置類過濾詞注意：使用過濾詞需要注冊賬號并登錄！Shodan過濾詞：網(wǎng)絡(luò)服務(wù)類過濾詞，主要包括hostname、net、os、portShodan過濾詞：網(wǎng)絡(luò)服務(wù)類過濾詞，主要包括hostname、net、os、portShodan：搜索公網(wǎng)攝像頭ZoomeyeZoomeyeZoomeyeZoomeyeZoomeye32

FOFA是白帽匯推出的一款網(wǎng)絡(luò)空間搜索引擎，它通過進行網(wǎng)絡(luò)空間測繪，能夠幫助研究人員或者企業(yè)迅速進行網(wǎng)絡(luò)資產(chǎn)匹配，例如進行漏洞影響范圍分析、應(yīng)用分布統(tǒng)計、應(yīng)用流行度排名統(tǒng)計等FOFAFOFAFOFA可以搜索網(wǎng)絡(luò)組件，例如地區(qū)，端口號，網(wǎng)絡(luò)服務(wù)，操作系統(tǒng)，網(wǎng)絡(luò)協(xié)議等包括各種開發(fā)框架、安全監(jiān)測平臺、項目管理系統(tǒng)、企業(yè)管理系統(tǒng)、視頻監(jiān)控系統(tǒng)、站長平臺、電商系統(tǒng)、廣告聯(lián)盟、前端庫、路由器、SSL證書、服務(wù)器管理系統(tǒng)、CDN、Web服務(wù)器、WAF、CMS等，還可以繞過CDN找真實IPFOFA/諦聽搜索到的很多設(shè)備或服務(wù)可能是陷阱（蜜罐,蜜網(wǎng)）二、whois數(shù)據(jù)庫：信息寶庫whois數(shù)據(jù)庫確定了目標(biāo)系統(tǒng)后，下一步就是確定域名和相關(guān)的網(wǎng)絡(luò)信息。要找到這些信息，有哪些方法呢？求助于互聯(lián)網(wǎng)的域名授權(quán)注冊機構(gòu)：互聯(lián)網(wǎng)上各類型的whois數(shù)據(jù)庫充當(dāng)了互聯(lián)網(wǎng)白皮書列表的角色。數(shù)據(jù)庫中的數(shù)據(jù)包括了域名、IP地址、個人聯(lián)系方式等注冊信息。whois數(shù)據(jù)庫由不同的注冊商和特定的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施組織所維護。（一）根據(jù)域名查注冊機構(gòu)互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(TheInternetAssignedNumbersAuthority,IANA)的Whois數(shù)據(jù)庫（/whois）根據(jù)域名查注冊機構(gòu)主要查詢點：InterNIC的Whois數(shù)據(jù)庫，支持以.aero,.arpa,.asia,.biz,.cat,.com,.coop,.edu,.info,.int,.jobs,.mobi,.museum,.name,.net,.org,.pro,or.travel為后綴的域名的注冊機構(gòu)查詢（/whois.html）根據(jù)域名查詢注冊機構(gòu)如果要查詢以中國頂級域名（.cn）為后綴的域名，可查詢中國互聯(lián)網(wǎng)信息中心(ChinaInternetNetworkInformationCenter,CNNIC)的Whois數(shù)據(jù)庫（/）。根據(jù)域名查注冊機構(gòu)根據(jù)域名查注冊機構(gòu)Uwhois數(shù)據(jù)庫（）根據(jù)域名查注冊機構(gòu)（二）根據(jù)注冊機構(gòu)查注冊信息根據(jù)注冊機構(gòu)查注冊信息根據(jù)注冊機構(gòu)查注冊信息根據(jù)注冊機構(gòu)查注冊信息這是以前查到的結(jié)果根據(jù)注冊機構(gòu)查注冊信息這是以前查到的結(jié)果根據(jù)注冊機構(gòu)查注冊信息這是以前查到的結(jié)果根據(jù)注冊機構(gòu)查注冊信息這是以前查到的結(jié)果（三）根據(jù)IP地址查詢信息查詢某個域名所對應(yīng)的IP地址分配情況，也可以對某個IP地址進行查詢以獲得擁有該IP地址的機構(gòu)信息。獲取IP地址或地址段是進行精確網(wǎng)絡(luò)掃描的基礎(chǔ)。這類查詢一般借助全球四大互聯(lián)網(wǎng)地址注冊機構(gòu)的Whois數(shù)據(jù)庫來查詢根據(jù)域名的IP地址查詢信息美國互聯(lián)網(wǎng)號注冊局（AmericanRegistryforInternetNumbers,ARIN）的Whois數(shù)據(jù)庫（/），負責(zé)北美地區(qū)的IP地址分配和管理根據(jù)域名的IP地址查詢信息由RéseauxIPEuropéens網(wǎng)絡(luò)協(xié)作中心（RéseauxIPEuropéensNetworkCoordinationCentre,RIPENCC）提供的Whois數(shù)據(jù)庫（），負責(zé)歐洲、中東、中亞和非洲地區(qū)的IP地址分配和管理根據(jù)域名的IP地址查詢信息由RéseauxIPEuropéens網(wǎng)絡(luò)協(xié)作中心（RéseauxIPEuropéensNetworkCoordinationCentre,RIPENCC）提供的Whois數(shù)據(jù)庫（），負責(zé)歐洲、中東、中亞和非洲地區(qū)的IP地址分配和管理根據(jù)域名的IP地址查詢信息由亞太網(wǎng)絡(luò)信息中心（AsiaPacificNetworkInformationCenter,APNIC）提供的Whois數(shù)據(jù)庫（），負責(zé)亞太地區(qū)的IP地址的分配和管理根據(jù)域名的IP地址查詢信息由亞太網(wǎng)絡(luò)信息中心（AsiaPacificNetworkInformationCenter,APNIC）提供的Whois數(shù)據(jù)庫（），負責(zé)亞太地區(qū)的IP地址的分配和管理根據(jù)域名的IP地址查詢信息根據(jù)域名的IP地址查詢信息根據(jù)域名的IP地址查詢信息根據(jù)域名的IP地址查詢信息由拉丁美洲和加勒比海網(wǎng)絡(luò)地址注冊局（LatinAmericanandCaribbeanInternetAddressRegistry,LACNIC）維護的Whois數(shù)據(jù)庫（），負責(zé)拉丁美洲和加勒比海地區(qū)的IP地址和管理根據(jù)域名的IP地址查詢信息使用中國互聯(lián)網(wǎng)信息中心（CNNIC）提供的IP地址注冊信息查詢系統(tǒng)（/）可以查到CNNIC及中國大陸的IP地址分配信息根據(jù)域名的IP地址查詢信息根據(jù)域名的IP地址查詢信息地址輸入欄中輸入一個IP地址（41）得到類似結(jié)果根據(jù)域名的IP地址查詢信息根據(jù)域名的IP地址查詢信息根據(jù)域名的IP地址查詢信息APT1：IP地址注冊信息除了通過各Whois數(shù)據(jù)庫維護方的網(wǎng)站上查詢域名信息外，還可以通過各種工具查詢Whois數(shù)據(jù)庫。Windows和Linux操作系統(tǒng)中均有相關(guān)的Whois查詢命令，當(dāng)然需要安裝相應(yīng)的工具，而不是默認提供。例如，WhoisCL是Windows下的命令行版本的Whois數(shù)據(jù)庫查詢工具（/utils/whoiscl.html）；Linux下也可以安裝Whois工具（CentOS下安裝命令為yuminstall-yjwhois,Debian/Ubuntu下安裝命令為apt-getinstall-ywhois）。這些工具一般都支持用戶添加Whois服務(wù)器，以支持更多的域名后綴的查詢查詢工具擁有8年的數(shù)據(jù)積累，包含6年全球網(wǎng)絡(luò)拓撲數(shù)據(jù)、6年全球網(wǎng)絡(luò)波動數(shù)據(jù)、8年全球43億IP定位數(shù)據(jù)、5年境內(nèi)外街道級IP定位數(shù)據(jù)、全球1000+自主探測點和7000+第三方探測點網(wǎng)絡(luò)空間測繪三、域名系統(tǒng)域名系統(tǒng)中的區(qū)Zone:

Zone:ftpexample……wwwdevmicrosoftcomeduorg域名系統(tǒng)允許把一個DNS命名空間分割成多個區(qū)，各個區(qū)保存一個或多個DNS域的名字信息區(qū)傳送域名查詢的解析操作由多個DNS服務(wù)器來提供，從而提高可用性和容錯性；DNS服務(wù)器之間采用區(qū)傳送的機制來同步和復(fù)制區(qū)內(nèi)數(shù)據(jù)；區(qū)傳送的最大安全問題：傳輸?shù)挠蛎畔⒅邪瞬辉摴_的內(nèi)部主機和服務(wù)器的域名信息，從而將內(nèi)部主機名和IP地址暴露給了攻擊者。區(qū)傳送查詢工具：Windows平臺：nslookup,SamSpade;UNIX平臺：nslookup,dig,host,axfr等示例：nslookup工具Windows自帶工具指定目標(biāo)的主DNS服務(wù)器或輔DNS服務(wù)器指定查詢?nèi)魏晤愋偷腄NS記錄將查詢到的DNS記錄保存到文件中去示例：DNS記錄（部分）使用viewdns_zone.out命令查看保存的記錄A表示獲取的IP地址信息MX表示郵件交換記錄信息，通常用于表明處理郵件的服務(wù)器，MX后面的整數(shù)值表示各條記錄的優(yōu)先級DNS區(qū)傳送（限制）DNS區(qū)傳送問題深度分析四、網(wǎng)絡(luò)拓撲Traceroute工具弄清拓撲結(jié)構(gòu)有什么用處呢？Traceroute是一種網(wǎng)絡(luò)故障診斷和獲取網(wǎng)絡(luò)拓撲結(jié)構(gòu)的工具，可以跟蹤TCP/IP數(shù)據(jù)包從出發(fā)點到目的地所走的路徑：通過發(fā)送小的數(shù)據(jù)包到目的設(shè)備直到返回，來測量耗時，并返回設(shè)備的名稱和地址；通過向目的地發(fā)送不同生存時間（TTL）的ICMP報文，以確定到達目的地的路由。示例：tracert示例：tracert其它路由跟蹤工具圖形化工具：VisualRoute:/visualroute/index.htmlXTraceroute:www.dtek.chalmers.se/~d3auguest/xt/工具鏈接：/atlas/routes.html拓撲發(fā)現(xiàn)新技術(shù)：網(wǎng)絡(luò)測量數(shù)據(jù)中分析拓撲五、社交網(wǎng)絡(luò)社交網(wǎng)絡(luò)社交網(wǎng)絡(luò)已經(jīng)構(gòu)成了一組巨大的網(wǎng)民信息“大數(shù)據(jù)”，這些數(shù)據(jù)是了解攻擊目標(biāo)的重要情報來源。通過社交網(wǎng)絡(luò)，可以挖掘出一個人的社會關(guān)系、朋友、敵人、工作、思維風(fēng)格、喜好、厭惡、銀行信息等，而這些信息對于網(wǎng)絡(luò)攻擊非常有幫助。社交網(wǎng)絡(luò)利用社交網(wǎng)絡(luò)進行情報搜集的方法可以分為關(guān)注“用戶”、關(guān)注“信息”和引導(dǎo)用戶參與三種。關(guān)注“用戶”。主要是利用社交媒體的交互性特點，利用社交網(wǎng)絡(luò)與想要關(guān)注的團體和個人建立聯(lián)系，從中套取相關(guān)攻擊目標(biāo)有關(guān)的信息。關(guān)注“信息”。從社交媒體上流動的海量信息中提取有用情報。針對社交媒體的海量信息，搜集提取需要的信息內(nèi)容，并運用先進的分析技術(shù)對海量信息進行處理。主動邀請和引導(dǎo)社交網(wǎng)用戶參與及建議。通過互動了解目標(biāo)的相關(guān)信息。用戶隱私收集無處不在的賬戶注冊無處不在的郵箱驗證與手機驗證移動互聯(lián)網(wǎng)無處不在的LBS收集用戶主動分享用戶主動分享攻擊獲取2015.10.30：全球最流行的免費Web托管公司000Webhost遭遇了一次大規(guī)模的數(shù)據(jù)泄露事件，1350萬用戶的個人數(shù)據(jù)泄露（用戶名、明文密碼、郵箱地址、IP地址、用戶真實的姓氏）攻擊獲取2015.5.1：匿名者攻擊WTO子域名，泄露近2000個員工信息。2015.5.19：匿名者用SQL注入攻擊意大利國防部網(wǎng)絡(luò)系統(tǒng)，泄露1700個賬戶信息跨域拓展攻擊由泄露數(shù)據(jù)庫，用戶已共享的昵稱等向門戶網(wǎng)站，各類論壇，主流郵商賬戶進行跨域拓展，以獲得“新隱私”跨域拓展攻擊跨域拓展攻擊拖庫：2011.12.21黑客在網(wǎng)上公開提供CSDN網(wǎng)站用戶數(shù)據(jù)庫下載后，包括人人網(wǎng)、貓撲、多玩等在內(nèi)的網(wǎng)站部分用戶數(shù)據(jù)庫也被傳到網(wǎng)上供用戶下載。超過5000萬個用戶帳號和密碼在網(wǎng)上流傳撞庫：2014年12月25日，12306網(wǎng)站用戶信息在互聯(lián)網(wǎng)上瘋傳；iCloud艷照門2015.10.19：“網(wǎng)易郵箱門”個人隱私保護很難木桶效應(yīng)：個人互聯(lián)網(wǎng)賬戶眾多，難以做到所有賬戶徹底安全六、Web站點查詢Web網(wǎng)站查詢Web站點通常會包含其組織機構(gòu)的詳盡信息，比如組織結(jié)構(gòu)、員工名單、日程安排等。有經(jīng)驗的攻擊者一般會仔細瀏覽目標(biāo)對象的Web站點，查找自己感興趣的信息。站點架構(gòu)。聯(lián)系方式。企業(yè)員工的電話號碼、郵箱地址、家庭住址等信息對于社會工程學(xué)非常有用。招聘信息。招聘信息往往會暴露公司需要哪方面的人才。比如需要招聘一名Oracle數(shù)據(jù)庫管理員，則說明公司內(nèi)部運行的數(shù)據(jù)庫肯定有Oracle數(shù)據(jù)庫。Web網(wǎng)站查詢Web站點通常會包含其組織機構(gòu)的詳盡信息，比如組織結(jié)構(gòu)、員工名單、日程安排等。有經(jīng)驗的攻擊者一般會仔細瀏覽目標(biāo)對象的Web站點，查找自己感興趣的信息。公司文化。大多數(shù)機構(gòu)的Web站點常常會披露機構(gòu)的組織結(jié)構(gòu)、會議安排、重要公告、工作日程、工作地點、產(chǎn)品資料等等，這些都可以用來進行社會工程學(xué)攻擊。商業(yè)伙伴?？梢粤私夤镜臉I(yè)務(wù)關(guān)系，對于公司的某些敏感信息很可能從其安全管理薄弱的合作伙伴那里取得。Web網(wǎng)站查詢Web站點通常會包含其組織機構(gòu)的詳盡信息，比如組織結(jié)構(gòu)、員工名單、日程安排等。有經(jīng)驗的攻擊者一般會仔細瀏覽目標(biāo)對象的Web站點，查找自己感興趣的信息。新聞信息。七、開源情報收集開源情報收集開源情報收集OSINTFramework(/)其它非技術(shù)偵察手段直接混進組織內(nèi)部：直接混入組織內(nèi)部，獲取與目標(biāo)公司相關(guān)的敏感信息或放置惡意軟件，或者竊走U盤、硬盤甚至是整臺存放敏感數(shù)據(jù)的計算機。垃圾搜尋：即在一個組織的垃圾桶里仔細搜尋、查找敏感信息。包括尋找包含敏感數(shù)據(jù)的廢紙、CD/DVD、軟盤/硬盤等。小結(jié)注冊機構(gòu)查詢注冊資料查詢社會工程學(xué)

DNS查詢垃圾收集

查詢目標(biāo)系統(tǒng)在Internet上的注冊機構(gòu)地址在注冊機構(gòu)的whois庫中查詢目標(biāo)系統(tǒng)的詳細注冊信息:聯(lián)系人、域名服務(wù)器、IP地址段等拓撲分析

……利用注冊資料中的電話號碼、郵件地址等一切可用信息利用注冊資料中的DNS服務(wù)器等信息利用注冊資料中的公司地址信息通用資料查詢Google、Baidu、Yahoo、搜狗內(nèi)容提要網(wǎng)絡(luò)偵察方法步驟1多用途偵察工具2網(wǎng)絡(luò)偵察防御3（一）客戶端偵察工具NetScanToolsPro：一款偵察、掃描集成工具，/nstmain.html。BackTrack:集成滲透測試工具，后來更新名為著名的Kali，，/（二）基于Web的偵察工具Internet上免費提供的基于Web的偵察工具：/注意：許多偵察和攻擊站點具有黑客背景，可能會監(jiān)視你的活動甚至對你發(fā)起攻擊，用戶應(yīng)該僅通過與單位相隔離的ISP來訪問，使用不帶敏感信息的客戶端。內(nèi)容提要網(wǎng)絡(luò)偵察方法步驟1多用途偵察工具2網(wǎng)絡(luò)偵察防御3(一)防御搜索引擎和基于Web的偵察對于自己的Web服務(wù)器，建立信息披露策略。不要在Web站點上放置敏感的客戶數(shù)據(jù)或其它信息組織必須有具體的措施要求如何使用新聞組和郵件列表：必須要求職工不得在新聞組和郵件列表這樣的公共渠道上發(fā)布系統(tǒng)配置、商業(yè)計劃和其它敏感話題信息；如果發(fā)現(xiàn)Google對一個不期望公開的URL或頁面進行了索引，可以要求Google把它們移出。(二)防御WHOIS檢索Whois數(shù)據(jù)庫能提供攻擊者如此有用的信息，那么給出錯誤或誤導(dǎo)的注冊信息會使你更加安全嗎？防御Whois檢索可行的方法是：保證注冊記錄中沒有額外的可供攻擊者使用的信息，例如管理員的帳戶名；要求不公開對員工進行培訓(xùn)，避免誤中社會工程學(xué)攻擊的詭計。(三)防御基于DNS的偵察確保沒有通過DNS服務(wù)器泄露額外的信息。比如將某臺Windows2003服務(wù)器命名為w2kdmzserver就泄露了計算機的操作系統(tǒng)類型；限制DNS區(qū)域傳送。可以對DNS服務(wù)器進行配置，制定允許發(fā)起區(qū)域傳送的具體的IP地址和網(wǎng)絡(luò)；使用分離DNS的技術(shù)（指在兩臺不同的服務(wù)器上分離DNS的功能，外部用戶和內(nèi)部用戶分別使用不同的DNS服務(wù)），減少可公開獲得的基礎(chǔ)設(shè)施的DNS信息。本章小結(jié)作業(yè)本PPT是機械工業(yè)出版社出版的教材《網(wǎng)絡(luò)攻防原理與技術(shù)（第3版）》配套教學(xué)PPT（部分內(nèi)容的深度和廣度比教材有所擴展），作者：吳禮發(fā)，洪征，李華波本PPT可能會直接或間接采用了網(wǎng)上資源或公開學(xué)術(shù)報告中的部分PPT頁面、圖片、文字，引用時我們力求在該PPT的備注欄或標(biāo)題欄中注明出處，如果有疏漏之處，敬請諒解。同時對被引用資源或報告的作者表示誠摯的謝意！本PPT可免費使用、修改，使用時請保留此頁。聲明第五章網(wǎng)絡(luò)掃描技術(shù)內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5網(wǎng)絡(luò)掃描技術(shù)什么是網(wǎng)絡(luò)掃描？使用網(wǎng)絡(luò)掃描軟件對特定目標(biāo)進行各種試探性通信，以獲取目標(biāo)信息的行為。網(wǎng)絡(luò)掃描的目的識別目標(biāo)主機的工作狀態(tài)（開/關(guān)機）識別目標(biāo)主機端口的狀態(tài)（監(jiān)聽/關(guān)閉）識別目標(biāo)主機的操作系統(tǒng)類型識別目標(biāo)系統(tǒng)可能存在的漏洞主機掃描端口掃描漏洞掃描操作系統(tǒng)識別內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5主機掃描向目標(biāo)主機發(fā)送探測數(shù)據(jù)包，根據(jù)是否收到響應(yīng)來判斷主機的工作狀態(tài)。ICMPICMPEchoICMPNon-EchoIP異常的IP數(shù)據(jù)報首部錯誤的分片（一）ICMP掃描ICMPInternet控制報文協(xié)議。ICMP的作用：提高IP報文交付成功的機會網(wǎng)關(guān)或者目標(biāo)機器利用ICMP與源通信。當(dāng)出現(xiàn)問題時，提供反饋信息用于報告錯誤。ICMP報文的結(jié)構(gòu)IP首部ICMP報文0IP數(shù)據(jù)部分檢驗和代碼（這4個字節(jié)取決于ICMP報文的類型）81631IP數(shù)據(jù)報ICMP的數(shù)據(jù)部分（長度取決于類型）類型ICMP報文種類ICMP報文種類類型的值ICMP報文的類型差錯報告報文3終點不可達4源站抑制11時間超過12參數(shù)問題5改變路由詢問報文8或0回送請求或回答13或14時間戳請求或回答17或18地址掩碼請求或回答10或9路由器詢問或通告ICMPEcho掃描(1/5)ICMP回送請求ICMP回送響應(yīng)黑客目標(biāo)主機結(jié)論：目標(biāo)主機在運行ICMPEcho掃描(2/5)ICMP回送請求未收到任何響應(yīng)黑客目標(biāo)主機結(jié)論：目標(biāo)主機未開機ICMPEcho掃描(3/5)示例D:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Replyfrom:bytes=32time<1msTTL=128Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=0ms,Average=0msICMPEcho掃描(4/5)示例D:\>ping0Pinging0with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor0:Packets:Sent=4,Received=0,Lost=4(100%loss),ICMPEcho掃描(5/5)BroadcastICMP掃描將ICMP請求包的目標(biāo)地址設(shè)為廣播地址或網(wǎng)絡(luò)地址，則可以探測廣播域或整個網(wǎng)絡(luò)范圍內(nèi)的主機。缺點：只適合于UNIX/Linux系統(tǒng)，Windows會忽略這種請求包；這種掃描方式容易引起廣播風(fēng)暴ICMPNon-Echo掃描利用其它類型的ICMP報文進行掃描ICMP報文種類類型的值ICMP報文的類型差錯報告報文3終點不可達4源站抑制11時間超過12參數(shù)問題5改變路由詢問報文8或0回送請求或回答13或14時間戳請求或回答17或18地址掩碼請求或回答10或9路由器詢問或通告ICMP掃描的問題很多企業(yè)防火墻對ICMP回送請求報文進行過濾，使其無法到達目標(biāo)主機。主機上安裝的個人防火墻往往也對ICMP報文進行阻斷。解決辦法：使用IP數(shù)據(jù)報進行掃描。(二）基于IP異常分組的掃描04816192431版本標(biāo)志生存時間協(xié)議標(biāo)識服務(wù)類型總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）比特首部長度固定部分(20字節(jié))可變部分01234567DTRC未用優(yōu)先級數(shù)據(jù)部分首部比特數(shù)據(jù)部分首部傳送IP數(shù)據(jù)報異常的IP數(shù)據(jù)報首部：參數(shù)錯主機在收到首部異常（HeaderLengthField、IPOptionsField

、VersionNumber）的IP數(shù)據(jù)報時應(yīng)當(dāng)返回“參數(shù)問題”的ICMP報文。首部異常的IP數(shù)據(jù)報“參數(shù)問題”ICMP報文黑客目標(biāo)主機結(jié)論：目標(biāo)主機在運行未收到任何響應(yīng)結(jié)論：目標(biāo)主機未開機異常的IP數(shù)據(jù)報首部：目標(biāo)不可達向目標(biāo)主機發(fā)送的IP包中填充錯誤的字段值，目標(biāo)主機或過濾設(shè)備會反饋ICMPDestinationUnreachable信息。IP數(shù)據(jù)報分片偏移=0/8=0偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的數(shù)據(jù)報數(shù)據(jù)報片1首部數(shù)據(jù)部分共3800字節(jié)首部1首部2首部3字節(jié)0數(shù)據(jù)報片2數(shù)據(jù)報片314002800字節(jié)0錯誤的IP數(shù)據(jù)報分片由于缺少分片而無法完成IP數(shù)據(jù)報重組（超時）時，主機應(yīng)當(dāng)回應(yīng)“分片重組超時”的ICMP報文。分片1和分片3“分片重組超時”ICMP報文黑客目標(biāo)主機結(jié)論：目標(biāo)主機在運行未收到任何響應(yīng)結(jié)論：目標(biāo)主機未開機超長包探測內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長度超過目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分段標(biāo)志,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文。（三）反向映射探測目標(biāo)主機無法從外部直接到達，采用反向映射技術(shù)，通過目標(biāo)系統(tǒng)的路由設(shè)備探測被過濾設(shè)備或防火墻保護的網(wǎng)絡(luò)和主機。想探測某個未知網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)時，可以推測可能的內(nèi)部IP地址（列表），并向這些地址發(fā)送數(shù)據(jù)包。目標(biāo)網(wǎng)絡(luò)的路由器收到這些數(shù)據(jù)包時，會進行IP識別并轉(zhuǎn)發(fā)，對不在其服務(wù)范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文。沒有收到錯誤報文的IP地址可認為在該網(wǎng)絡(luò)中。這種方法也會受過濾設(shè)備的影響。內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5端口掃描：概述什么是端口？為什么可以進行端口掃描？一個端口就是一個潛在的通信信道，也就是入侵通道！當(dāng)確定了目標(biāo)主機可達后，就可以使用端口掃描技術(shù)，發(fā)現(xiàn)目標(biāo)主機的開放端口，包括網(wǎng)絡(luò)協(xié)議和各種應(yīng)用監(jiān)聽的端口。向目標(biāo)端口發(fā)送探測數(shù)據(jù)包，根據(jù)收到的響應(yīng)來判斷端口的狀態(tài)。TCP掃描UDP掃描端口掃描：方法向目標(biāo)端口發(fā)送探測數(shù)據(jù)包，根據(jù)收到的響應(yīng)來判斷端口的狀態(tài)。TCP掃描FTP代理掃描UDP掃描一、TCP掃描TCP報文段的結(jié)構(gòu)目的端口數(shù)據(jù)偏移檢驗和選項（長度可變）源端口序號緊急指針窗口確認號保留FINTCP首部20

字節(jié)的固定首部SYNRSTPSHACKURG填充TCP數(shù)據(jù)部分TCP首部TCP報文段IP數(shù)據(jù)部分IP首部發(fā)送在前TCP連接請求報文及響應(yīng)TCP連接的建立過程SYN主機BSYN,ACKACK主機A目標(biāo)端口（一）TCPConnect掃描(1/2)嘗試同目標(biāo)端口建立正常的TCP連接(直接調(diào)用系統(tǒng)提供的connect(…)函數(shù))。連接建立成功結(jié)論：目標(biāo)端口開放連接建立失敗結(jié)論：目標(biāo)端口關(guān)閉TCPConnect掃描的特點(2/2)優(yōu)點穩(wěn)定可靠，不需要特殊的權(quán)限。缺點掃描方式不隱蔽，服務(wù)器會記錄下客戶機的連接行為。如何隱藏掃描行為？（二）SYN掃描(1/3)SYN主機BSYN,ACKRST主機A結(jié)論：端口開放目標(biāo)端口SYN掃描(2/3)SYN主機BRST主機A結(jié)論：端口關(guān)閉目標(biāo)端口SYN掃描的特點(3/3)優(yōu)點很少有系統(tǒng)會記錄這樣的行為。缺點需要管理員權(quán)限才可以構(gòu)造這樣的SYN數(shù)據(jù)包。（三）FIN掃描(1/3)FIN主機B主機A結(jié)論：端口開放未收到任何響應(yīng)目標(biāo)端口FIN掃描(2/3)FIN主機BRST主機A結(jié)論：端口關(guān)閉目標(biāo)端口FIN掃描的特點(3/3)優(yōu)點不是TCP建立連接的過程，比較隱蔽。缺點與SYN掃描類似，也需要構(gòu)造專門的數(shù)據(jù)包。只適用于Unix系統(tǒng)的目標(biāo)主機，Windows系統(tǒng)總是發(fā)送RST報文段。(四)Xmas掃描和Null掃描Xmas掃描和Null掃描是FIN掃描的兩個變種。Xmas掃描打開FIN、URG、ACK、PSH、RST、SYN標(biāo)記，既全部置1。Null掃描關(guān)閉所有標(biāo)記，既全部置0。掃描過程同F(xiàn)IN掃描一樣。二、FTP代理掃描FTPproxy掃描(1/4)FTP代理選項允許客戶端控制一個FTP服務(wù)器向另一個服務(wù)器傳輸數(shù)據(jù)。利用這一特點可以實現(xiàn)端口掃描的功能。FTPproxy掃描(2/4)建立FTP會話使用PORT命令指定一個端口P黑客FTP服務(wù)器目標(biāo)主機使用LIST命令啟動一個到P的數(shù)據(jù)傳輸傳輸成功結(jié)論：目標(biāo)端口開放無法打開數(shù)據(jù)連接結(jié)論：目標(biāo)端口關(guān)閉FTPproxy掃描的特點(3/4)優(yōu)點不但難以跟蹤，而且可以穿越防火墻。缺點一些FTP服務(wù)器禁止這種特性。示例(4/4)D:\ProgramFiles\Nmap>nmap-sSStartingNmap4.01(/nmap)at2006-04-2020:53中國標(biāo)準(zhǔn)時間Interestingportson:(The1666portsscannedbutnotshownbelowareinstate:closed)PORTSTATESERVICE21/tcpopenftp135/tcpopenmsrpc139/tcpopennetbios-ssn445/tcpopenmicrosoft-ds1025/tcpopenNFS-or-IIS5000/tcpopenUPnPMACAddress:52:54:AB:33:E7:71(Unknown)Nmapfinished:1IPaddress(1hostup)scannedin5.829seconds三、UDP掃描UDP掃描UDP沒有連接建立過程，該如何判斷一個UDP端口打開了呢？依據(jù)：掃描主機向目標(biāo)主機的UDP端口發(fā)送UDP數(shù)據(jù)包，如果目標(biāo)端口處于監(jiān)聽狀態(tài)，將不會做出任何響應(yīng)；而如果目標(biāo)端口處于關(guān)閉狀態(tài)，將會返回ICMP_PORT_UNREACH錯誤。UDP掃描從表面上看，目標(biāo)端口工作狀態(tài)不同對掃描數(shù)據(jù)包將做出不同響應(yīng)，區(qū)分度很好。但實際應(yīng)用中必須考慮到UDP數(shù)據(jù)包和ICMP錯誤消息在通信中都可能丟失，不能保證到達，這將使得判斷出現(xiàn)偏差。四、掃描策略掃描策略掃描過程中一般要連續(xù)向目標(biāo)發(fā)送大量的探測報文，有什么問題嗎？很容易被防火墻、入侵檢測系統(tǒng)發(fā)現(xiàn)。怎么辦？掃描策略隨機端口掃描（RandomPortScan）慢掃描（SlowScan）分片掃描（FragmentationScanning）將TCP連接控制報文分成多個短IP報文段傳送隱蔽性好，可穿越防火墻，躲避安全檢測缺點：可能被進行排隊過濾的防火墻丟棄；某些程序在處理這些小數(shù)據(jù)包時會出現(xiàn)異常。誘騙（Decoy）：偽造源地址，目標(biāo)主機分不清分布式協(xié)調(diào)掃描（CoordinatedScans）端口掃描小結(jié)四、掃描工具網(wǎng)絡(luò)掃描工具Nmap(命令行)/Zenmap(圖形化)Zmap：/zmap/zmap/releaseMasscan/robertdavidgraham/masscan掃描工具三種掃描工具各有利弊：Zmap和Masscan采用了無狀態(tài)的掃描技術(shù)，掃描速度非?？臁Ｔ谛畔⑹占某跫夒A段，可以使用Zmap或Masscan進行目標(biāo)的情勢了解，掃描單一端口的情況考慮使用Zmap，而多端口的情況下Masscan則更為快速。在做完初步了解之后，則應(yīng)該使用功能更加豐富的Nmap進行進一步的詳細掃描掃描軟件170內(nèi)容提綱主機掃描2端口掃描3操作系統(tǒng)識別4網(wǎng)絡(luò)掃描概述1漏洞掃描5操作系統(tǒng)識別根據(jù)使用的信息可分為三類：通過獲取旗標(biāo)信息，利用端口信息，通過TCP/IP協(xié)議棧指紋一、旗標(biāo)信息旗標(biāo)旗標(biāo)（banner）：客戶端向服務(wù)器端提出連接請求時服務(wù)器端所返回的歡迎信息旗標(biāo)旗標(biāo)（banner）：客戶端向服務(wù)器端提出連接請求時服務(wù)器端所返回的歡迎信息二、端口信息端口信息端口掃描的結(jié)果在操作系統(tǒng)檢測階段也可以加以利用。不同操作系統(tǒng)通常會有一些默認開放的服務(wù)，這些服務(wù)使用特定的端口進行網(wǎng)絡(luò)監(jiān)聽。例如，WindowsXP、Windows2003等系統(tǒng)默認開放了TCP135端口、TCP139端口以及TCP445端口，而Linux系統(tǒng)通常不會使用這些端口。端口工作狀態(tài)的差異能夠為操作系統(tǒng)檢測提供一定的依據(jù)三、TCP/IP協(xié)議棧指紋根據(jù)OS在TCP/IP協(xié)議棧實現(xiàn)上的不同特點，通過其對各種探測的響應(yīng)規(guī)律形成識別指紋，進而識別目標(biāo)主機運行的操作系統(tǒng)TCP/IP協(xié)議棧指紋(一）主動掃描(1/4)采用向目標(biāo)系統(tǒng)發(fā)送構(gòu)造的特殊包并監(jiān)控其應(yīng)答的方式來識別操作系統(tǒng)類型。主動掃描具有速度快、可靠性高等優(yōu)點，但同樣嚴重依賴于目標(biāo)系統(tǒng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)和過濾規(guī)則。(一）主動掃描(2/4)FIN探測：發(fā)送一個FIN包給一個打開的端口，一般的行為是不響應(yīng)，但某些實現(xiàn)例如MSWindows,BSDI,CISCO,HP/UX,MVS,和IRIX發(fā)回一個RESET。BOGUS標(biāo)記探測：設(shè)置一個未定義的TCP"標(biāo)記"（64或128）在SYN包的TCP頭里。Linux機器到2.0.35之前在回應(yīng)中保持這個標(biāo)記。TCPISN取樣：找出當(dāng)響應(yīng)一個連接請求時由TCP實現(xiàn)所選擇的初始化序列數(shù)式樣。這可分為許多組例如傳統(tǒng)的64K（許多老UNIX機器），隨機增量（新版本的Solaris，IRIX，F(xiàn)reeBSD，DigitalUNIX，Cray，等），真“隨機”（Linux2.0.*，OpenVMS,新的AIX,等），Windows機器（和一些其他的）用一個“時間相關(guān)”模型，每過一段時間ISN就被加上一個小的固定數(shù)。(一）主動掃描(3/4)不分段指示位：許多操作系統(tǒng)開始在送出的一些包中設(shè)置IP的"Don'tFragment"位。TCP初始化窗口值：檢查返回包的窗口大小。如queso和nmap保持對窗口的精確跟蹤因為它對于特定OS基本是常數(shù)。ACK值：不同實現(xiàn)中一些情況下ACK域的值是不同的。例如，如果你送了一個FIN|PSH|URG到一個關(guān)閉的TCP端口。大多數(shù)實現(xiàn)會設(shè)置ACK為你的初始序列數(shù)，而Windows會送給你序列數(shù)加1。ICMP錯誤信息終結(jié)：一些操作系統(tǒng)限制各種錯誤信息的發(fā)送率。例如，Linux內(nèi)核限制目的不可達消息的生成每4秒鐘最多80個。測試的一種辦法是發(fā)一串包到一些隨機的高UDP端口并計數(shù)收到的不可達消息。(一）主動掃描(4/4)ICMP消息引用：ICMP錯誤消息中可以引用一部分引起錯誤的源消息。對一個端口不可達消息，幾乎所有實現(xiàn)只送回IP請求頭外加8個字節(jié)。然而，Solaris送回的稍多，而Linux更多。SYN洪泛限度：如果收到過多的偽造SYN數(shù)據(jù)包，一些操作系統(tǒng)會停止新的連接嘗試。許多操作系統(tǒng)只能處理8個包。TCP選項TCP