02网络信息收集

主机开机且有防火墙 主机开机且无防火墙 主机未开机

向目标主机发送一个IP包，改变其协议项，如果返回 “Destination unreachable”，则主机没使用这个协 议；如果未返回任何信息则使用该协议了或使用了防 火墙。 当数据包分片且分片未全部收到，接收端会在超时后 发送组装超时ICMP数据包。

网络嗅探的目的

分析协议包 重组会话过程 自定义测试数据包 统计网络性能

窃听账户口令（邮箱、QQ、应用程序账户等）

使用加密协议可预防。

嗅探工具很多:
Sniffer pro, Winsniffer, Ethereal, X-sniffer等。
第二章 网络信息收集
2.2.1 信息收集概述 2.2.2 网络信息挖掘 2.2.3 网络嗅探技术 2.2.4 网络扫描技术 2.2.5 网络拓扑探测 2.2.6 系统类型探测


目标域名或网站地址 网络拓扑结构 网络管理员 公司人员名单、电话、Email……


搜索引擎为我们提供了在WEB检索信息的能力。能 否在WEB中找到所需要的信息，关键在于能否合理 地提取搜索的关键字。 Google Baidu Yahoo Google Hacking 搜索密码文件 搜索管理员后台URL 搜索CGI漏洞 搜索黑客留下的后门
入侵层次索引

攻击五部曲

攻击五部曲
网络踩点（嗅探） 网络扫描 网络入侵 网络后门
信息收集
网络隐身
2.2 网络信息收集

2.2.1 信息收集概述 2.2.2 网络信息挖掘 2.2.3 网络嗅探技术 2.2.4 网络扫描技术 2.2.5 网络拓扑探测 2.2.6 操作系统探测
B.可以利用的缺陷与漏洞

管理漏洞
目标系统信息的泄露
错误的配置信息 未采用必要的防护系统
弱口令

操作系统和软件系统的漏洞 未更新补丁
设计缺陷

协议漏洞
身份验证协议以及网络传输协议
C.信息收集步骤

找到初始信息（域名、公司概况、员工信息、管理员关心 的信息） 找到地址范围（降低搜索范围和暴露危险） 找到活动机器（找到服务器）
常用的ICMP报文
名称 ICMP Destination Unreachable（目标不可达） 3 类型
ICMP Source Quench （源抑制）
ICMP Redirection（重定向） ICMP Timestamp Request/Reply（时间戳）
4
5 13/14
ICMP Address Mask Request/Reply（子网掩码）
ICMP Echo Request/Reply（响应请求/应答）
17/18
8/0

Ping程序使用ICMP Echo Request/Reply报文

ICMP探测工具
UNIX：fping Windows：Rhino9的自由软件Pinger

Ping扫描的功能多数已集成到端口扫描工具中 目前大多数防火墙和路由器都自动屏蔽Ping服务。
网络安全攻击术
第二章 网络信息收集
内容预览

2.1网络攻击概述 2.2信息收集的方法
网络信息挖掘 网络嗅探技术 网络扫描技术 网络拓扑探测 系统类型探测
2.1网络攻击概述

网络攻击分类
被动攻击和主动攻击

被动攻击：搜集信息而不是主动访问，主要方式：信息搜集（嗅探， 监听）。 主动攻击：非授权访问信息，主要方式：扫描、截取、篡改、伪造。
构造不完整的分片，等待目的主机发来的错误信息。

C. 端口扫描

端口是入侵的通道。 原理

向目标主机的各个端口发送连接请求，根据返 回的响应判断是否开放。 属第四层攻击。


端口分为TCP端口与UDP端口，端口扫描可分类为:

TCP扫描 UDP扫描
（1）TCP端口扫描


最基本的TCP扫描就是使用TCP-connect，指定目标端口号，如果对 方主机能够连接，则说明该端口已打开。但这种方法容易被防火墙拦 截和记录。 下面的方法比较巧妙，不易被拦截和记录：
第二章 网络信息收集



2.2.1 信息收集概述 2.2.2 网络信息挖掘 2.2.3 网络嗅探技术 2.2.3 网络扫描技术 2.2.4 网络拓扑探测 2.2.5 系统类型探测
2.2.2 网络信息挖掘

从大量训练样本中获得数据之间的内在特征
GoogleHacking WhoIs服务

2.2.6 操作系统类型探测

识别目标操作系统的意义
识别操作系统类型的方法
针对专门的操作系统的漏洞
为社会工程法提供进一步的信息
A. 传统的操作系统探测方法


根据端口扫描结果分析 操作系统往往提供一些自身特有的功能，而这些功能又很可能打 开一些特定的端口 WINDOWS 9X：137、139 WINDOWS 2000/XP：135、139、445 135——Location Service 137——NetBIOS Name Service 139——NetBIOS File and Print Sharing UNIX：512-514、2049 根据应用程序BANNER（旗标） BANNER 服务程序接收到客户端的正常连接后所给出的欢迎信息。
SYN 扫描 向对方主机发送一个只有SYN标志位的TCP包，如果对方主机返回 SYN+ACK，则该端口打开且监听；如果返回RST，则对方主机未监 听该端口。 ACK扫描 向对方主机发送一个只有ACK标志位的TCP包，如果返回RST，则 对方主机存在。 FIN扫描 向对方主机发送一个FIN TCP包，如果对方主机无返回信息，则该端 口打开且监听；如果返回RST，则对方主机未监听该端口。 FIN+URG+PSH扫描 向对方主机发送一个只有FIN+URG+PSH标志位的TCP包，如果对方 主机打开当前端口，则应返回RST。
B. WhoIs服务
功能：查询已注册域名的拥有者信息
域名登记人信息 联系方式 域名注册时间和更新时间 权威DNS的IP地址

使用方法：
www.whois.net SamSpade等网络实用工具

第二章 网络信息收集
2.2.1 信息收集概述 2.2.2 网络信息挖掘 2.2.3 网络嗅探技术 2.2.4 网络扫描技术 2.2.5 网络拓扑探测 2.2.6 系统类型探测

按攻击对象分为：




针对操作系统的攻击 操作系统探测、暴力攻击、缓冲区溢出、操作系统漏洞攻击。 针对数据库的攻击 暴力攻击、缓冲区溢出。 针对网络的攻击 网络嗅探、ARP欺骗、拒绝服务、IP欺骗、邮件炸弹、网络钓鱼等。 综合攻击 网络扫描、木马攻击、代理跳板、防火墙攻击、后门技术。

攻击的一般特点
慢速扫描 随机地址扫描（IP隐藏） 分片扫描 分布式扫描

第二章 网络信息收集
2.2.1 信息收集概述 2.2.2 网络信息挖掘 2.2.3 网络扫描技术 2.2.4 网络嗅探技术 2.2.5 网络拓扑探测 2.2.6 系统类型探测

2.2.5 网络拓扑探测

TraceRoute

ICMP协议负责差错的报告与控制。比如目标 不可达，路由重定向等等
MAC帧头 IP包头 ICMP包头 数据
ICMP报文格式
0 类型 8 代码 16 校验和 31
其他字段（不同的类型可能不一样）
数据区……

类型域(type)用来指明该ICMP报文的类型 代码域(code)确定该包具体作用


2.2.4 IP扫描与端口扫描

扫描
主机扫描（ICMP扫描）
协议扫描（高级ICMP扫描）
端口扫描（TCP、UDP端口扫描）
漏洞扫描（根据主机扫描和端口扫描的结果进
行组合判断，漏洞库查询。）
A. 主机扫描

利用ICMP进行主机扫描 Ping
Ping使用ICMP协议进行工作

（2） UDP端口扫描
目前扫描UDP端口只有一种方法：
向目标UDP端口发送一些随机数据，如果端口关闭， 则收到ICMP端口不可达消息。
常用的端口扫描工具

UNIX下的端口扫描工具

Nmap

Windows下的端口扫描工具

XScan SuperScan

Nmap for NT
（3）反监测扫描技术
A. GoogleHacking

Web信息挖掘广义地定义为从WWW中发现和分析有用的信息, 是在已知数据样本的基础上，通过归纳学习、机器学习、统计分 析等方法得到数据对象间的内在特性，据此采用信息过滤技术在 网络中提取用户感兴趣的信息，获得更高层次的知识和规律。 利用搜索引擎找到公开的网页，然后：

攻击时间：夜间

客观原因，速度原因，保密原因 UNIX、 LINUX （资源占用低） 不关机且不常使用，配置高防御低的服务器。
入侵者使用的操作系统

攻击者感兴趣的主机

攻击的法律界定

仅发生在入侵行为完全完成且入侵者已在目标网络内。
扫描攻击 攻破防火墙 简单拒绝服务 本地用户非授权读访问 本地用户非授权写访问 获得远程非授权账号 远程用户非授权读访问 远程用户非授权写访问（完全攻克）
B.协议扫描（高级ICMP扫描）

原理：向目标主机发送构造的IP包，探测对方的返回信息。第三层攻 击。 向目标主机发送一个只有首部的IP包，目标主机将返回 “Destination unreachable”.


向目标主机一个IP包，但协议项是错误的。如果目标主机前有防 火墙，则可能被过滤，从而收不到“Destination unreachable”； 可以使用一个非常大的数字（当天未用过）作为协议项，则主机 将返回“Destination unreachable”，以此可以判断：
可探测一个数据报经过的网络途径。
连接到Internet的公司一般有两个外部路由器连接
到ISP或Internet（出口网关），大多数公司配有 防火墙，因此，通过TraceRoute探测的最后一跳 为目标主机，倒数第二跳为防火墙，倒数第三跳为 外部路由器。
第二章 信息收集
2.2.1 信息收集概述 2.2.2 网络信息挖掘 2.2.3 网络嗅探技术 2.2.4 网络扫描技术 2.2.5 网络拓扑探测 2.2.6 系统类型探测
2.2.1 信息收集概述

什么是信息收集？ 黑客为了更加有效地实施攻击而在攻击前或攻 击过程中对目标的所有探测活动。

收集哪些信息？ 哪些信息对攻击是有意义的、是攻击者 （当然也是网络防卫者）所关心的？

如何收集？
A. 收集哪些信息？
初始信息（域名、公司简况、网络拓扑结构等） 服务器IP地址 操作系统类型 开放的端口与服务 应用程序类型 防火墙、入侵检测等安全防范措施 存在的漏洞和缺陷
选择目标
下载
使用数据库 中的帐号口 令对登录
成功进入 管理页面

Google Hacking 的特点
快速

搜索引擎预先准备了大量处理好的信息以供检索 搜索引擎做了关联性、重要性等各种过滤处理措施 搜索、查询都是通过搜索引擎的数据库进行
准确

隐蔽

智能

搜索引擎自身的智能特性

2.2.3 网络嗅探技术

原理：

属于第二层攻击，被动攻击。 以太网的冲突域中，数据帧以广播形式传输，通常网卡有4种接收 方式：

广播方式：接收网络中的广播帧 组播方式：接收网络中的组播帧 直接方式：接收地址匹配成功的帧 混杂方式：接收任意帧

通常网卡默认配置是打开前三种接收模式，而嗅探时网卡被打开 混杂模式，接收所有流经的帧，并交付给嗅探程序进行分析。

找到开放端口和入口点（扫描目标主机）
识别操作系统 识别运行的服务（与端口对应） 绘出网络图（Visual Ping, Cheops）
D. 信息收集方法


技术手段 网络信息挖掘 网络嗅探技术 网络扫描技术 网络拓扑探测 系统类型探测 社会工程学方法 与ຫໍສະໝຸດ Baidu标系统相关人员交流、沟通，采用欺骗方法 获取信息。