网络侦察技术分析

网络侦察技术分析（一）

[本文原创，禁止任何形式的转载]

一名严谨的黑客在入侵之前会先进行网络侦察及分析，以判断可行性及应采取的入侵方法。我们今天就讲一下一名黑客是如何进行网络侦察的。

首先，我们介绍一下安全管理的规范。一名好的网络安全人员，应该从两个不同的角度来分析网络进行安全评估：1、从黑客角度进行思考，寻找现有的网络漏洞，对网络资源加以保护；2、从安全管理者的角度进行思考，寻找最佳途径既可保障安全又不影响商业运作效率。

从安全管理者角度考虑，安全管理者知道网络是如何配置的，更多从防火墙内部发起探测，关注内部网络的服务器和主机是否有异常情况，但黑客是不知道目标网络的配置情况，他们是从防火墙外部进行攻击/渗透的，所以一名合格的安全管理者还要从防火墙外部进行渗透看是否能穿透防火墙而控制网络主机。

如图：

从安全顾问角度考虑，首先要从不知情者的角度加以定位，然后以内部知情人的角度来评估网络安全

如图：

下面我们看一下不同基点的安全管理结构：

首先我们介绍一下基于网络的安全管理结构。

如图：

由图可知，基于网络的管理产品将软件安装在一台服务器上，由它来向网络提出查询，提出查询的要求，其中主机往往是管理者，扫描网络上所有可疑的活动。在这种结构下每台计算机被动的响应查询，优点是主机并不知道被监视，缺点是监视端口会对交换机的性能产生影响

我们再介绍一下基于主机级的安全管理结构。

如图：

由图可知，这是一种分层管理体系，一层是图形界面，二层是管理者，通过代理发出查询请求，从代理收集信息进行显示，三层是安装在每台主机上的代理。可安装SNMP辅助管理。

安全审计的三个阶段：

对于安全管理的几个概念我们介绍完了，我们看一下网络攻击的动机。随着木马/病毒及黑客技术的商业化，网络攻击行为越来越多的是为了名利目的。现在所存在的主要动机为：偷

取国家机密、商业竞争行为、内部员工对单位的不满、对企业核心机密的企望、网络接入帐号/信用卡号等金钱利益的诱惑、利用攻击网络站点而出名、对网络安全技术的挑战、对网络的好奇心。

攻击的一般步骤分为三步：预攻击、攻击和后攻击。

如图：

预攻击阶段的行为及目的：端口扫描、漏洞扫描、操作系统类型鉴别、网络拓扑分析

攻击阶段的主要攻击行为：缓冲区溢出攻击、操作系统漏洞、应用服务缺陷、脚本程序漏洞攻击、口令攻击、错误及弱配置攻击、网络欺骗与劫持攻击

后攻击阶段：安装后门木马、痕迹擦除

另外还有一些其它攻击种类如：拒绝服务攻击、嗅探攻击、恶意网页攻击、社会工程攻击等。

下面，我们就进入正题，看一下黑客是如何进行有效的信息收集的——信息收集技术也就是网络侦察技术。

1、Whois。Whois是一种internet的目录服务，它提供了在internet上的一台主机或某个域所有者的信息，比如管理员姓名、通信地址、电话号码、Email信息、Primary和Secondary 域名服务器信息。常用的Whois命令是[root@redhat-6 /root]# whois 。现在一些网站也提供了Whois功能，效果是一样的，以本站为例，查询结果如下：Domain Name:

Registrar: XIN NET TECHNOLOGY CORPORATION

Whois Server:

Referral URL:

Name Server:

Name Server:

Status: clientDeleteProhibited

Status: clientTransferProhibited

Status: clientUpdateProhibited

Updated Date: 25-sep-2007

Creation Date: 29-jul-2003

Expiration Date: 29-jul-2008

>>> Last update of whois database: Sun, 06 Jan 2008 17:13:44 UTC <<<

2、nslookup（我最喜欢的信息收集方法）。它是Windows操作系统自带的DNS排错工具，

使用此DNS服务器做域名解析到所有主机名和IP地址的映射情况，可测试正向区域及反向区域。（区域传送指的是在多个DNS服务器之间复制区域数据库文件的过程。）因为nslookup 命令不是死命令，而是一种固定模式+测试者习惯的命令，我们在此不做介绍。相关基础命令可在网上查询。

3、Host命令。它是一种UNIX提供的有关Internet域名查询的命令，可以实现区域传送、、获得名称解析信息、得知域中邮件服务器的信息等功能。常用的三个参数：

参数–v 显示更多信息

参数–l 实现区域传送

参数–t 查询特定的DNS记录

例：

[root@redhat-6 /root]# host -l -v

rcode = 0 (Success), ancount=2

Found 1 addresses for CQ.testCOM

Found 1 addresses for

Trying 61.128.193.25

3600 IN NS

3600 IN NS

3600 IN A 210.77.xxx.xxx

3600 IN A 210.77. xxx.xxx

3600 IN A 61.128. xxx.xxx

3600 IN A 210.77. xxx.xxx

3600 IN A 202.98.xxx.xxx

4、Traceroute命令。可用于路由跟踪，判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间等等。根据反馈数据可以推测出网络物理布局、判断出响应较慢的节点和数据包在路由过程中的跳数。Traceroute 或者使用极少被其它程序使用的高端UDP端口，或者使用PING数据包。我们以图示Traceroute 路由跟踪原理：

网络侦察技术分析

网络侦察技术分析（二）

[本文原创，禁止任何形式的转载]

扫描与侦察：

按照获得结果分类，分为存活性扫描、端口扫描及系统堆栈扫描。

按照攻击者角色分类，分为主动扫描和被动扫描。