內(nèi)容備注《網(wǎng)絡(luò)攻防原理與技術(shù)》課程教案講課題目：第四講網(wǎng)絡(luò)偵查技術(shù)目的要求：了解網(wǎng)絡(luò)偵察的主要內(nèi)容；掌握網(wǎng)絡(luò)偵查的常用方法；掌握網(wǎng)絡(luò)掃描的主要技術(shù)；了解網(wǎng)絡(luò)偵察的防御方法。重點(diǎn)難點(diǎn)：網(wǎng)絡(luò)偵查的常用方法；網(wǎng)絡(luò)掃描的主要技術(shù)。方法步驟：理論講授。器材保障：電腦、投影儀。主要教學(xué)內(nèi)容:一、網(wǎng)絡(luò)偵查概述根據(jù)MITREATT&CK模型，網(wǎng)絡(luò)偵察行為可分為10種。1）主動(dòng)掃描（ActiveScanning）主動(dòng)掃描是指通過網(wǎng)絡(luò)流量主動(dòng)探測目標(biāo)網(wǎng)絡(luò)基礎(chǔ)設(shè)施相關(guān)的信息，包括：掃描目標(biāo)IP地址塊（ScanningIPBlocks）中的所有IP地址來收集信息（如在線的主機(jī)、開放的網(wǎng)絡(luò)端口、系統(tǒng)指紋等），漏洞掃描（VulnerabilityScanning，發(fā)現(xiàn)目標(biāo)主機(jī)/設(shè)備上存在的已知安全漏洞），詞表掃描（WordlistScanning）。詞表掃描中的詞表內(nèi)容通常包括通用的、常用的名字、文件擴(kuò)展名或與特定軟件有關(guān)的詞匯（term）。2）收集目標(biāo)主機(jī)信息（GatherVictimHostInformation）主機(jī)信息主要涉及主機(jī)的管理和配置，包括：目標(biāo)硬件平臺（Hardware）信息、軟件（Software）信息、固件（Firmware）信息、客戶機(jī)配置（ClientConfiguration）信息。3）收集目標(biāo)身份信息（GatherVictimIdentityInformation）目標(biāo)身份信息包括個(gè)人信息（如姓名，Email地址，住址、電話等聯(lián)系信息等）以及敏感的身份認(rèn)證信息，如賬號憑證（credentials）。4）收集目標(biāo)網(wǎng)絡(luò)信息（GatherVictimNetworkInformation）網(wǎng)絡(luò)信息主要包括：域名信息（DomainProperties），如域名稱、域名注冊人及聯(lián)系人的電子郵件、電話、通信地址等聯(lián)系信息、名字服務(wù)器等；DNS信息，包括注冊的域名服務(wù)器及服務(wù)器中的域名記錄；網(wǎng)絡(luò)可信相關(guān)方信息（NetworkTrustDependencies）；網(wǎng)絡(luò)拓?fù)湫畔ⅲ═opology）；網(wǎng)絡(luò)安全應(yīng)用（NetworkSecurityAppliances）信息，如防火墻、內(nèi)容過濾設(shè)備、代理/堡壘主機(jī)等安全設(shè)備的部署信息。5）收集目標(biāo)組織信息（GatherVictimOrgInformation）目標(biāo)組織信息主要涉及分部/部門信息、商業(yè)運(yùn)行信息、關(guān)鍵雇員的角色及分工等，具體包括：物理位置（PhysicalLocations），通過物理位置可以推斷該組織的關(guān)鍵資源和信息技術(shù)基礎(chǔ)設(shè)施所在的地理位置、行政區(qū)域等信息；業(yè)務(wù)關(guān)系（BusinessRelationships），利用一個(gè)組織與其二級或第三方合作伙伴（如受管理的服務(wù)提供商、承包商等）之間的關(guān)系信息，一方面可以利用與組織網(wǎng)絡(luò)互聯(lián)的合作伙伴的網(wǎng)絡(luò)進(jìn)入組織的網(wǎng)絡(luò)，另一方面通過這些信息可以進(jìn)一步了解該組織的軟硬件資源的供應(yīng)鏈和運(yùn)輸路徑；業(yè)務(wù)活動(dòng)時(shí)間（IdentifyBusinessTempo），如每周的工作日以及每天的工作時(shí)間；人員角色信息（IdentifyRoles），如關(guān)鍵員工的角色（職務(wù)）以及這些角色能夠訪問的數(shù)據(jù)/資源權(quán)限等。6）信息釣魚（PhishingforInformation）信息釣魚是指向目標(biāo)發(fā)送釣魚消息，誘騙目標(biāo)泄露一些對后續(xù)攻擊有用的信息。與釣魚攻擊（Phishing）不同的是，信息釣魚的目的是從受害者那里收集數(shù)據(jù)，而不是執(zhí)行惡意代碼。7）搜索閉源資源（SearchClosedSources）攻擊方有時(shí)需要從一些閉源資源（ClosedSources）中搜索、收集與攻擊目標(biāo)有關(guān)的信息，例如：從威脅情報(bào)服務(wù)提供商（ThreatIntelVendors）購買數(shù)據(jù)；從可信的私有資源和數(shù)據(jù)庫提供商付費(fèi)訂購相關(guān)技術(shù)情報(bào)數(shù)據(jù)，當(dāng)然有時(shí)也會從不可信渠道（如暗網(wǎng)、網(wǎng)絡(luò)黑市）購買情報(bào)數(shù)據(jù)。8）搜索公開技術(shù)數(shù)據(jù)庫（SearchOpenTechnicalDatabases）互聯(lián)網(wǎng)上有大量公開（開源）的數(shù)據(jù)庫或數(shù)據(jù)查詢服務(wù)，從這些公開數(shù)據(jù)庫中可以搜索、整理出大量有價(jià)值的目標(biāo)相關(guān)信息，例如查詢DNS服務(wù)器、WHOIS數(shù)據(jù)庫、公共數(shù)字證書（DigitalCertificates）數(shù)據(jù)、CDN（ContentDeliveryNetwork）數(shù)據(jù)。此外，互聯(lián)網(wǎng)上還有很多發(fā)布互聯(lián)網(wǎng)掃描/調(diào)查結(jié)果的在線服務(wù)，通過它們可以查詢到很多與目標(biāo)有關(guān)的信息。9）搜索公開網(wǎng)站/域（SearchOpenWebsites/Domains）從公開可訪問的網(wǎng)站/域中搜索與目標(biāo)有關(guān)的信息，如求職網(wǎng)站、社交媒體（SocialMedia）、搜索引擎（SearchEngines，如百度、Google、ZoomEye、Shodan）、代碼庫（CodeRepositories，如GitHub、GitLab、SourceForge、BitBucket）。10）搜索攻擊目標(biāo)的網(wǎng)站（SearchVictim-OwnedWebsites）攻擊目標(biāo)自己的網(wǎng)站常常包含大量有價(jià)值的信息，例如公司的組織架構(gòu)（部門及名稱）、地理位置、關(guān)鍵員工信息（姓名、職務(wù)、聯(lián)系方式、權(quán)力等信息）、業(yè)務(wù)信息、合作伙伴信息等。這些信息對于實(shí)施網(wǎng)絡(luò)滲透、社會工程學(xué)攻擊具有重要意義。二、信息收集方法（一）搜索引擎信息收集對網(wǎng)絡(luò)偵察而言，要想提高搜索引擎在網(wǎng)絡(luò)偵察中的利用效率和查詢精度，攻擊者需要更加明確地向搜索引擎表達(dá)需要檢索的內(nèi)容。下面讓我們來看看百度檢索中幾個(gè)常用的命令和操作符。1.intitle:[檢索條件]用途：用于檢索標(biāo)題中含有特定文本（檢索條件）的頁面。如果在搜索框中輸入關(guān)鍵詞，只要是頁面中含有這個(gè)關(guān)鍵詞，這些頁面都會被搜索出來，而使用intitle命令，則僅返回標(biāo)題中有這個(gè)關(guān)鍵詞的網(wǎng)頁。2.site:[域]用途：返回與特定域相關(guān)的檢索結(jié)果。域的層次沒有限制，可以是具體的域，如，也可以是如.edu、.org等頂級域。3.filetype:[文件后綴]用途：檢索特定類型的文件，比如PPT,PPTX,DOC,DOCX,XLS,XLSX,PDF等。4.link:[Web頁面]用途：給出和指定Web頁面相鏈接的站點(diǎn)。通過這個(gè)命令可以快速查找與目標(biāo)站點(diǎn)有業(yè)務(wù)關(guān)系的網(wǎng)站。5.inurl:[關(guān)鍵詞]用途：限定在URL中搜索。通常情況下，任何網(wǎng)站的URL都不是隨意設(shè)置的，而是含有一定用意，并且URL鏈接和網(wǎng)頁內(nèi)容密切相關(guān)。可以利用這種相關(guān)性來縮小搜索范圍，快速準(zhǔn)確地找到所需信息。6.cache:[關(guān)鍵詞]用途：顯示來自Baidu快照的頁面內(nèi)容。用于查找最近被移出或當(dāng)前不可用的頁面。很多時(shí)候會把各種檢索命令和操作符組合起來，用于查找與特定目標(biāo)有關(guān)的有用信息。如果要在互聯(lián)網(wǎng)上搜索主機(jī)、服務(wù)器、攝像頭、打印機(jī)、路由器等設(shè)備，則需要使用專用的搜索引擎，典型代表有Shodan（撒旦，其名字取自風(fēng)靡一時(shí)的電腦游戲SystemShock中的邪惡主機(jī)，官網(wǎng)http://www.shodan.io），ZoomEye(鐘馗之眼，官網(wǎng))和FOFA（官網(wǎng)/）。Shodan搜索對象分為網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)系統(tǒng)、banner信息關(guān)鍵字等四類。網(wǎng)絡(luò)設(shè)備又分為網(wǎng)絡(luò)連接設(shè)備和網(wǎng)絡(luò)應(yīng)用設(shè)備。網(wǎng)絡(luò)連接設(shè)備是指將網(wǎng)絡(luò)各個(gè)部分連接成一個(gè)整體的設(shè)備，主要包括：Hub（集線器）、Modem（調(diào)制解調(diào)器）、Switch（交換機(jī)）、Router（路由器）、Gateway（網(wǎng)關(guān)）、Server（各種網(wǎng)絡(luò)服務(wù)器）。網(wǎng)絡(luò)應(yīng)用設(shè)備是指供助因特網(wǎng)提供的服務(wù)，實(shí)現(xiàn)了特定設(shè)計(jì)功能的設(shè)備，常見的有打印機(jī)（printer）、攝像頭（netcam）、智能電視（TV）以及工業(yè)生產(chǎn)領(lǐng)域大量使用的傳感器、控制單元等。網(wǎng)絡(luò)服務(wù)是指網(wǎng)絡(luò)提供的各種服務(wù)，如FTP、HTTP、Apache、IIS等。網(wǎng)絡(luò)系統(tǒng)既包括操作系統(tǒng)（如Windows，Linux，Solaris，AIX等），也包括工業(yè)生產(chǎn)領(lǐng)域廣泛使用的各類控制系統(tǒng)，如數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SupervisoryControlAndDataAcquisition,SCADA）、分散控制系統(tǒng)（DistributedControlSystem,DCS）\配電網(wǎng)管理系統(tǒng)（DistributionManagementSystem，DMS）等。Banner信息關(guān)鍵字類搜索對象是指用戶分析Shodan搜索返回的banner后，將其中的關(guān)鍵字作為搜索對象，如弱口令（defaultpassword）、匿名登錄（anonymouslogin）、管理員（admin）、HTTP報(bào)頭（如HTTP200OK）等。Shodan搜索的工作原理：Shodan服務(wù)器從所有已分配的IP地址中任選一個(gè)，然后嘗試通過不同端口與其建立IP連接。在此過程中，Shodan服務(wù)器記錄那些返回banner信息的目的主機(jī)，并將返回的banner信息寫入數(shù)據(jù)庫。Banner信息是指服務(wù)器在向客戶機(jī)提供服務(wù)前，告知客戶機(jī)關(guān)于本機(jī)提供相關(guān)網(wǎng)絡(luò)服務(wù)的系統(tǒng)及軟件信息，以便客戶機(jī)更好地與服務(wù)器建立會話。WHOIS查詢在互聯(lián)網(wǎng)上建立網(wǎng)站服務(wù)器、電子郵件服務(wù)器或其他服務(wù)時(shí)，需要向相關(guān)機(jī)構(gòu)注冊域名以方便用戶訪問。相關(guān)的注冊資料，比如域名、個(gè)人聯(lián)系方式、IP地址、機(jī)構(gòu)地址等會被保存到若干個(gè)WHOIS數(shù)據(jù)庫和DNS數(shù)據(jù)庫中，這些數(shù)據(jù)庫由注冊機(jī)構(gòu)和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施組織所維護(hù)。攻擊者可以通過查詢WHOIS數(shù)據(jù)庫獲取目標(biāo)站點(diǎn)的注冊信息，然后利用這些信息進(jìn)行后續(xù)攻擊。早期可以從域名注冊機(jī)構(gòu)的WHOIS數(shù)據(jù)庫中查詢該域名的上述很多信息，如管理人和技術(shù)人員聯(lián)系信息（郵箱、電話、地址等）。出于安全和隱私保護(hù)的原因，現(xiàn)在絕大多數(shù)WHOIS數(shù)據(jù)庫，不再向非授權(quán)用戶提供域名的詳細(xì)信息，并且很多時(shí)候需要在其網(wǎng)站上注冊才能進(jìn)行查詢。另外，還可以查詢某個(gè)域名所對應(yīng)的IP地址分配情況，也可以對某個(gè)IP地址進(jìn)行查詢以獲得擁有該IP地址的機(jī)構(gòu)信息。獲取IP地址或地址段是進(jìn)行精確網(wǎng)絡(luò)掃描的基礎(chǔ)。除了通過各WHOIS數(shù)據(jù)庫維護(hù)方的網(wǎng)站上查詢域名信息外，還可以通過各種工具查詢WHOIS數(shù)據(jù)庫。Windows和Linux操作系統(tǒng)中均有相關(guān)的WHOIS查詢命令。例如，WHOISCL是Windows下的命令行版本的WHOIS數(shù)據(jù)庫查詢工具；Linux下也可以安裝WHOIS工具。這些工具一般都支持用戶添加WHOIS服務(wù)器，以支持更多的域名后綴的查詢。DNS信息查詢DNS是一個(gè)分布式數(shù)據(jù)庫系統(tǒng)，以層次結(jié)構(gòu)來存儲IP地址、域名和郵件服務(wù)器等信息。根據(jù)DNS的層次結(jié)構(gòu)，DNS命名空間也被分割成多個(gè)區(qū)域，各個(gè)區(qū)分別保存一個(gè)或多個(gè)DNS域的名稱信息。域名服務(wù)器中的資源記錄（ResourceRecord,RR）包含和域名相關(guān)的各項(xiàng)數(shù)據(jù)。資源記錄包含很多種類，但常用的是Internet類（IN類），這種類包含多種不同的數(shù)據(jù)類型，如A類表示“由域名獲得IPv4地址記錄”，AAAA類表示“由域名獲得IPv6地址記錄”，MX類表示“域內(nèi)郵件服務(wù)器地址記錄”，NS類表示“域內(nèi)權(quán)威域名服務(wù)器地址記錄”。通常域名查詢解析操作由多個(gè)DNS服務(wù)器提供，從而提供高可用性和容錯(cuò)性。大多數(shù)DNS系統(tǒng)的運(yùn)行至少需要兩臺DNS服務(wù)器：一臺主服務(wù)器和一臺用來容錯(cuò)的輔助服務(wù)器。DNS服務(wù)器之間通過復(fù)制數(shù)據(jù)庫文件來進(jìn)行同步，這一過程稱為“區(qū)域傳送（ZoneTransfer）”。對于支持區(qū)域傳送的目標(biāo)DNS設(shè)施，攻擊者可以利用這個(gè)操作獲取目標(biāo)DNS上的有用信息，域內(nèi)所有主機(jī)域名及其對應(yīng)的IP地址。使用區(qū)域傳送查詢DNS信息最常用的工具是nslookup，Windows系統(tǒng)和大多數(shù)Linux系統(tǒng)都支持這個(gè)命令。執(zhí)行區(qū)域傳送，必須使用“server[dns_server]”指定目標(biāo)的主DNS服務(wù)器或輔助DNS服務(wù)器，然后使用“settype=ANY”命令為查詢指定某種類型的記錄，最后通過“l(fā)s–d[domain]”來請求目標(biāo)域的DNS信息并將結(jié)果在屏幕上顯示出來。需要說明的是，目前很多域名服務(wù)器已經(jīng)對DNS區(qū)域傳送進(jìn)行了防御（禁止或限制請求來源）。網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)查明目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)有利于找到目標(biāo)網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)（例如路由器），從而提高攻擊效率，達(dá)到最大攻擊效果。我們一般通過Traceroute工具來跟蹤TCP/IP數(shù)據(jù)包從出發(fā)點(diǎn)到目的地所經(jīng)過路徑來構(gòu)建目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。Traceroute是一種網(wǎng)絡(luò)故障診斷和獲取網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的工具，通過發(fā)送小的數(shù)據(jù)包到目的設(shè)備直到接收到返回信息，來測量耗時(shí)，并返回設(shè)備的名稱和地址；通過向目的地發(fā)送不同生存時(shí)間（TTL）的ICMP報(bào)文來確定到達(dá)目的地的路由。針對目標(biāo)網(wǎng)絡(luò)中的若干IP地址或域名（這些目標(biāo)可以來自之前的WHOIS查詢和DNS查詢結(jié)果）進(jìn)行路由查詢，即可以分析出目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。目前有不少圖形化的分析工具用來輔助分析路由查詢結(jié)果并構(gòu)建拓?fù)浣Y(jié)構(gòu)，例如VisualRoute（/）等。利用社交網(wǎng)絡(luò)獲取信息社交網(wǎng)絡(luò)已經(jīng)構(gòu)成了一組巨大的網(wǎng)民信息“大數(shù)據(jù)”，這些數(shù)據(jù)是了解攻擊目標(biāo)的重要情報(bào)來源。社交網(wǎng)絡(luò)被認(rèn)為擁有獲取情報(bào)的天然優(yōu)勢。通過社交網(wǎng)絡(luò)，可以挖掘出一個(gè)人的社會關(guān)系、朋友、敵人、工作、思維風(fēng)格、喜好、厭惡、銀行信息等，而這些信息對于網(wǎng)絡(luò)攻擊非常有幫助。利用社交網(wǎng)絡(luò)進(jìn)行情報(bào)搜集的方法可分為關(guān)注“用戶”、關(guān)注“信息”和引導(dǎo)用戶參與三種。1）關(guān)注“用戶”。主要是利用社交網(wǎng)絡(luò)的交互性特點(diǎn)，利用社交網(wǎng)絡(luò)與想要關(guān)注的團(tuán)體和個(gè)人建立聯(lián)系，從中套取攻擊目標(biāo)有關(guān)的信息。2）關(guān)注“信息”。從社交網(wǎng)絡(luò)上流動(dòng)的海量信息中提取有用情報(bào)。針對社交網(wǎng)絡(luò)的海量信息，搜集提取需要的信息內(nèi)容，并運(yùn)用先進(jìn)的分析技術(shù)，特別是人工智能算法，對海量信息進(jìn)行處理。3）主動(dòng)邀請和引導(dǎo)社交網(wǎng)用戶參與及建議。通過互動(dòng)了解目標(biāo)的相關(guān)信息，例如進(jìn)行網(wǎng)絡(luò)調(diào)查問卷等。利用Web網(wǎng)站獲取信息Web站點(diǎn)通常會包含其組織機(jī)構(gòu)的詳盡信息，例如組織結(jié)構(gòu)、員工名單、日程安排等。有經(jīng)驗(yàn)的攻擊者一般會仔細(xì)瀏覽目標(biāo)對象的Web站點(diǎn)，查找自己感興趣的信息。Web站點(diǎn)上可能被攻擊者利用來攻擊的比較有代表性的信息有：1）站點(diǎn)架構(gòu)。一些站點(diǎn)會對其系統(tǒng)架構(gòu)進(jìn)行描述，這類信息往往能夠給攻擊帶來便利。2）聯(lián)系方式。企業(yè)員工的電話號碼、郵箱地址、家庭住址等信息對于社會工程學(xué)非常有用。3）招聘信息。招聘信息往往會暴露公司需要哪方面的人才。4）公司文化。大多數(shù)機(jī)構(gòu)的Web站點(diǎn)常常會披露機(jī)構(gòu)的組織結(jié)構(gòu)、會議安排、重要公告、工作日程、工作地點(diǎn)、產(chǎn)品資料等等，這些都可以用來進(jìn)行社會工程學(xué)攻擊。5）商業(yè)伙伴。可以了解公司的業(yè)務(wù)關(guān)系，對于公司的某些敏感信息很可能從其安全管理薄弱的合作伙伴那里取得。開源情報(bào)收集公開資源情報(bào)計(jì)劃（OpenSourceIntelligence,OSINT）是美國中央情報(bào)局（CIA）最早啟用的一種情報(bào)搜集手段，后泛指從各種公開的信息資源（如，報(bào)紙、電臺、電視等新聞媒體，研究機(jī)構(gòu)發(fā)布的研究報(bào)告，專家評論，論文，公開數(shù)據(jù)集，網(wǎng)站等）中尋找和獲取有價(jià)值的情報(bào)，簡稱為“開源情報(bào)收集”。在網(wǎng)絡(luò)攻防領(lǐng)域，開源情報(bào)收集是一種重要的網(wǎng)絡(luò)偵察手段，對于掌握攻擊目標(biāo)信息，有針對性地制定作戰(zhàn)方案具有重要意義。開源情報(bào)涉及大量的情報(bào)類型和收集工具，JustinNordine建立的開源情報(bào)收集框架（OSINTframework）包含了大量的開源情報(bào)及其收集工具鏈接，框架官網(wǎng)地址/。網(wǎng)絡(luò)掃描（一）基本概念網(wǎng)絡(luò)掃描技術(shù)，簡單來說，就是對特定目標(biāo)進(jìn)行各種試探性通信，以獲取目標(biāo)信息的行為。網(wǎng)絡(luò)掃描的方法和手段種類多樣，攻擊者通過網(wǎng)絡(luò)掃描主要可以達(dá)成以下幾種目的。（1）判斷目標(biāo)主機(jī)的工作狀態(tài)，即判斷目標(biāo)主機(jī)是否聯(lián)網(wǎng)并處于開機(jī)狀態(tài)。（2）判斷目標(biāo)主機(jī)的端口工作狀態(tài)，即端口處于監(jiān)聽還是處于關(guān)閉的狀態(tài)。（3）判斷目標(biāo)主機(jī)的操作系統(tǒng)類型。通過遠(yuǎn)程掃描可以大致判斷目標(biāo)主機(jī)運(yùn)行的是Windows操作系統(tǒng)、Linux操作系統(tǒng)，還是Solaris、IBMAIX等其他類型的操作系統(tǒng)。攻擊者攻擊時(shí)所采用的方法與目標(biāo)主機(jī)的操作系統(tǒng)緊密聯(lián)系。（4）判斷目標(biāo)主機(jī)可能存在的安全漏洞。向目標(biāo)主機(jī)發(fā)送精心設(shè)計(jì)的探測數(shù)據(jù)包，根據(jù)目標(biāo)主機(jī)的響應(yīng)，能夠判斷出目標(biāo)主機(jī)存在的安全漏洞。主機(jī)發(fā)現(xiàn)、端口掃描、操作系統(tǒng)識別和漏洞掃描是網(wǎng)絡(luò)掃描的四種主要類型。（二）主機(jī)發(fā)現(xiàn)根據(jù)所采用的網(wǎng)絡(luò)協(xié)議不同，主機(jī)發(fā)現(xiàn)技術(shù)可以劃分為兩類，一類是基于ICMP協(xié)議的主機(jī)發(fā)現(xiàn)，另一類是基于IP協(xié)議的主機(jī)發(fā)現(xiàn)。利用ICMP協(xié)議進(jìn)行主機(jī)發(fā)現(xiàn)的最簡單方法是使用ping命令。ping命令在網(wǎng)絡(luò)中廣泛使用，可以說是使用最頻繁的網(wǎng)絡(luò)命令。ping命令的作用是檢查一臺主機(jī)網(wǎng)絡(luò)連接情況，其實(shí)質(zhì)上是發(fā)送ICMP回送請求，根據(jù)是否收到對方主機(jī)的回答來判斷對方是否是一臺處于工作中的聯(lián)網(wǎng)主機(jī)。除了回送請求之外，ICMP其他類型的查詢報(bào)文也可以用于主機(jī)發(fā)現(xiàn)。例如，向某個(gè)IP地址發(fā)送地址掩碼請求，并收到了回答，那么可以斷定該IP地址對應(yīng)于網(wǎng)絡(luò)中的一臺存活主機(jī)。向目標(biāo)IP地址發(fā)送以ping命令為代表的ICMP查詢報(bào)文是進(jìn)行主機(jī)發(fā)現(xiàn)的一種簡單易行的方法，但是這種方法存在一個(gè)嚴(yán)重缺陷。如果發(fā)送請求后沒有接收到回答，不能簡單地推斷沒有與該IP地址對應(yīng)的存活主機(jī)。原因在于大部分防火墻會對ICMP查詢報(bào)文進(jìn)行過濾，查詢報(bào)文無法到達(dá)目標(biāo)主機(jī)。因此，沒有接收到與ICMP查詢報(bào)文對應(yīng)的回答，無法確定是防火墻對ICMP查詢報(bào)文進(jìn)行了過濾，還是網(wǎng)絡(luò)中沒有與IP地址對應(yīng)的存活主機(jī)。基于IP協(xié)議進(jìn)行主機(jī)發(fā)現(xiàn)往往可以避免防火墻的影響，此類主機(jī)發(fā)現(xiàn)技術(shù)將向目標(biāo)IP地址發(fā)送精心設(shè)計(jì)的IP數(shù)據(jù)包，誘使與目標(biāo)IP地址對應(yīng)的存活主機(jī)反饋ICMP差錯(cuò)報(bào)告報(bào)文，暴露自己的存活狀態(tài)。在這類主機(jī)發(fā)現(xiàn)技術(shù)中，一種較為常用的方法是發(fā)送首部異常的IP數(shù)據(jù)包。TCP/IP體系結(jié)構(gòu)中，IP數(shù)據(jù)包的頭首部包括了版本、首部長度、服務(wù)類型、總長度、協(xié)議、首部校驗(yàn)和等多個(gè)字段，大部分字段的格式和內(nèi)容都有嚴(yán)格要求。如果將一些值隨意填入數(shù)據(jù)包的頭首部，則接收數(shù)據(jù)包的主機(jī)在對數(shù)據(jù)包進(jìn)行檢查時(shí)往往會報(bào)錯(cuò)，將會向IP數(shù)據(jù)包的源主機(jī)返回“參數(shù)有問題”的ICMP差錯(cuò)報(bào)告報(bào)文。（三）端口掃描攻擊者在主機(jī)發(fā)現(xiàn)的基礎(chǔ)上，可以進(jìn)一步獲取主機(jī)信息以便進(jìn)行網(wǎng)絡(luò)攻擊。對于網(wǎng)絡(luò)主機(jī)而言，每一個(gè)處于監(jiān)聽狀態(tài)的端口都與網(wǎng)絡(luò)服務(wù)緊密聯(lián)系，都是潛在的入侵通道。端口掃描技術(shù)能夠使攻擊者掌握主機(jī)上所有端口的工作狀態(tài)，進(jìn)而推斷主機(jī)上開放了哪些網(wǎng)絡(luò)服務(wù)，為更為高效精準(zhǔn)的進(jìn)行網(wǎng)絡(luò)攻擊奠定基礎(chǔ)。端口掃描的基本原理是向目標(biāo)主機(jī)的所有或者需要掃描的特定端口發(fā)送特殊的數(shù)據(jù)包，若該端口對應(yīng)的網(wǎng)絡(luò)服務(wù)對外提供該服務(wù)就會返回信息，掃描器通過分析其返回的信息以此判斷目標(biāo)主機(jī)端口的服務(wù)狀態(tài)，發(fā)現(xiàn)特定主機(jī)提供了哪些服務(wù)，進(jìn)而利用服務(wù)的漏洞對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。目前，根據(jù)使用的協(xié)議，主要有二類端口掃描技術(shù)：TCP掃描、UDP掃描（早期還有FTP代理掃描，現(xiàn)已很少使用）。為了應(yīng)對復(fù)雜的網(wǎng)絡(luò)情況，特別是目標(biāo)網(wǎng)絡(luò)中的安全防護(hù)系統(tǒng)，如防火墻、入侵檢測系統(tǒng)，大多數(shù)網(wǎng)絡(luò)掃描工具均支持多種掃描技術(shù)進(jìn)行掃描。TCP協(xié)議由于具有面向連接、通信傳輸可靠的優(yōu)點(diǎn)，HTTP服務(wù)、FTP服務(wù)、SMTP服務(wù)等很多重要的網(wǎng)絡(luò)服務(wù)都是以其作為通信基礎(chǔ)。對于TCP端口的掃描，最直接有效的方法是利用TCP連接的建立過程。主機(jī)上的一個(gè)TCP端口，如果能夠通過三次握手與其建立TCP連接，那么可以斷定該端口處于監(jiān)聽狀態(tài)，或者說是開放的。對于目的主機(jī)上的待掃描TCP端口，TCP全連接掃描技術(shù)嘗試通過與端口建立完整的TCP連接，根據(jù)連接建立的成敗推斷端口的工作狀態(tài)。各種類型的網(wǎng)絡(luò)編程語言都能夠?qū)崿F(xiàn)TCP三次握手，實(shí)現(xiàn)的方法通常是使用操作系統(tǒng)提供的connect函數(shù)。在掃描主機(jī)上指定目的主機(jī)和目的端口，調(diào)用connect函數(shù)與相應(yīng)端口進(jìn)行TCP三次握手，如果相應(yīng)端口處于監(jiān)聽狀態(tài)，則connect函數(shù)將成功，返回?cái)?shù)值0。如果相應(yīng)的端口處于關(guān)閉狀態(tài)，connect函數(shù)將失敗，函數(shù)將返回SOCKET_ERROR信息。使用connect函數(shù)進(jìn)行掃描具有穩(wěn)定可靠，對于端口狀態(tài)的判定結(jié)果準(zhǔn)確等優(yōu)點(diǎn)。此外，這種掃描技術(shù)還有一個(gè)突出優(yōu)點(diǎn)，即connect函數(shù)對于調(diào)用者沒有任何權(quán)限要求。因?yàn)閏onnect函數(shù)的功能是建立正常的TCP連接，系統(tǒng)中的任何用戶都可以使用這個(gè)調(diào)用。TCP全連接掃描技術(shù)的主要缺點(diǎn)是掃描行為明顯，容易被發(fā)現(xiàn)。一方面，失敗的TCP連接請求以及相應(yīng)產(chǎn)生的錯(cuò)誤信息常常會被記錄在目標(biāo)主機(jī)的日志中，如果在短時(shí)間內(nèi)針對主機(jī)的大量端口進(jìn)行掃描，往往會產(chǎn)生大量的錯(cuò)誤信息導(dǎo)致掃描行為暴露。另一方面，目標(biāo)主機(jī)通常會記錄下成功的TCP連接，如果攻擊者利用掃描確定的開放端口進(jìn)行攻擊，在攻擊成功后很容易被追溯。TCPSYN掃描與TCP全連接掃描相似，也是以TCP三次握手過程為基礎(chǔ)，兩者的主要區(qū)別在于TCPSYN掃描刻意不建立完整的TCP連接，以避免掃描行為的暴露。對TCP三次握手過程進(jìn)行分析，可以看出在三次握手的第二階段，即客戶端接收到服務(wù)器端響應(yīng)時(shí)已經(jīng)能夠確定端口的工作狀態(tài)，無須完成三次握手的最后一步。TCPSYN掃描就是依據(jù)此思想進(jìn)行，這種掃描技術(shù)也常常被稱為“半開放”掃描。TCPFIN掃描技術(shù)不依賴于TCP的三次握手過程，它主要利用TCP報(bào)文段首部結(jié)構(gòu)中的FIN標(biāo)志位。按照RFC793的規(guī)定，主機(jī)端口接收到FIN標(biāo)志位設(shè)置為1的報(bào)文時(shí)，如果端口處于關(guān)閉狀態(tài)，應(yīng)當(dāng)回復(fù)RST標(biāo)志位設(shè)置為1的報(bào)文，復(fù)位連接；如果端口處于監(jiān)聽狀態(tài)則忽略報(bào)文，不進(jìn)行任何回應(yīng)。UDP協(xié)議是無連接的協(xié)議，在數(shù)據(jù)傳輸前沒有連接建立的過程。使用UDP協(xié)議進(jìn)行數(shù)據(jù)傳輸并不能保證數(shù)據(jù)安全、可靠的到達(dá)目的主機(jī)。但由于UDP協(xié)議具有良好的靈活性，因而很多網(wǎng)絡(luò)服務(wù)，如DNS和SNMP，都使用UDP協(xié)議進(jìn)行數(shù)據(jù)通信。由于UDP協(xié)議很簡單，在通信過程中沒有復(fù)雜的交互過程，這使得判斷主機(jī)UDP端口的工作情況較為困難。目前對于UDP端口工作狀態(tài)的判斷，主要是基于這樣一種通信特性：掃描主機(jī)向目標(biāo)主機(jī)的UDP端口發(fā)送UDP數(shù)據(jù)包，如果目標(biāo)端口處于監(jiān)聽狀態(tài)，將不會做出任何響應(yīng)；而如果目標(biāo)端口處于關(guān)閉狀態(tài)，將會返回ICMP_PORT_UNREACH錯(cuò)誤。從表面上看，目標(biāo)端口工作狀態(tài)不同對掃描數(shù)據(jù)包將做出不同響應(yīng)，區(qū)分度很好。但實(shí)際應(yīng)用中必須考慮到UDP數(shù)據(jù)包和ICMP錯(cuò)誤消息在通信中都可能丟失，不能保證到達(dá)，這將使得判斷出現(xiàn)偏差。操作系統(tǒng)識別主機(jī)使用的操作系統(tǒng)不同，可能存在的漏洞也大相徑庭。例如，Window操作系統(tǒng)和UNIX操作系統(tǒng)漏洞信息完全不同，即使同屬Windows家族的WindowsXP系統(tǒng)和Windows2007系統(tǒng)所存在的安全漏洞也有很大差異，攻擊者在攻擊時(shí)必須相應(yīng)采取不同的攻擊措施。操作系統(tǒng)識別旨在確定目標(biāo)主機(jī)所運(yùn)行的操作系統(tǒng)，便于攻擊者采取最有效的攻擊方法和手段。操作系統(tǒng)識別的方法根據(jù)使用的信息可以劃分為三類：通過旗標(biāo)信息識別，通過端口信息識別，通過TCP/IP協(xié)議棧指紋識別。為了提高識別的準(zhǔn)確率，實(shí)際的網(wǎng)絡(luò)掃描工具軟件，如Nmap，均是通過綜合運(yùn)用多種掃描方法進(jìn)行遠(yuǎn)程探測，根據(jù)返回的結(jié)果綜合分析給出最有可能的識別結(jié)果，一般用百分比表示，如識別準(zhǔn)確率98％。旗標(biāo)（banner）指的是客戶端向服務(wù)器端提出連接請求時(shí)服務(wù)器端所返回的歡迎信息，像FTP、SMTP、Telnet等提供網(wǎng)絡(luò)服務(wù)的程序通常都有旗標(biāo)信息。服務(wù)程序的旗標(biāo)雖然不會直接通告主機(jī)運(yùn)行的操作系統(tǒng)，但可以通過旗標(biāo)反映出的服務(wù)程序信息進(jìn)行操作系統(tǒng)的判斷。端口掃描的結(jié)果在操作系統(tǒng)檢測階段也可以加以利用。不同操作系統(tǒng)通常會有一些默認(rèn)開放的服務(wù)，這些服務(wù)使用特定的端口進(jìn)行網(wǎng)絡(luò)監(jiān)聽。例如，WindowsXP、Windows2003等系統(tǒng)默認(rèn)開放了TCP135端口、TCP139端口以及TCP445端口，而Linux系統(tǒng)通常不會使用這些端口。端口工作狀態(tài)的差異能夠?yàn)椴僮飨到y(tǒng)檢測提供一定的依據(jù)。對TCP/IP協(xié)議棧指紋進(jìn)行分析是最為精確的一種檢測操作系統(tǒng)的方法。所有操作系統(tǒng)在實(shí)現(xiàn)TCP/IP協(xié)議棧時(shí)都是以RFC文檔為參考依據(jù)，但由于很多邊界情況在RFC中沒有明確定義，不同操作系統(tǒng)在具體實(shí)現(xiàn)時(shí)存在細(xì)節(jié)差異。可以利用系統(tǒng)實(shí)現(xiàn)上的差異，向目標(biāo)主機(jī)發(fā)送精心設(shè)計(jì)的探測數(shù)據(jù)包，根據(jù)得到的響應(yīng)，來推斷目標(biāo)主機(jī)的操作系統(tǒng)。漏洞掃描漏洞掃描是端口掃描和操作系統(tǒng)識別的后續(xù)工作，對于計(jì)算機(jī)管理員和攻擊者而言都有重要意義。計(jì)算機(jī)管理員希望能夠通過漏洞掃描及時(shí)發(fā)現(xiàn)計(jì)算機(jī)的安全漏洞從而有針對性地進(jìn)行安全加固。攻擊者則希望利用掃描找到能夠使自己獲取系統(tǒng)訪問權(quán)限甚至控制權(quán)限的安全漏洞。從對黑客攻擊行為的分析和收集的漏洞類型來看，漏洞掃描絕大多數(shù)都是針對特定操作系統(tǒng)所提供的特定的網(wǎng)絡(luò)服務(wù)，也就是針對操作系統(tǒng)中某一個(gè)特定端口的。目前主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：（1）特征匹配法，利用資產(chǎn)指紋與漏洞特征來發(fā)現(xiàn)漏洞。在對目標(biāo)網(wǎng)絡(luò)進(jìn)行了主機(jī)掃描、端口掃描、操作系統(tǒng)識別等掃描工作后得到了目標(biāo)網(wǎng)絡(luò)的資產(chǎn)指紋信息，將這些資產(chǎn)指紋信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在。這種方法也有不足之處：一是要求事先獲得目標(biāo)網(wǎng)絡(luò)的所有資產(chǎn)及其指紋信息；二是特征匹配的準(zhǔn)確性存在問題，可能導(dǎo)致誤判和漏判。（2）滲透測試法，利用掌握的漏洞信息和利用代碼對目標(biāo)系統(tǒng)進(jìn)行攻擊性測試，若攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。這種方法的好處是判斷準(zhǔn)確，不足之處有兩點(diǎn)：一是需要了解漏洞的細(xì)節(jié)，掌握漏洞的利用代碼，這在有些情況下比較難得到；二是直接對目標(biāo)進(jìn)行攻擊，環(huán)節(jié)多，耗時(shí)長，并且攻擊行為還存在合法性問題。根據(jù)掃描目標(biāo)的不同，漏洞掃描可以劃分為基于主機(jī)的漏洞掃描和基于網(wǎng)絡(luò)的漏洞掃描兩類。基于主機(jī)的漏洞掃描往往要求在被檢查系統(tǒng)上安裝特定的掃描程序，并且賦予程序管理員權(quán)限，以確保程序能夠訪問操作系統(tǒng)的內(nèi)核、系統(tǒng)的配置文件以及系統(tǒng)中的各類應(yīng)用程序。掃描程序依據(jù)特定的規(guī)則對系統(tǒng)進(jìn)行分析以發(fā)現(xiàn)各類安全漏洞。基于網(wǎng)絡(luò)的漏洞掃描要求掃描主機(jī)與被掃描的目標(biāo)系統(tǒng)通過網(wǎng)絡(luò)相連，兩臺主機(jī)之間能夠進(jìn)行正常的網(wǎng)絡(luò)通信。很多網(wǎng)絡(luò)漏洞掃描軟件采用了網(wǎng)絡(luò)應(yīng)用常見的C/S架構(gòu)，由客戶端和服務(wù)器端兩部分組成，如Nessus掃描軟件采用的就是這種架構(gòu)。漏洞庫和掃描引擎位于服務(wù)器端，供用戶使用的掃描控制臺位于客戶端。這種體系結(jié)構(gòu)的優(yōu)點(diǎn)在于如果多個(gè)用戶需要使用掃描服務(wù)，他們不必都安裝掃描軟件的服務(wù)程序，只要一臺主機(jī)有服務(wù)程序，所有用戶都可以共享掃描服務(wù)。網(wǎng)絡(luò)偵察防御網(wǎng)絡(luò)管理員需要了解網(wǎng)絡(luò)偵察知識，從而知道系統(tǒng)可能正在被偵察，為系統(tǒng)可能遭受的攻擊做更多的準(zhǔn)備，并進(jìn)行脆弱性分析，了解哪些信息正在被泄露并掌握系統(tǒng)存在的弱點(diǎn)。1.防御搜索引擎?zhèn)刹旆烙悍降腤eb站點(diǎn)，避免其淪為搜索引擎和基于Web偵察的受害者，有兩方面的工作要做：首先，對Web站點(diǎn)內(nèi)容建立嚴(yán)格的信息披露策略，其次，要求搜索引擎移除不期望公開的Web頁面索引。2.防御WHOIS查詢因?yàn)橐ＷCWHOIS信息可以被其他合法管理員獲取，所以完全防御攻擊者查詢注冊信息是不可能的。那么防御攻擊者WHOIS查詢的措施就是保證注冊記錄中沒有額外可供攻擊者使用的信息，比如管理員的賬戶名。另外，注冊信息多被攻擊者利用來進(jìn)行社會工程學(xué)攻擊，所以還要對員工進(jìn)行培訓(xùn)，使他們避免掉進(jìn)社會工程學(xué)攻擊的圈套。此外，WHOIS數(shù)據(jù)庫服務(wù)提供商也會采取措施，限制公開可訪問的域名信息，對敏感信息需要經(jīng)過認(rèn)證和授權(quán)才可以訪問。3.防御DNS偵察可以從以下三個(gè)方面來防御DNS偵察。1）避免通過DNS泄露額外