信息收集技术概要.ppt

2信息收集技术 网络攻防与实践 概要 网络信息收集方式 网络搜索搜索引擎电驴 Foxy共享软件博客以及论坛扫描 监听社会工程学 网络信息收集技术 网络踩点 Footprinting Web搜索与挖掘DNS和IP查询网络拓扑侦察网络扫描 Scanning 主机扫描端口扫描系统类型探查漏洞扫描 网络查点 Enumeration 旗标抓取网络服务查点 网络信息收集技术之网络踩点 目标组织具体使用的域名网络地址范围因特网上可直接访问的IP地址与网络服务网络拓扑结构电话号码段电子邮件列表信息安全状况 目标个人身份信息联系方式职业经历其他个人隐私信息 网络信息收集技术之网络踩点 公开渠道信息收集目标Web网页 地理位置 相关组织组织结构和人员 个人资料 电话 电子邮件网络配置 安全防护机制的策略和技术细节 GoogleHackingGoogleHacking 通过网络搜索引擎查找特定安全漏洞或私密信息的方法allinurl tsweb default htm 查找远程桌面Web连接JohnnyLong GoogleHackingforPenetrationTestersGoogleHacking软件 Athena Wikto SiteDigger 网络信息收集技术之网络踩点 Google基本搜索逻辑运算andor not 匹配 完全匹配 通配 Google高级搜索intitle allintitle intext inurlsite filetype link daterange related cache infophonebook rphonebookauthor group msgid GoogleHacking hk advanced search GoogleHacking 网络信息收集技术之网络踩点 GoogleHacking 本人参考课件以及这两篇文章亲自尝试了一下 GoogleHacking的实现以及应用 网络信息收集技术之网络踩点 GoogleHacking 网络信息收集技术之网络踩点 GoogleHacking 网络信息收集技术之网络踩点 GoogleHacking 网络信息收集技术之网络踩点 GoogleHacking 网络信息收集技术之网络踩点 GoogleHacking 网络信息收集技术之网络踩点 GoogleHacking 网络信息收集技术之网络踩点 GoogleHacking 网络信息收集技术之网络踩点 GoogleHacking 网络信息收集技术之网络踩点 组织安全敏感信息及个人隐私信息不在因特网上随意发布个人上网时尽量保持匿名 网络实名制 个人隐私权立法保护 还没有 跨省追捕 必须提供个人隐私信息时 应选择具有良好声誉并可信任的网站定期对自身单位及个人在Web上的信息足迹进行搜索掌握GoogleHacking信息搜索技术发现非预期泄漏的敏感信息后 应采取行动进行清除 Web信息搜索与挖掘防范 网络信息收集技术之网络踩点 DNS IP因特网赖以运转的两套基础设施因特网上的公共数据库中进行维护层次化结构管理ICANN 因特网技术协调机构ASO 地址支持组织 负责IP地址分配和管理 GNSO 基本名称支持组织 负责通用顶级域名分配CNNSO 国家代码域名支持组织 负责国家顶级域名分配国内公网 CNNIC ISPs 电信 网通 域名服务商 万网 教育网 CERNET 赛尔网络 DNS与IP 网络信息收集技术之网络踩点 DNS与IP 网络信息收集技术之网络踩点 DNS服务器和查询机制权威DNS服务器 提供原始DNS映射信息主 primary DNS服务器辅助 secondary DNS服务器递归缓存DNS服务器 ISP提供接入用户使用分布式缓存与递归查询的机制DNS查询工具nslookup dig DNS与IP 网络信息收集技术之网络踩点 域名解析过程第一步 客户机提出域名解析请求 并将该请求发送给本地的域名服务器 第二步 当本地的域名服务器收到请求后 就先查询本地的缓存 如果有该纪录项 则本地的域名服务器就直接把查询的结果返回 第三步 如果本地的缓存中没有该纪录 则本地域名服务器就直接把请求发给根域名服务器 然后根域名服务器再返回给本地域名服务器一个所查询域 根的子域 的主域名服务器的地址 第四步 本地服务器再向上一步返回的域名服务器发送请求 然后接受请求的服务器查询自己的缓存 如果没有该纪录 则返回相关的下级的域名服务器的地址 第五步 重复第四步 直到找到正确的纪录 第六步 本地域名服务器把返回的结果保存到缓存 以备下一次使用 同时还将结果返回给客户机 DNS与IP 网络信息收集技术之网络踩点 Shell入门 网络信息收集技术之网络踩点 Shell入门 网络信息收集技术之网络踩点 Shell入门 网络信息收集技术之网络踩点 DNS解析案例alex alex ThinkPad X121e Server 127 0 0 1Address 127 0 0 1 53Non authoritativeanswer Name Address 202 120 107 97 DNS与IP 网络信息收集技术之网络踩点 域名注册过程注册人 Registrant 注册商 Registrar 官方注册局 Registry 3R注册信息 分散在官方注册局或注册商各自维护数据库中官方注册局一般会提供注册商和ReferralURL信息具体注册信息一般位于注册商数据库中WHOIS查询查询特定域名的3R详细注册信息域名注册信息查询 ICANN IANA 域名官方注册局 域名服务商WhoisWeb查询服务 官方注册局 注册商寻找域名注册信息数据库并查询返回结果的WhoisWeb查询服务 万网 站长之家 集成工具 Whois客户程序 SamSpade SuperScan Whois查询 网络信息收集技术之网络踩点 Whois查询案例本人发现该网站能查到Whois信息的概率比较大 Whois查询 EastChinaUniversityofScienceandTechnology DOM MeiLongRoad XuHuiDistrictShanghai SH200237ChinaDomainName NetworkNumber 202 120 96 0 202 120 111 255 AdministrativeContact TechnicalContact Xia Ping PX1 CN 86 21 6477 1328Recordlastupdatedon19960116Recordcreatedon19960116DomainServersinlistedorder 202 120 111 30WebsiteTitle 华东理工大学TitleRelevancy100 网络信息收集技术之网络踩点 IP地理信息 网络信息收集技术之网络踩点 公用数据库中提供信息的安全问题必须向注册机构提供尽可能准确的信息采用一些安防措施不让攻击者轻易得手及时更新管理性事务联系人的信息尝试使用虚构的人名来作为管理性事务联系人 HoneyMan 帮助发现和追查那些在电话或邮件中试图冒充虚构人名的 社会工程师 慎重考虑所列的电话号码和地址等信息注意域名注册机构允许更新注册信息的方式 并确保其中关键信息的安全攻击案例 2008年黑客进入了网络支付服务商CheckFree的邮箱 从而修改了域名记录 DNS与IP查询防范措施 网络信息收集技术之网络踩点 Traceroute 路由跟踪探测网络路由路径 可用于确定网络拓扑主机发送TTL从1开始逐步增1的IP包 网络路径上路由器返回ICMPTIME EXECEEDEDUNIX Linux tracerouteWindows tracert穿透防火墙 traceroute S p53TARGET IP图形化界面工具 VisualRoute NeoTrace Trout网络侦察防范措施路由器配置 只允许特定系统响应ICMP UDP数据包网络入侵检测系统 网络入侵防御系统 Snort虚假响应信息 RotoRouter 网络侦查 网络信息收集技术之网络踩点 路由跟踪案例alex alex ThinkPad X121e sudotraceroute I 202 120 107 97 30hopsmax 60bytepackets1101 85 140 1 101 85 140 1 6 804ms7 098ms 2 3124 74 35 253 124 74 35 253 4 212ms4 624ms5 025ms4 8202 112 27 214 202 112 27 214 50 409ms50 790ms51 201ms9202 112 27 141 202 112 27 141 44 949ms45 384ms46 125ms10202 112 27 150 202 112 27 150 43 939ms44 573ms46 606ms11202 112 27 69 202 112 27 69 46 839ms47 235ms47 575ms12 15116 247 126 125 116 247 126 125 10 556ms8 411ms9 346ms16 18202 120 107 97 202 120 107 97 23 137ms23 288ms23 501ms 网络侦查 网络信息收集技术之网络踩点 路由跟踪案例alex alex ThinkPad X121e sudotraceroute I 117 28 254 151 30hopsmax 60bytepackets1101 85 140 1 101 85 140 1 190 511ms190 942ms 2 3124 74 148 9 124 74 148 9 4 319ms5 978ms6 682ms4124 74 211 37 124 74 211 37 11 510ms13 433ms14 069ms561 152 86 186 61 152 86 186 11 919ms12 313ms12 681ms6202 97 82 70 202 97 82 70 25 563ms21 895ms21 659ms7222 76 220 6 222 76 220 6 21 402ms24 249ms23 943ms8117 25 145 226 117 25 145 226 25 416ms25 688ms25 616ms9 网络侦查 网络信息收集技术之网络踩点 路由跟踪案例C DocumentsandSettings Administrator T 180 168 41 175 overamaximumof30hops 1228ms36ms45ms101 85 140 123ms3ms4ms101 85 140 133ms4ms4ms124 74 35 25346ms7ms7ms124 74 211 5358ms11ms9ms61 152 87 3067ms6ms6ms218 1 6 14677ms6ms6ms124 74 45 26810ms8ms6ms180 168 41 175Tracecomplete 网络侦查 网络信息收集技术之网络扫描 主机扫描 找出IP段内活动主机端口扫描 找出某台主机开发的网络服务系统 服务辨识 决定攻击手段漏洞扫描 找出破解通道 网络信息收集技术之网络扫描 网络测试最常用的命令 pingping LRUbdfnqrvVaAB ccount mmark iinterval lpreload ppattern spacketsize tttl wdeadline Fflowlabel Iinterface Mhint Nnioption Qtos Ssndbuf Ttimestampoption Wtimeout hop destinationping192 168 1 1 主机扫描 网络信息收集技术之网络扫描 这台主机处于活动状态吗 alex alex ThinkPad X121e ping192 168 1 1PING192 168 1 1 192 168 1 1 56 84 bytesofdata 64bytesfrom192 168 1 1 icmp req 4ttl 64time 52 4ms64bytesfrom192 168 1 1 icmp req 5ttl 64time 78 7ms64bytesfrom192 168 1 1 icmp req 6ttl 64time 102ms64bytesfrom192 168 1 1 icmp req 7ttl 64time 1 38ms64bytesfrom192 168 1 1 icmp req 8ttl 64time 11 6ms64bytesfrom192 168 1 1 icmp req 9ttl 64time 1 32ms C 192 168 1 1pingstatistics 9packetstransmitted 6received 33 packetloss time8030msrttmin avg max mdev 1 329 41 340 102 571 39 480ms 主机扫描 网络信息收集技术之网络扫描 这台主机处于活动状态吗 alex alex ThinkPad X121e ping192 168 1 2PING192 168 1 2 192 168 1 2 56 84 bytesofdata From192 168 1 14icmp seq 1DestinationHostUnreachableFrom192 168 1 14icmp seq 2DestinationHostUnreachableFrom192 168 1 14icmp seq 3DestinationHostUnreachable C 192 168 1 2pingstatistics 6packetstransmitted 0received 3errors 100 packetloss time5033ms 主机扫描 网络信息收集技术之网络扫描 ping扫描主机扫描目的 检查目标主机是否活跃 active 主机扫描方式传统ICMPPing扫描ACKPing扫描SYNPing扫描UDPPing扫描主机扫描程序pingnmap sP 主机扫描 网络信息收集技术之网络扫描 ping扫描 主机扫描 alex alex ThinkPad X121e code bash catsping sh bin bashfor i 10 i dev nullif eq0 thenecho ipfidonealex alex ThinkPad X121e code bash sping sh192 168 1 10192 168 1 11192 168 1 12192 168 1 14192 168 1 16192 168 1 17 网络信息收集技术之网络扫描 nmap扫描nmap sP 主机扫描 alex alex ThinkPad X121e code bash nmap sP192 168 1 0 24StartingNmap5 21 http nmap org at2013 10 0620 27CSTNmapscanreportfor192 168 1 1Hostisup 0 0035slatency Nmapscanreportfor192 168 1 10Hostisup 0 093slatency Nmapscanreportfor192 168 1 11Hostisup 0 021slatency Nmapscanreportfor192 168 1 12Hostisup 0 046slatency Nmapscanreportfor192 168 1 14Hostisup 0 000071slatency Nmapscanreportfor192 168 1 17Hostisup 0 0013slatency Nmapdone 256IPaddresses 6hostsup scannedin3 92seconds 网络信息收集技术之网络扫描 ping扫射Ping扫射同时扫描大量的IP地址段 以发现某个IP地址是否绑定活跃主机的扫描Ping扫射工具软件UNIX Nmap fping hping2Win32 Superscan 主机扫描 网络信息收集技术之网络扫描 当确定了目标主机可达后 就可以使用端口扫描技术 发现目标主机的开放端口 包括网络协议和各种应用监听的端口 端口扫描技术包括以下几种 全扫描会产生大量的审计数据 容易被对方发现 但其可靠性高 半扫描隐蔽性和可靠性介于全扫描和秘密扫描之间 秘密扫描能有效的避免对方入侵检测系统和防火墙的检测 但使用的数据包在通过网络时容易被丢弃从而产生错误的探测信息 认证 ident 扫描需要先建立一个完整的TCP连接 FTP代理扫描隐蔽性好 难以追踪 但受到服务器设置的限制 主机扫描 网络信息收集技术之网络扫描 主机扫描的防范措施监测 网络入侵检测系统Snort 主机扫描监测工具Scanlogd防御 仔细考虑对ICMP通信的过滤策略利用Ping构建后门 loki Phrackv51 06 pingd 主机扫描 网络信息收集技术之网络扫描 端口TCP UDP 1 64K 运行网络应用服务由IANA ICANN负责分配端口扫描定义连接目标主机的TCP和UDP端口 确定哪些服务正在运行即处于监听状态的过程 端口扫描目的防御者 更加了解所管理的网络状况 找出没有必要开放的端口并关闭 这是保证业务网络安全的第一步 攻击者 找出可供进一步攻击的网络服务 同时结合操作系统探测技术也可以确定目标主机所安装的操作系统版本 开放网络服务和操作系统版本信息为攻击者提供了破解攻击的目标 使其更容易找出进入目标主机的漏洞路径 端口扫描 网络信息收集技术之网络扫描 TCP端口扫描Connect扫描调用socket的connect 函数连接目标端口开放端口 完成完整的TCP三次握手 SYN SYN ACK ACK timeout RST关闭端口 SYN RST优势 弱势 无需特权用户权限可发起 目标主机记录大量连接和错误信息 容易检测 端口扫描 网络信息收集技术之网络扫描 TCP端口半开扫描SYN扫描半开扫描 half openscanning 开放端口 攻击者SYN 目标主机SYN ACK 攻击者立即反馈RST包关闭连接关闭端口 攻击者SYN 目标主机RST优势 弱势 目标主机不会记录未建立连接 较为隐蔽 需根用户权限构建定制SYN包 端口扫描 网络信息收集技术之网络扫描 TCP端口扫描nmap sT 端口扫描 alex alex ThinkPad X121e nmap sT192 168 1 12StartingNmap5 21 http nmap org at2013 10 0621 00CSTNmapscanreportfor192 168 1 12Hostisup 0 0087slatency Notshown 996filteredportsPORTSTATESERVICE80 tcpopenhttp135 tcpopenmsrpc139 tcpopennetbios ssn445 tcpopenmicrosoft dsNmapdone 1IPaddress 1hostup scannedin6 00seconds 网络信息收集技术之网络扫描 TCP端口半开扫描nmap sS 端口扫描 alex alex ThinkPad X121e sudonmap sS192 168 1 12StartingNmap5 21 http nmap org at2013 10 0621 06CSTNmapscanreportfor192 168 1 12Hostisup 0 038slatency Notshown 996filteredportsPORTSTATESERVICE80 tcpopenhttp135 tcpopenmsrpc139 tcpopennetbios ssn445 tcpopenmicrosoft dsMACAddress 00 13 46 6F 8C 1B D Link Nmapdone 1IPaddress 1hostup scannedin11 75seconds 网络信息收集技术之网络扫描 谁启用了远程桌面 端口扫描 alex alex ThinkPad X121e nmap p3389192 168 1 0 24StartingNmap5 21 http nmap org at2013 10 0621 14CSTNmapscanreportfor192 168 1 1Hostisup 0 0054slatency PORTSTATESERVICE3389 tcpfilteredms term servNmapscanreportfor192 168 1 10Hostisup 0 12slatency PORTSTATESERVICE3389 tcpfilteredms term servNmapscanreportfor192 168 1 11Hostisup 0 078slatency PORTSTATESERVICE3389 tcpclosedms term serv 网络信息收集技术之网络扫描 谁启用了远程桌面 端口扫描 Nmapscanreportfor192 168 1 12Hostisup 0 085slatency PORTSTATESERVICE3389 tcpfilteredms term servNmapscanreportfor192 168 1 14Hostisup 0 00011slatency PORTSTATESERVICE3389 tcpclosedms term servNmapscanreportfor192 168 1 17Hostisup 0 00099slatency PORTSTATESERVICE3389 tcpclosedms term servNmapdone 256IPaddresses 6hostsup scannedin11 19seconds 网络信息收集技术之网络扫描 端口扫描防范措施 端口扫描 任何攻击技术都是双刃剑网络管理员也可利用端口扫描确定开放必要服务端口扫描的监测网络入侵检测系统 Snort中的portscan检测插件系统扫描检测工具 scanlogd PortSentry Genius端口扫描的预防开启防火墙类UNIX netfilter IPTablesWin32 个人防火墙禁用所有不必要的服务 尽可能减少暴露面 进一步的受攻击面 类UNIX etc inetd confWin32 控制面板 服务 网络信息收集技术之网络扫描 探查系统类型 端口扫描 系统类型探查探查活跃主机的系统及开放网络服务的类型目标主机上运行着何种类型什么版本的操作系统各个开放端口上监听的是哪些网络服务目的为更为深入的情报信息收集 真正实施攻击做好准备如远程渗透攻击需了解目标系统操作系统类型 并配置 网络信息收集技术之网络扫描 探查系统类型 端口扫描 操作系统类型探查 OSIdentification 通过各种不同操作系统类型和版本实现机制上的差异通过特定方法以确定目标主机所安装的操作系统类型和版本的技术手段明确操作系统类型和版本是进一步进行安全漏洞发现和渗透攻击的必要前提不同操作系统类型和版本的差异性协议栈实现差异 协议栈指纹鉴别开放端口的差异 端口扫描应用服务的差异 旗标攫取辨识方式主动 操作系统主动探测技术被动 被动操作系统识别技术 网络信息收集技术之网络扫描 探查系统类型nmap O 端口扫描 alex alex ThinkPad X121e sudonmap O192 168 1 12StartingNmap5 21 http nmap org at2013 10 0621 27CSTNmapscanreportfor192 168 1 12Hostisup 0 0058slatency Notshown 996filteredportsPORTSTATESERVICE80 tcpopenhttp135 tcpopenmsrpc139 tcpopennetbios ssn445 tcpopenmicrosoft dsMACAddress 00 13 46 6F 8C 1B D Link Warning OSScanresultsmaybeunreliablebecausewecouldnotfinda Devicetype generalpurposeRunning JUSTGUESSING MicrosoftWindowsVista 2008 7 97 AggressiveOSguesses MicrosoftWindowsVistaSP0orSP1 Server20 NoexactOSmatchesforhost testconditionsnon ideal NetworkDistance 1hopOSdetectionperformed Pleasereportanyincorrectresultsathttp nmap org submit Nmapdone 1IPaddress 1hostup scannedin30 52seconds 网络信息收集技术之网络扫描 探查系统类型nmap O sudonmap O 端口扫描 Warning OSScanresultsmaybeunreliablebecausewecouldnotfindatleast1openand1closedportDevicetype generalpurpose VoIPadapterRunning JUSTGUESSING MicrosoftWindows2003 7 XP 2000 94 Sipuraembedded 86 AggressiveOSguesses MicrosoftWindowsServer2003SP2 94 MicrosoftWindowsServer2003SP1 93 MicrosoftWindows7 87 MicrosoftWindowsXPSP2 87 MicrosoftWindowsXPEmbeddedSP2 87 SipuraSPA 3000VoIPadapter 86 MicrosoftWindows2000SP4 86 NoexactOSmatchesforhost testconditionsnon ideal 网络信息收集技术之网络扫描 探查网络服务nmap sV 端口扫描 alex alex ThinkPad X121e nmap sVStartingNmap5 21 http nmap org at2013 10 0621 38CSTN 202 120 107 97 Hostisup 0 014slatency Notshown 990filteredportsPORTSTATESERVICEVERSION21 tcpopenftpFileZillaftpd0 9 41beta80 tcpopenhttpMicrosoftIISwebserver7 5135 tcpopenmsrpcMicrosoftWindowsRPC139 tcpopennetbios ssn445 tcpopennetbios ssn3389 tcpopenmicrosoft rdpMicrosoftTerminalService49153 tcpopenmsrpcMicrosoftWindowsRPC49154 tcpopenmsrpcMicrosoftWindowsRPC49157 tcpopenmsrpcMicrosoftWindowsRPC49158 tcpopenmsrpcMicrosoftWindowsRPCServiceInfo OS WindowsServicedetectionperformed Pleasereportanyincorrectresultsathttp nmap org submit Nmapdone 1IPaddress 1hostup scannedin52 77seconds 网络信息收集技术之网络扫描 探查系统 服务的防范措施 端口扫描 并没有太多好办法检测端口扫描监测工具对被动式静默监听并辨识系统类型行为则基本无能为力挫败系统类型探查活动的防御机制也很难 不出声就不会被发现 这一古老格言并不适用于网络攻防领域应立足于即使攻击者探查出了操作系统和网络服务类型 也不能轻易的攻破这道 坚固的防线 网络信息收集技术之网络扫描 nmap扫描命令常见用法 端口扫描 SOSO百科nmap 网络信息收集技术之网络扫描 漏洞扫描 漏洞SecurityVulnerability 安全脆弱性一般认为 漏洞是指硬件 软件或策略上存在的的安全缺陷 从而使得攻击者能够在未授权的情况下访问 控制系统漏洞扫描检查系统是否存在已公布安全漏洞 从而易于遭受网络攻击的技术 网络信息收集技术之网络扫描 漏洞扫描 系统设计缺陷Internet从设计时就缺乏安全的总体架构和设计TCP IP中的三阶段握手软件源代码的急剧膨胀Windows951500万行 Windows981800万行WindowsXP3500万行 WindowsVista5000万行Linux内核200万行软件实现的缺陷微软开发人员的单体测试缺陷从超过25个缺陷 千行代码显著降低到7个缺陷 千行代码 网络信息收集技术之网络扫描 漏洞扫描 漏洞扫描技术检查系统是否存在已公布安全漏洞 从而易于遭受网络攻击的技术 双刃剑网络管理员用来检查系统安全性 渗透测试团队 RedTeam 用于安全评估 攻击者用来列出最可能成功的攻击方法 提高攻击效率 已发布安全漏洞数据库业界标准漏洞命名库CVEhttp cve mitre org微软安全漏洞公告MSxx xxx ISS InternetSecurityScanner 1993年 第一个漏洞扫描软件 商业2006年被IBM以16亿美元收购SATAN SAINT1995年 DanFarmer第一个公开发布的漏洞扫描软件 引发媒体负面报导Nessus 目前最优秀的共享漏洞扫描软件1998 RenaudDeraison Nessusv2 x开源2005 TenableNetworkSecurity Nessusv3 x v4 x freeware pluginlicense 网络信息收集技术之网络扫描 漏洞扫描 开源软件Xscan 冰河 黄鑫2001年开始开发2005年v3 3之后无更新兼容Nessus的NASL语言开发插件国内厂商绿盟 极光 启明星辰 天镜 方正 中软 东软 网络信息收集技术之网络扫描 漏洞扫描 网络扫描器的功能扫描目标主机识别其工作状态 开 关机 识别目标主机端口的状态 监听 关闭 识别目标主机操作系统的类型和版本识别目标主机服务程序的类型和版本分析目标主机 目标网络的漏洞 脆弱点 生成扫描结果报告 网络信息收集技术之网络扫描 漏洞扫描 网络信息收集技术之网络扫描 最简单对策 假设黑客会使用漏洞扫描来发现目标网络弱点 那你必须在黑客之前扫描漏洞补丁自动更新和分发 修补漏洞联邦桌面核心配置计划 FDCC 确保桌面计算机的安全漏洞及补丁自动管理中国2010年才开始政务终端安全配置 CGDCC 标准的发展检测和防御漏洞扫描行为网络入侵检测系统 Snort仔细审查防火墙配置规则 漏洞扫描 网络信息收集技术之网络扫描 漏洞扫描 网络信息收集技术之网络扫描 漏洞扫描 网络信息收集技术之网络扫描 漏洞扫描 网络信息收集技术之网络扫描 漏洞扫描 网络信息收集技术之网络扫描 扫描防范 反扫描技术端口扫描监测工具防火墙技术审计技术其它防御技术 设防火墙 减少开放端口记录日志 应用审计技术分析监测扫描 作出预警方法监听一个不常用端口抓包分析常用工具 ProtectX Winetd DTK PortSentry端口伪装 修改 欢迎 信息 信息欺骗蜜罐系统 网络信息收集技术之网络扫描 扫描防范 1 网络监听的概念网络监听技术又叫做网络嗅探技术 NetworkSniffing 顾名思义 这是一种在他方未察觉的情况下捕获其通信报文或通信内容的技术 在网络安全领域 网络监听技术对于网络攻击与防范双方都有着重要的意义 是一把双刃剑 对网络管理员来说 它是了解网络运行状况的有力助手 对黑客而言 它是有效收集信息的手段 网络监听技术的能力范围目前只限于局域网 网络信息收集技术之网络监听 概述 Sniffer这个名称最早是一种网络监听工具的名称 后来其也就成为网络监听的代名词 在最初的时候 它是作为网络管理员检测网络通信的一种工具 网络监听器分软 硬两种 网络信息收集技术之网络监听 概述 1 网络监听的概念软件嗅探器便宜易于使用 缺点是功能往往有限 可能无法抓取网络上所有的传输数据 比如碎片 或效率容易受限 硬件嗅探器通常称为协议分析仪 它的优点恰恰是软件嗅探器所欠缺的 处理速度很高 但是价格昂贵 目前主要使用的嗅探器是软件的 网络信息收集技术之网络监听 概述 2 Sniffer软件的主要工作机制驱动程序支持 需要一个直接与网卡驱动程序接口的驱动模块 作为网卡驱动与上层应用的 中间人 它将网卡设置成混杂模式 捕获数据包 并从上层接收各种抓包请求 分组捕获过滤机制 对来自网卡驱动程序的数据帧进行过滤 最终将符合要求的数据交给上层 链路层的网卡驱动程序上传的数据帧就有了两个去处 一个是正常的协议栈 另一个就是分组捕获过滤模块 对于非本地的数据包 前者会丢弃 通过比较目的IP地址 而后者则会根据上层应用的要求来决定上传还是丢弃 网络信息收集技术之网络监听 概述 2 Sniffer软件的主要工作机制许多操作系统都提供这样的 中间人 机制 即分组捕获机制 在UNIX类型的操作系统中 主要有3种 BSD系统中的BPF BerkeleyPacketFilter SVR4中的DLPI DateLinkInterface 和Linux中的SOCK PACKET类型套接字 在Windows平台上主要有NPF过滤机制 目前大部分Sniffer软件都是基于上述机制建立起来的 如Tcpdump Wireshark等 网络信息收集技术之网络监听 概述 网络信息收集技术之网络监听 抓包 网络信息收集技术之网络监听 ARP包 35 003986GemtekTe 43 45 7cTp LinkT 33 52 4aARP42Whohas192 168 1 1 Tell192 168 1 14 000040169f33524a20107a43457c08060001 3RJ zCE 001008000604000120107a43457cc0a8010e zCE 0020000000000000c0a80101 45 008654Tp LinkT 33 52 4aGemtekTe 43 45 7cARP42192 168 1 1isat40 16 9f 33 52 4a 000020107a43457c40169f33524a08060001 zCE 3RJ 001008000604000240169f33524ac0a80101 3RJ 002020107a43457cc0a8010e zCE 网络信息收集技术之网络监听 ICMP包 1413 759845192 168 1 14192 168 1 1ICMP98Echo ping requestid 0 x3791 seq 8 2048 ttl 64 00000800769437910008b475525249070f00 v 7 uRRI 001008090a0b0c0d0e0f1011121314151617 002018191a1b1c1d1e1f2021222324252627 003028292a2b2c2d2e2f3031323334353637 01234567 1513 761742192 168 1 1192 168 1 14ICMP98Echo ping replyid 0 x3791 seq 8 2048 ttl 64 网络信息收集技术之网络监听 FTP包 220 WelcometoPure FTPd privsep TLS 220Youwillbedisconnectedafter15minutesofinactivity USERalex331UseralexOK PasswordrequiredPASS 230OK Currentrestricteddirectoryis SYST215UNIXType L8FEAT211 Extensionssupported EPRTIDLE 211End PWD257 isy