《网络攻击与防御》课件第二章 信息收集

第二章信息收集概念 信息收集是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步，也是关键的一步。信息收集工作的好坏，直接关系到入侵与防御的成功与否。为了保证信息收集的质量，应坚持以下原则： （1）准确性原则 该原则要求所收集到的信息要真实，可靠。这是最基本的要求。 （2）全面性原则 该原则要求所搜集到的信息要广泛，全面完整。 （3）时效性原则 信息的利用价值取决于该信息是否能及时地提供，即它的时效性。信息只有及时、迅速地提供给它的使用者才能有效地发挥作用。信息收集网络信息探测基于whois数据库的信息探测基于搜索引擎的信息探测IP所在地理位置的信息探测域名信息探测网络连通性探测路由信息探测局域网信息探测获取网络信息的方式和工具技术原理Whois是查询Internet注册信息的标准协议、服务，它可提供：网络注册机构网络域名主机信息网络IP地址分配网络管理人员信息，如电子邮件、电话号码等基于whois数据库的信息探测Whois查询方式Unix系统中可使用whois命令通过提供whois服务的网站/whois.html/常规信息收集网络域名网络Ip地址分配使用单位地址中国互联网络信息中心Whois网站/自动检测工具Domain查找绑定在IP地址上的所有域名搜索引擎是自动从因特网收集信息，经过一定整理以后，提供给用户进行查询的系统。它包括信息搜集、信息整理和用户查询三部分。主流搜索引擎：GoogleBaidu天网…基于搜索引擎的信息探测语法示例我们在Google的搜索框中输入如下内容：site:filetype:asp其中site和filetype就是操作关键符，而和asp就是搜索关键字点击搜索之后就会显示这个域名的asp网页链接地址Google的高级搜索功能操作关键符：搜索关键字[空格]操作关键符：搜索关键字…intext:

将网页中正文中的字符作为搜索条件，例如：输入“intext:安全”，将搜索出正文里包含“安全”关键字的网页。allintext:

与intext类似。intitle:

在网页标题中搜索包含关键字的网页，例如：输入“intitle:管理”，即可找出网页标题中包含“管理”的网页。allintitle:

与intitle类似。Google的高级搜索功能cache:

在google的缓存里搜索，这里可能会找到很多很有用的东西哦，虽然此刻网页已经删除，但google服务器里还保存有。define:

查找词语的定义，例如：输入“definehacker”，即可找到“hacker”的相关定义。filetype:

查找指定类型的网页，这个关键字非常有用，例如：输入“filetype:bak”即可找出文件类型为bak的文件（该文件很可能由各种编辑器自动备份产生，有可能找到网站的源码）；又如，通常黑客会尝试下载网站的数据库文件（*.mdb），即可用“filetype:mdb”来搜索，找到数据库文件后直接下载，或许就能得到网站的权限。info:

查找指定站点的基本信息。inurl:

查找在url中包含搜索词的网页，例如：黑客惯用的“inurl:admin”偶尔就能搜索出网站的登录页面，从而进行下一步的攻击。link:

搜索与某网站做了链接的网页，例如：输入“link:”即可搜索出包含有链接到“”的网页（这个可以用来找出有多少网页在链接你的网站哦）。site:

用于搜索某一域内的网页，例如：输入“site:”，即可实现在“”域内搜索的目的。还有一些符号在搜索中也是很有用的：+必须包含有的搜索词；-不能包含的搜索词；~搜索同意词；.单一通配符；*通配符，可匹配多个字符；“”精确的查询。intitle:"indexof"etc

intitle:"Indexof".sh_history

intitle:"Indexof".bash_history

intitle:"indexof"passwd

intitle:"indexof"people.lst

intitle:"indexof"pwd.db

intitle:"indexof"etc/shadow

intitle:"indexof"spwd

intitle:"indexof"master.passwd

intitle:"indexof"htpasswd

例1：Googlehackintitle:phpmyadminintext:Createnewdatabaseallinurl:bbsdata

filetype:mdbinurl:database

filetype:incconn

inurl:datafiletype:mdb

intitle:"indexof"data首先用google先看这个站点的一些基本情况

site:

从返回的信息中，找到二级域名：

例2：利用Google收集信息和渗透ping一下，先看看有什么好东西没:

site:filetype:doc

先找找网站的管理后台地址：

site:intext:管理

site:inurl:login

site:intitle:管理

获得2个管理后台地址：

/sys/admin_login.asp

:88/_admin/login_in.asp

看看服务器上跑的是什么程序：

site:filetype:asp

site:filetype:php

site:filetype:aspx

site:filetype:asp有论坛那就看看能不能遇见什么公共的FTP帐号什么的：

site:intext:ftp://*:*

再看看有没有上传一类的漏洞：

site:inurl:file

site:inurl:load域名：为了方便记忆而专门建立的一套地址转换系统。一个域名对应一个IP地址，而多个域名可以同时被解析到一个IP地址。域名解析：域名到IP地址的转换过程。域名解析服务器：DNS—DomainNameSystem。域名信息探测技术两种模式：交互式和非交互式。非交互式模式：Nslookup–DNS服务器或IP地址Nslookup>?//查看helpNslookupNslookupsetquerytype=anyxxx.xxx

#输入域名后根据输出内容找到dns服务器primarynameserver=ns1.xxx.xxx.xxxserverns1.xxx.xxx.xxx#连接DNS服务器ls-dxxx.xxx通过nslookup获得子域名概念 路由跟踪就是从本地开始到达某一目标地址所经过的路由设备，并显示出这些路由设备的IP、连接时间等信息。作用：如果某段网络不通或网速很慢，可以利用路由跟踪找出某故障地点，方便维护人员的维护工作。对于“黑客”来说，这是个很有用的功能，他可以大概分析出你所在网络的状况。这对于第一步的周边网络环境信息收集很有用。tracert：用IP生存时间TTL字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。路由信息探测技术网络连通性探测--ping作用和特点用来判断目标是否活动；最常用；最简单的探测手段；Ping程序一般是直接实现在系统内核中的，而不是一个用户进程。原理Type=8Type=0ping类型为8，表示“回响请求”类型为0，表示“回响应答”主机在线情况主机不应答情况1）主机不在线2）防火墙阻断ICMP探测ping表示5机器不在线；或者防火墙阻断。举例1：Replyfrom0:bytes=32time<1msTTL=32Replyfrom0表示回应ping的ip地址是0。bytes=32表示回应报文的大小，这里是32字节。time<1ms表示回应所花费的时间，小于1毫秒。TTL=32，TTL是生存时间，报文经过一个路由器就减1，如果减到0就会被抛弃。这里是32。TTL判断操作系统LINUXKernel2.2.x&2.4.xICMP回显应答的TTL字段值为64FreeBSD4.1,4.0,3.4SunSolaris2.5.1,2.6,2.7,2.8OpenBSD2.6,2.7,NetBSDHPUX10.20ICMP回显应答的TTL字段值为255Windows95/98/98SEWindowsMEICMP回显应答的TTL字段值为32WindowsNT4WRKSWindowsNT4ServerWindows2000WindowsXPICMP回