文章目录
网络踩点技术
网络踩点概要
一、踩点是什么
- 有计划、有步骤的信息情报搜集
- 了解攻击目标的网络环境和信息安全状况
- 得到攻击目标剖析图
二、目的
- 通过对完整剖析图的细致分析
- 攻击者将会从中寻找出攻击目标可能存在的薄弱环节
- 为进一步的攻击行动提供指引
三、针对的信息
1、目标组织
- 具体使用的域名
- 网络地址范围
- 因特网上可直接访问的IP地址与网络服务
- 网络拓扑结构
- 电话号码段
- 电子邮件列表
- 信息安全状况
2、目标个人
身份信息、联系方式、职业经历,甚至一些个人隐私信息
3、案例
网络踩点技术手段
一、DNS与IP查询
(一)概述
-
查的是什么?
- 公开的一些因特网基础信息服务
- 目标组织域名、IP以及地理位置之间的映射关系,以及注册的详细信息
-
DNS/IP基础设施
-
DNS/IP
- 因特网赖以运转的两套基础设施环境
- 因特网上的公共数据库中进行维护
- 层次化结构管理
-
-
ICANN:因特网技术协调机构
- ASO: 地址支持组织, 负责IP地址分配和管理
- GNSO: 基本名称支持组织, 负责通用顶级域名分配
- CNNSO: 国家代码域名支持组织,负责国家顶级域名分配
-
国内
- 公网: CNNIC, ISPs(电信,网通…), 域名服务商(万网)
- 教育网: CERNET, 赛尔网络, …
-
DNS服务:从DNS到IP的映射
-
-
一些补充
-
-
DNS查询工具
- nslookup:查找特定主机名的IP地址、反向查找IP地址以获取主机名
- dig:更强大,允许执行各种类型的DNS查询,括正向和反向解析,查找不同类型的DNS记录(如A、CNAME、MX等),同时还可以指定特定的DNS服务器进行查询。
-
(二)技术手段
-
DNS注册信息Whois查询
(1)域名注册过程
(2)WHOIS查询
-
IP Whois查询
(1)IP分配过程
- 由ICANN的地址支持组织(ASO)总体负责
- ASO协调进行具体分配与维护
- 每家RIR(IP地址的国家注册机构)和NIR (IP地址的本地注册机构) 都知道每段IP地址范围属于哪家管辖
- 具体的分配信息在NIR/ISP中维护
补充解释: 1.具体的IP地址分配信息存储在NIR(国内互联网注册机构)和ISP(互联网服务提供商)等组织中,并由它们进行维护和管理 2.ICANN的地址管理组织ASO负责整体协调,各个RIR和NIR负责在特定地区进行IP地址的分配和管理,并维护相应的信息
(2)IP Whois查询过程
- 任意RIR的Whois服务都可以查询 (北美: ARIN, 亚太: APNIC)
- 以162.105.1.1查询示例
- ARIN的Whois Web服务, 告知这段IP由APNIC管辖
- APNIC的Whois Web服务, 给出该网段属于北大,细节信息
- 可能有时需要到NIR(CNNIC)或ISP查询更细致信息
-
IP到域名的反查
有几种方式:
(1)nlookup命令(Windows)
(2)使用dig命令(Linux/Unix)
(3)在线工具
-
IP2Location-地理信息查询
IP2Location查询:能够将 IP地址(因特网上的虚拟地址)—>中的具体地理位置
IP2Location数据库:
- P2Location 是一个数据库或服务,它包含了大量的IP地址和与之相关的地理位置信息。
- WHOIS数据库, GeoIP, IP2Location, 纯真数据库(QQ IP查询使用)
(三)安全防范措施
二、Web信息搜索与挖掘
“Google Hacking”
对目标组织和个人的大量 公开或意外泄漏 的Web信息进行挖掘
(一)概述
网络信息搜索包括:
1、在公开渠道信息搜集:
- 目标Web网页、地理位置、相关组织
- 组织结构和人员、个人资料、电话、电子邮件
- 网络配置、安全防护机制的策略和技术细节
2、Google Hacking
-
Google Hacking: 通过网络搜索引擎(Google)去查找特定安全漏洞或私密信息的方法
-
allinurl:tsweb/default.htm: 查找远程桌面Web连接
-
这是一个示例 Google Hacking 查询语法,它指示 Google 在其索引中查找包含 "tsweb/default.htm" 字符串的所有网址。在这个示例中,它可能用于查找使用远程桌面 Web 连接的网站或服务
-
-
Johnny Long: Google Hacking Database
-
Google Hacking软件: Athena, Wikto, SiteDigger
(二)防范措施
三、网络拓扑侦察
网络的网络拓扑结构和可能存在的网络访问路径
(一)Traceroute – 路由跟踪
-
是什么?——是一种网络诊断工具,用于探测网络数据包在传输过程中经过的路由路径,帮助确定网络的拓扑结构
-
工作原理
通过发送具有递增 “Time to Live”(TTL)值的数据包(TTL从1开始逐步增1的IP包)来探测网络路由路径,每个数据包在经过中间路由器时,路由器返回一个 “ICMP TIME_EXCEEDED” 消息
-
命令
UNIX/Linux: traceroute
Windows: tracert -
穿透防火墙
Traceroute 可以用特定选项(例如
-S
和-p53
)来尝试穿透防火墙,以便跟踪网络路径traceroute -S -p53 TARGET_IP
命令解释:-S :指示 traceroute 使用强制源路由模式。在强制源路由模式下,traceroute 将指定的源 IP 地址用于数据包的源,而不是使用默认的本地 IP 地址。这可用于尝试穿越防火墙或网络限制,因为某些网络设备可能会根据数据包的源地址来执行不同的策略。 -p53 :指示 traceroute 使用目标端口号 53。端口号 53 通常用于 DNS(域名系统)服务。通过指定特定端口号,可以模拟数据包在网络上的传输,以便查看在特定端口上的路由路径。 TARGET_IP :路由跟踪的目标 IP 地址。这是你想要追踪的数据包的最终目的地,traceroute 将显示数据包从源主机到目标 IP 地址的传输路径。
-
图形化界面工具: VisualRoute, NeoTrace, Trout
(二)防范措施
- 路由器配置: 只允许特定系统响应ICMP/UDP数据包
- 网络入侵检测系统/网络入侵防御系统: Snort(是一个常见的开源网络入侵检测系统)
- 虚假响应信息: RotoRouter
- 发送虚假路由信息或其他误导性信息