【网络信息搜集】02 网络踩点技术

网络踩点技术

网络踩点概要

一、踩点是什么

• 有计划、有步骤的信息情报搜集
• 了解攻击目标的网络环境和信息安全状况
• 得到攻击目标剖析图

二、目的

• 通过对完整剖析图的细致分析
• 攻击者将会从中寻找出攻击目标可能存在的薄弱环节
• 为进一步的攻击行动提供指引

三、针对的信息

1、目标组织

• 具体使用的域名
• 网络地址范围
• 因特网上可直接访问的IP地址与网络服务
• 网络拓扑结构
• 电话号码段
• 电子邮件列表
• 信息安全状况

2、目标个人

​ 身份信息、联系方式、职业经历，甚至一些个人隐私信息

3、案例

网络踩点技术手段

一、DNS与IP查询

（一）概述

1. 查的是什么？

   • 公开的一些因特网基础信息服务
   • 目标组织域名、IP以及地理位置之间的映射关系，以及注册的详细信息

2. DNS/IP基础设施

   • DNS/IP

     • 因特网赖以运转的两套基础设施环境
     • 因特网上的公共数据库中进行维护
     • 层次化结构管理

• ICANN:因特网技术协调机构

  • ASO: 地址支持组织, 负责IP地址分配和管理
  • GNSO: 基本名称支持组织, 负责通用顶级域名分配
  • CNNSO: 国家代码域名支持组织,负责国家顶级域名分配

• 国内

  • 公网: CNNIC, ISPs(电信,网通…), 域名服务商(万网)
  • 教育网: CERNET, 赛尔网络, …

3. DNS协议的域名解析过程

4. DNS服务：从DNS到IP的映射

   • 

     • 一些补充

       

   • DNS查询工具

     • nslookup：查找特定主机名的IP地址、反向查找IP地址以获取主机名
     • dig：更强大，允许执行各种类型的DNS查询，括正向和反向解析，查找不同类型的DNS记录（如A、CNAME、MX等），同时还可以指定特定的DNS服务器进行查询。

     

（二）技术手段

1. DNS注册信息Whois查询

   （1）域名注册过程

   

   （2）WHOIS查询

   

2. IP Whois查询

   （1）IP分配过程

   • 由ICANN的地址支持组织(ASO)总体负责
   • ASO协调进行具体分配与维护
   • 每家RIR（IP地址的国家注册机构）和NIR （IP地址的本地注册机构） 都知道每段IP地址范围属于哪家管辖
   • 具体的分配信息在NIR/ISP中维护

   补充解释：
   1.具体的IP地址分配信息存储在NIR（国内互联网注册机构）和ISP（互联网服务提供商）等组织中，并由它们进行维护和管理
   2.ICANN的地址管理组织ASO负责整体协调，各个RIR和NIR负责在特定地区进行IP地址的分配和管理，并维护相应的信息
   

   （2）IP Whois查询过程

   • 任意RIR的Whois服务都可以查询 (北美: ARIN, 亚太: APNIC)
   • 以162.105.1.1查询示例
     • ARIN的Whois Web服务, 告知这段IP由APNIC管辖
     • APNIC的Whois Web服务, 给出该网段属于北大，细节信息
     • 可能有时需要到NIR(CNNIC)或ISP查询更细致信息

3. IP到域名的反查

   有几种方式：

   （1）nlookup命令（Windows）

   （2）使用dig命令（Linux/Unix）

   （3）在线工具

4. IP2Location－地理信息查询

   IP2Location查询：能够将 IP地址(因特网上的虚拟地址)—>中的具体地理位置

   IP2Location数据库：

   • P2Location 是一个数据库或服务，它包含了大量的IP地址和与之相关的地理位置信息。
   • WHOIS数据库, GeoIP, IP2Location, 纯真数据库（QQ IP查询使用）

（三）安全防范措施

二、Web信息搜索与挖掘

“Google Hacking”
对目标组织和个人的大量 公开或意外泄漏 的Web信息进行挖掘

（一）概述

网络信息搜索包括：

1、在公开渠道信息搜集：

• 目标Web网页、地理位置、相关组织
• 组织结构和人员、个人资料、电话、电子邮件
• 网络配置、安全防护机制的策略和技术细节

2、Google Hacking

• Google Hacking: 通过网络搜索引擎（Google）去查找特定安全漏洞或私密信息的方法

• allinurl:tsweb/default.htm: 查找远程桌面Web连接

  • 这是一个示例 Google Hacking 查询语法，它指示 Google 在其索引中查找包含 "tsweb/default.htm" 字符串的所有网址。在这个示例中，它可能用于查找使用远程桌面 Web 连接的网站或服务
    

• Johnny Long: Google Hacking Database

• Google Hacking软件: Athena, Wikto, SiteDigger

（二）防范措施

三、网络拓扑侦察

网络的网络拓扑结构和可能存在的网络访问路径

（一）Traceroute – 路由跟踪

1. 是什么？——是一种网络诊断工具，用于探测网络数据包在传输过程中经过的路由路径，帮助确定网络的拓扑结构

2. 工作原理

   通过发送具有递增 “Time to Live”（TTL）值的数据包（TTL从1开始逐步增1的IP包）来探测网络路由路径，每个数据包在经过中间路由器时，路由器返回一个 “ICMP TIME_EXCEEDED” 消息

3. 命令

   UNIX/Linux: traceroute
   Windows: tracert

4. 穿透防火墙

   Traceroute 可以用特定选项（例如 -S 和 -p53）来尝试穿透防火墙，以便跟踪网络路径

   traceroute -S -p53 TARGET_IP命令解释：

   -S ：指示 traceroute 使用强制源路由模式。在强制源路由模式下，traceroute 将指定的源 IP 地址用于数据包的源，而不是使用默认的本地 IP 地址。这可用于尝试穿越防火墙或网络限制，因为某些网络设备可能会根据数据包的源地址来执行不同的策略。
   -p53 ：指示 traceroute 使用目标端口号 53。端口号 53 通常用于 DNS（域名系统）服务。通过指定特定端口号，可以模拟数据包在网络上的传输，以便查看在特定端口上的路由路径。
   TARGET_IP ：路由跟踪的目标 IP 地址。这是你想要追踪的数据包的最终目的地，traceroute 将显示数据包从源主机到目标 IP 地址的传输路径。
   

5. 图形化界面工具: VisualRoute, NeoTrace, Trout

（二）防范措施

• 路由器配置: 只允许特定系统响应ICMP/UDP数据包
• 网络入侵检测系统/网络入侵防御系统: Snort（是一个常见的开源网络入侵检测系统）
• 虚假响应信息: RotoRouter
  • 发送虚假路由信息或其他误导性信息