主动信息搜集
- 被动信息搜集可能包含过时的信息
- 直接与目标系统交互通信
- 无法避免留下访问的痕迹
- 使用受控的第三方电脑进行探测
使用代理或已经控制的主机
做好被封杀的准备
使用噪声迷惑目标,淹没真实的探测流量
- 扫描
发送不同的探测,根据返回结果判断目标状态
发现
- 识别活着的主机
潜在的被攻击目标
- 输出一个IP地址列表
- 2、3、4层发现
网络分层
二层扫描
- 优点 :扫描速度快、可靠
- 缺点:不可路由
- arp协议
抓包
- arping
arping XXXXX -c 1
- nmap-二层发现
nmap
ip
-sn
nmap -iL xxx.txt -sn
- netdiscover
专用于二层发现
可用于无线和交换网络环境
主动和被动探测
- 主动
netdiscover -i eth0 -r 1.1.1.0/24
netdiscover -I iplist.txt
- 被动
netdiscover -p
主动APR容易触发警报
- Scapy
作为Python库进行调用
也可作为单独工具使用
抓包、分析、创建、修改、注入网络流量
ARP().display()
ARP().pdst=
发送:sr1(构造包)
三层发现
- 优点:可路由、速度比较快
- 缺点:速度比二层慢、经常被边界防火墙过滤
- IP、ICMP协议
- ping
ping 1.1.1.1 -c 3
ping -R 1.1.1.1 / traceroute 1.1.1.1
- nmap
nmap -sn 1.1.1.1
同网段发ARP包,不同网段发ICMP包
- fping
fping -g 1.1.1.0-100 0/24
fping -f iplist.txt
- hping
四层发现
- 优点
可路由且结果可靠
不太可能被防火墙过滤
甚至可以发现所有端口都被过滤的主机
- 缺点
基于状态过滤的防火墙可能过滤扫描
全端口扫描速度慢
- TCP
未经请求的ACK—RST
SYN-------SYN/ACK RST
- UDP
ICMP端口不可达、一去不复返
- nmap
nmap 1.1.1.1-254 -PU53 -sn
四层发现,不做端口扫描,只做主机发现
nmap 1.1.1.1-254 -PA80 -sn发送TCP ACK
nmap -iL iplist.txt -PA80 -sn
- hping
hping3 --udp 1.1.1.1 -c 1
端口扫描
端口对应网络服务和应用端程序
服务端程序的漏洞通过端口攻入
发现开放的端口
- nmap-udp扫描
nmap -sU 1.1.1.1
nmap 1.1.1.1 -sU -p 53
nmap -iL iplist.txt -sU -p 1-200
- 隐蔽扫描-syn
不建立完整连接
应用日志不记录扫描行为
- 僵尸扫描
极度隐蔽
实施条件苛刻
可伪造源地址
选择僵尸机—闲置系统、系统使用递增的IPID
- nmap-隐蔽端口扫描
nmap 1.1.1.1 -p1-100
可以加-sS参数
--open 只显示开放的端口
- hping3 1.1.1.1 --scan 80 -S
hping -c 10 -S --spoof 伪造源地址 -p ++1 目标IP
- nmap-全连接扫描
nmap -sT 1.1.1.1 -p 80
- dmitry
dmitry -p 1.1.1.1
- nc
nc -nv -w 1 -z 1.1.1.1 1-100
- nmap发现僵尸机
nmap -p445 192.168.1.133 --script=ipidseq.nse
- nmap扫描目标
nmap 172.16.36.135 -sI 僵尸IP -Pn -p0-100