網(wǎng)絡(luò)偵察技術(shù)分析

2024年3月15日發(fā)(作者：你走后)

網(wǎng)絡(luò)偵察技術(shù)分析（一）

[本文原創(chuàng)，禁止任何形式的轉(zhuǎn)載]

一名嚴(yán)謹(jǐn)?shù)暮诳驮谌肭种皶?huì)先進(jìn)行網(wǎng)絡(luò)偵察及分析，以判斷可行性及應(yīng)采取的入侵

方法。我們今天就講一下一名黑客是如何進(jìn)行網(wǎng)絡(luò)偵察的。

首先，我們介紹一下安全管理的規(guī)范。一名好的網(wǎng)絡(luò)安全人員，應(yīng)該從兩個(gè)不同的角

度來(lái)分析網(wǎng)絡(luò)進(jìn)行安全評(píng)估：1、從黑客角度進(jìn)行思考，尋找現(xiàn)有的網(wǎng)絡(luò)漏洞，對(duì)網(wǎng)絡(luò)資源

加以保護(hù)；2、從安全管理者的角度進(jìn)行思考，尋找最佳途徑既可保障安全又不影響商業(yè)運(yùn)

作效率。

從安全管理者角度考慮，安全管理者知道網(wǎng)絡(luò)是如何配置的，更多從防火墻內(nèi)部發(fā)起

探測(cè)，關(guān)注內(nèi)部網(wǎng)絡(luò)的服務(wù)器和主機(jī)是否有異常情況，但黑客是不知道目標(biāo)網(wǎng)絡(luò)的配置情

況，他們是從防火墻外部進(jìn)行攻擊/滲透的，所以一名合格的安全管理者還要從防火墻外部

進(jìn)行滲透看是否能穿透防火墻而控制網(wǎng)絡(luò)主機(jī)。

如圖：

從安全顧問(wèn)角度考慮，首先要從不知情者的角度加以定位，然后以內(nèi)部知情人的角度

來(lái)評(píng)估網(wǎng)絡(luò)安全

如圖：

下面我們看一下不同基點(diǎn)的安全管理結(jié)構(gòu)：

首先我們介紹一下基于網(wǎng)絡(luò)的安全管理結(jié)構(gòu)。

如圖：

由圖可知，基于網(wǎng)絡(luò)的管理產(chǎn)品將軟件安裝在一臺(tái)服務(wù)器上，由它來(lái)向網(wǎng)絡(luò)提出查詢，

提出查詢的要求，其中主機(jī)往往是管理者，掃描網(wǎng)絡(luò)上所有可疑的活動(dòng)。在這種結(jié)構(gòu)下每

臺(tái)計(jì)算機(jī)被動(dòng)的響應(yīng)查詢，優(yōu)點(diǎn)是主機(jī)并不知道被監(jiān)視，缺點(diǎn)是監(jiān)視端口會(huì)對(duì)交換機(jī)的性

能產(chǎn)生影響

我們?cè)俳榻B一下基于主機(jī)級(jí)的安全管理結(jié)構(gòu)。

如圖：

由圖可知，這是一種分層管理體系，一層是圖形界面，二層是管理者，通過(guò)代理發(fā)出

查詢請(qǐng)求，從代理收集信息進(jìn)行顯示，三層是安裝在每臺(tái)主機(jī)上的代理。可安裝SNMP輔

助管理。

安全審計(jì)的三個(gè)階段：

對(duì)于安全管理的幾個(gè)概念我們介紹完了，我們看一下網(wǎng)絡(luò)攻擊的動(dòng)機(jī)。隨著木馬/病毒

及黑客技術(shù)的商業(yè)化，網(wǎng)絡(luò)攻擊行為越來(lái)越多的是為了名利目的。現(xiàn)在所存在的主要?jiǎng)訖C(jī)

為：偷取國(guó)家機(jī)密、商業(yè)競(jìng)爭(zhēng)行為、內(nèi)部員工對(duì)單位的不滿、對(duì)企業(yè)核心機(jī)密的企望、網(wǎng)

絡(luò)接入帳號(hào)/信用卡號(hào)等金錢利益的誘惑、利用攻擊網(wǎng)絡(luò)站點(diǎn)而出名、對(duì)網(wǎng)絡(luò)安全技術(shù)的挑

戰(zhàn)、對(duì)網(wǎng)絡(luò)的好奇心。

攻擊的一般步驟分為三步：預(yù)攻擊、攻擊和后攻擊。

如圖：

預(yù)攻擊階段的行為及目的：端口掃描、漏洞掃描、操作系統(tǒng)類型鑒別、網(wǎng)絡(luò)拓?fù)浞治?

攻擊階段的主要攻擊行為：緩沖區(qū)溢出攻擊、操作系統(tǒng)漏洞、應(yīng)用服務(wù)缺陷、腳本程

序漏洞攻擊、口令攻擊、錯(cuò)誤及弱配置攻擊、網(wǎng)絡(luò)欺騙與劫持攻擊

后攻擊階段：安裝后門木馬、痕跡擦除

另外還有一些其它攻擊種類如：拒絕服務(wù)攻擊、嗅探攻擊、惡意網(wǎng)頁(yè)攻擊、社會(huì)工程

攻擊等。

下面，我們就進(jìn)入正題，看一下黑客是如何進(jìn)行有效的信息收集的——信息收集技術(shù)

也就是網(wǎng)絡(luò)偵察技術(shù)。

1、Whois。Whois是一種internet的目錄服務(wù)，它提供了在internet上的一臺(tái)主機(jī)

或某個(gè)域所有者的信息，比如管理員姓名、通信地址、電話號(hào)碼、Email信息、Primary

和Secondary域名服務(wù)器信息。常用的Whois命令是[root@redhat-6 /root]# whois

。現(xiàn)在一些網(wǎng)站也提供了Whois功能，效果是一樣的，以本站為例，查詢結(jié)果

如下：

Domain Name:

Registrar: XIN NET TECHNOLOGY CORPORATION

Whois Server:

Referral URL:

Name Server:

Name Server:

Status: clientDeleteProhibited

Status: clientTransferProhibited

Status: clientUpdateProhibited

Updated Date: 25-p-2007

Creation Date: 29-jul-2003

Expiration Date: 29-jul-2008

>>> Last update of whois databa: Sun, 06 Jan 2008 17:13:44 UTC <<<

2、nslookup（我最喜歡的信息收集方法）。它是Windows操作系統(tǒng)自帶的DNS排

錯(cuò)工具，使用此DNS服務(wù)器做域名解析到所有主機(jī)名和IP地址的映射情況，可測(cè)試正向

區(qū)域及反向區(qū)域。（區(qū)域傳送指的是在多個(gè)DNS服務(wù)器之間復(fù)制區(qū)域數(shù)據(jù)庫(kù)文件的過(guò)程。）

因?yàn)閚slookup命令不是死命令，而是一種固定模式+測(cè)試者習(xí)慣的命令，我們?cè)诖瞬蛔鼋?/p>

紹。相關(guān)基礎(chǔ)命令可在網(wǎng)上查詢。

3、Host命令。它是一種UNIX提供的有關(guān)Internet域名查詢的命令，可以實(shí)現(xiàn)區(qū)域

傳送、、獲得名稱解析信息、得知域中郵件服務(wù)器的信息等功能。常用的三個(gè)參數(shù)：

參數(shù) –v 顯示更多信息

參數(shù) –l 實(shí)現(xiàn)區(qū)域傳送

參數(shù) –t 查詢特定的DNS記錄

例：

[root@redhat-6 /root]# host -l -v

rcode = 0 (Success), ancount=2

Found 1 address for M

Found 1 address for

Trying 61.128.193.25

3600 IN NS

3600 IN NS

3600 IN A

3600 IN A 210.77.

3600 IN A 61.128.

3600 IN A 210.77.

3600 IN A

4、Traceroute命令。可用于路由跟蹤，判斷從你的主機(jī)到目標(biāo)主機(jī)經(jīng)過(guò)哪些路由器、

跳計(jì)數(shù)、響應(yīng)時(shí)間等等。根據(jù)反饋數(shù)據(jù)可以推測(cè)出網(wǎng)絡(luò)物理布局、判斷出響應(yīng)較慢的節(jié)點(diǎn)

和數(shù)據(jù)包在路由過(guò)程中的跳數(shù)。Traceroute 或者使用極少被其它程序使用的高端UDP端

口，或者使用PING數(shù)據(jù)包。我們以圖示Traceroute 路由跟蹤原理：

網(wǎng)絡(luò)偵察技術(shù)分析

網(wǎng)絡(luò)偵察技術(shù)分析（二）

[本文原創(chuàng)，禁止任何形式的轉(zhuǎn)載]

掃描與偵察：

按照獲得結(jié)果分類，分為存活性掃描、端口掃描及系統(tǒng)堆棧掃描。

按照攻擊者角色分類，分為主動(dòng)掃描和被動(dòng)掃描。

安全掃描的檢測(cè)技術(shù)分類：

基于應(yīng)用的檢測(cè)技術(shù)，它采用被動(dòng)的，非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)

安全漏洞。

基于主機(jī)的檢測(cè)技術(shù)，它采用被動(dòng)的，非破壞性的辦法對(duì)系統(tǒng)進(jìn)行檢測(cè)。

基于目標(biāo)的漏洞檢測(cè)技術(shù)，它采用被動(dòng)的，非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，

如數(shù)據(jù)庫(kù)，注冊(cè)號(hào)等。

基于網(wǎng)絡(luò)的檢測(cè)技術(shù)，它采用積極的，非破壞性的辦法來(lái)檢驗(yàn)系統(tǒng)是否有可能被攻擊

崩潰

安全掃描系統(tǒng)具有的功能：協(xié)調(diào)了其它的安全設(shè)備、使枯燥的系統(tǒng)安全信息易于理解，

告訴了你系統(tǒng)發(fā)生的事情、跟蹤用戶進(jìn)入，在系統(tǒng)中的行為和離開的信息、可以報(bào)告和識(shí)

別文件的改動(dòng)、糾正系統(tǒng)的錯(cuò)誤設(shè)置、識(shí)別正在受到的攻擊、減輕系統(tǒng)管理員搜索最近黑

客行為的負(fù)擔(dān)、使得安全管理可由普通用戶來(lái)負(fù)責(zé)、為制定安全規(guī)則提供依據(jù)。

通常的檢測(cè)項(xiàng)目：已知的服務(wù)漏洞、缺省安裝、不安全的網(wǎng)絡(luò)管理、弱口令、不正確

的服務(wù)器配置、網(wǎng)絡(luò)拓?fù)涞娜毕荨⑿畔⑿孤⑿畔⑷毕荨⑽词跈?quán)的設(shè)備和服務(wù)、可管理的

設(shè)備、加密機(jī)制、額外的用戶權(quán)限、已知的軟件版本漏洞、防火墻自身的安全性和 、穩(wěn)定

性。

下面，我們根據(jù)掃描分類介紹以下各種掃描技術(shù)。

1、存活性掃描。己方發(fā)送掃描數(shù)據(jù)包，等待對(duì)方的回應(yīng)數(shù)據(jù)包，其最終結(jié)果并不一定

準(zhǔn)確，依賴于網(wǎng)絡(luò)邊界設(shè)備的過(guò)濾策略。最常用的探測(cè)包是ICMP數(shù)據(jù)包。例如發(fā)送方發(fā)

送ICMP Echo Request，期待對(duì)方返回ICMP Echo Reply。

2、端口掃描。這是最流行的掃描方法，眾多的初學(xué)安全的朋友常用此方法抓肉雞。我

們著重講解。

先看一下掃描圖。

一個(gè)端口就是一個(gè)潛在的通信通道，即入侵通道。黑客就是對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃

描，得到有用的信息。掃描的方法分為手工掃描和軟件掃描兩種。如果是用軟件掃描，那

沒什么可講的了，軟件可以幫你自動(dòng)掛馬并告訴你什么樣的漏洞等等。如果是手工掃描呢？

返回的是數(shù)據(jù)包，因此，我們必須要會(huì)一些常識(shí)性的數(shù)據(jù)包分析了。以下給出幾種類型的

數(shù)據(jù)包頭結(jié)構(gòu)圖：

IP

頭:

協(xié)議包

ICMP

協(xié)議包頭：

TCP協(xié)議包頭：

UDP協(xié)議包頭：

TCP三次握手機(jī)制圖：

TCP連接的終止：

一個(gè)TCP頭包含6個(gè)標(biāo)志位。

SYN：標(biāo)志位用來(lái)建立連接，讓連接雙方同步序列號(hào)。如果SYN＝1而ACK=0，則表

示該數(shù)據(jù)包為連接請(qǐng)求，如果SYN=1而ACK=1則表示接受連接；

FIN：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接；

RST：用來(lái)復(fù)位一個(gè)連接。RST標(biāo)志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果TCP

收到的一個(gè)分段明顯不是屬于該主機(jī)上的任何一個(gè)連接，則向遠(yuǎn)端發(fā)送一個(gè)復(fù)位包；

URG：為緊急數(shù)據(jù)標(biāo)志。如果它為1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時(shí)緊急數(shù)據(jù)

指針有效；

ACK：為確認(rèn)標(biāo)志位。如果為1，表示包中的確認(rèn)號(hào)時(shí)有效的。否則，包中的確認(rèn)號(hào)

無(wú)效；

PSH：如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。

給大家介紹一款能穿透網(wǎng)絡(luò)邊緣安全設(shè)備的掃描程序：NMAP。Nmap被稱為“掃描

器之王”，有for Unix和for Win的兩種版本，需要Libpcap庫(kù)和Winpcap庫(kù)的支持，

能夠進(jìn)行普通掃描、各種高級(jí)掃描和操作系統(tǒng)類型鑒別等。

它對(duì)網(wǎng)絡(luò)的偵查十分有效，具有非常靈活的TCP/IP堆棧指紋引擎并可以穿透網(wǎng)絡(luò)邊緣

的安全設(shè)備。（NMAP穿透防火墻的一種方法是利用碎片掃描技術(shù)（fragment scans），你

可以發(fā)送隱秘的FIN包（-sF），Xmas tree包（-sX）或NULL包（-sN）。這些選項(xiàng)允許

你將TCP查詢分割成片斷從而繞過(guò)防火墻規(guī)則。這種策略對(duì) 很多流行的防火墻產(chǎn)品都很

有效）。

使用命令：

使用

-sS：半開式掃描

-sT:普通connect()掃描

-sP 存活掃描

-sU：udp端口掃描

-O：操作系統(tǒng)鑒別

-P0：強(qiáng)行掃描（無(wú)論是否能夠ping通目標(biāo)）

-p：指定端口范圍

-v：詳細(xì)模式

舉例

namp –sT 192.168.50.11 –p 80

namp –sX 192.168.50.11 –p 80,23

namp –sP 192.168.50.1/24

講到這里，我們不得不講一下TCP/IP所遵循的選擇，也是端口掃描的原則：

3、堆棧指紋掃描。它是利用TCP/IP來(lái)識(shí)別不同的操作系統(tǒng)和服務(wù) 向系統(tǒng)發(fā)送各種

特殊的包，根據(jù)系統(tǒng)對(duì)包回應(yīng)的差別，推斷出操作系統(tǒng)的種類。堆棧指紋程序利用的部分

特征： ICMP錯(cuò)誤信息抑制、服務(wù)類型值(TOS)、TCP/IP選項(xiàng)、對(duì)SYN FLOOD的抵抗力、

TCP初始窗口。

堆棧指紋的應(yīng)用:利用FIN探測(cè)、利用TCP ISN采樣、使用TCP的初始化窗口、ICMP

消息抑制機(jī)制、ICMP錯(cuò)誤引用機(jī)制、ToS字段的設(shè)置、DF位的設(shè)置、ICMP錯(cuò)誤信息回

顯完整性 、TCP選項(xiàng) 、ACK值。

詳細(xì)講解：

利用FIN探測(cè)：

利用BOGUS標(biāo)記探測(cè)：

利用TCP ISN采樣：這是利用尋找初始化序列長(zhǎng)度模板與特定的操作系統(tǒng)相匹配的方

法。

利用它可以對(duì)許多系統(tǒng)分類，如較早的UNIX系統(tǒng)是64K長(zhǎng)度。一些新的UNIX 系統(tǒng)

則是隨機(jī)增長(zhǎng)的長(zhǎng)度（Solaris,IRIX,FreeBSD,DigitalUnix,Cray等）或者可以使用

DontFragment位：許多操作系統(tǒng)在發(fā)送的包里使用這個(gè)位，由此可以確定操作系統(tǒng)的類

型。

使用TCP的初始化窗口 :簡(jiǎn)單地檢查返回包里包含的窗口長(zhǎng)度。根據(jù)各個(gè)操作系統(tǒng)的

不同的初始化窗口大小來(lái)唯一確定操作系統(tǒng)類型(TCP使用滑動(dòng)窗口為兩臺(tái)主機(jī)間傳送緩

沖數(shù)據(jù)。每臺(tái)TCP/IP主機(jī)支持兩個(gè)滑動(dòng)窗口，一個(gè)用于接收數(shù)據(jù)，另一個(gè)用于發(fā)送數(shù)據(jù)。

窗口尺寸表示計(jì)算機(jī)可以緩沖的數(shù)據(jù)量大小。)

ToS字段的設(shè)置：IP首部的ToS字段用來(lái)指示可靠性、預(yù)延遲、通過(guò)量參數(shù)

現(xiàn)在大多數(shù)的TCP/IP實(shí)現(xiàn)都不支持TOS特性，但是自4.3BSD Reno以后的新版系

統(tǒng)都對(duì)它進(jìn)行了設(shè)置。另外，新的路由協(xié)議如OSPF和IS-IS都能根據(jù)這些字段的值進(jìn)行

路由決策。對(duì)于ICMP的“端口不可到達(dá)”信息，經(jīng)過(guò)對(duì)返回包的服務(wù)類型（TOS）值的

檢查，幾乎所有的操作系統(tǒng)使用的是ICMP錯(cuò)誤類型0，而Linux使用的值是0xC0。

ACK值：操作系統(tǒng)在ACK域值的實(shí)現(xiàn)也有所不同,向一個(gè)關(guān)閉的TCP端口發(fā)送一個(gè)

FIN|PSH|URG包，許多操作系統(tǒng)會(huì)將ACK值設(shè)置為ISN值，但Windows和某些打印機(jī)

會(huì)設(shè)置為q+1

安全掃描技術(shù)的發(fā)展趨勢(shì)：

1、使用插件（plugin）或者叫功能模塊技術(shù)。每個(gè)插件都封裝一個(gè)或者多個(gè)漏洞的測(cè)

試手段，主掃描程序通過(guò)調(diào)用插件的方法來(lái)執(zhí)行掃描，僅僅是創(chuàng)建新的插件就可以使軟件

增加新功能，掃描更多漏洞。

2、使用專用腳本語(yǔ)言。一種更高級(jí)的插件技術(shù)，可以使用專門語(yǔ)言來(lái)擴(kuò)充軟件功能。

3、由安全掃描程序到安全評(píng)估專家系統(tǒng)。將掃描結(jié)果整理，形成報(bào)表，對(duì)具體漏洞提

出一些解決方法。未來(lái)的安全掃描系統(tǒng)，不僅能掃描漏洞，還能智能化的協(xié)助網(wǎng)絡(luò)信息管

理人員進(jìn)行安全評(píng)估，給出安全建議，成為安全評(píng)估專家系統(tǒng)。

操作系統(tǒng)識(shí)別技術(shù)

操作系統(tǒng)指紋掃描技術(shù)是安全掃描技術(shù)的一個(gè)重點(diǎn)。不同的操作系統(tǒng)有著不同的漏洞

和薄弱環(huán)節(jié)，操作系統(tǒng)指紋掃描的目的就是為了鑒別出目標(biāo)主機(jī)所使用的操作系統(tǒng)類型，

從而確定后續(xù)的攻擊或防御方法，縮小嘗試的范圍。例如，采用攻擊IIS方法去突破一臺(tái)

Linux主機(jī)，肯定不會(huì)有任何結(jié)果；同樣對(duì)。Macintosh進(jìn)行nd。mail攻擊也將一無(wú)

所獲。由此可知，對(duì)攻擊而言，操作系統(tǒng)指紋掃描是前奏，是攻擊前的準(zhǔn)備階段；從防御

角度來(lái)講，操作系統(tǒng)指紋掃描有助于了解攻擊方會(huì)采用哪些攻擊方法，從而做到有針對(duì)性

的防御。

棧指紋識(shí)別是最早從技術(shù)角度研究如何識(shí)別遠(yuǎn)程操作系統(tǒng)的。所謂棧指紋識(shí)別是指通

過(guò)分析遠(yuǎn)程主機(jī)操作系統(tǒng)實(shí)現(xiàn)的協(xié)議堆棧對(duì)不同請(qǐng)求的響應(yīng)來(lái)區(qū)分其系統(tǒng)。TCP／IP棧指

紋是指

操作系統(tǒng)的TCP／IP堆棧對(duì)不同請(qǐng)求在響應(yīng)上的差別，而其后出現(xiàn)的ICMP棧指紋是

指操作系統(tǒng)的ICMP堆棧對(duì)不同請(qǐng)求在響應(yīng)上的差異。

當(dāng)前幾乎所有操作系統(tǒng)網(wǎng)絡(luò)部分的實(shí)現(xiàn)都是基于同樣的TCP／IP協(xié)議體系標(biāo)準(zhǔn)，那為

什么遠(yuǎn)程操作系統(tǒng)還可以被識(shí)別呢?究其原因，主要有以下幾點(diǎn)。

(1)每個(gè)操作系統(tǒng)通常都會(huì)使用它們自己的IP棧。由于技術(shù)上的相互保密和各個(gè)公司自

身利益以及操作系統(tǒng)安全性的考慮，IP棧的實(shí)現(xiàn)都是在RFC標(biāo)準(zhǔn)文檔的基礎(chǔ)上自行開發(fā)研

制的，因此必然存在不一致的想法和實(shí)現(xiàn)方法。

(2)TCP／IP規(guī)范并不是被嚴(yán)格的執(zhí)行，每個(gè)不同的實(shí)現(xiàn)都擁有它們自己的特性。同樣

由于各公司都是白行開發(fā)，即使TCP／IP規(guī)范中提到的方方面面，由于理解上的不同，實(shí)

現(xiàn)的結(jié)果也是不同的。另外根據(jù)實(shí)現(xiàn)技術(shù)的難易程度，許多規(guī)范上要求的規(guī)則可能在具體

實(shí)現(xiàn)上被其他簡(jiǎn)易的方法所代替，這也造成相互之間的差異。

(3)規(guī)范可能被打亂，一些選擇性的特性被使用，而其他的一些系統(tǒng)則可能沒有使用。

TCP／IP規(guī)范中存在許多可選的特性，可以由廠家自行選擇是否需要實(shí)現(xiàn)，這些選擇性規(guī)

則也

是分辨操作系統(tǒng)的一個(gè)重要的方面。

(4)某些私自對(duì)IP的改進(jìn)也可能被實(shí)現(xiàn)，這就成為了某些操作系統(tǒng)的特性。

操作系統(tǒng)在協(xié)議實(shí)現(xiàn)上的不同就像人類的指紋，每個(gè)人都有指紋，但是沒有兩個(gè)人的

指紋是相同的。通過(guò)對(duì)不同操作系統(tǒng)的TCP／IP棧和ICMP存在的細(xì)微差異來(lái)判定操作系

統(tǒng)類型和版本的技術(shù)，就類似于人們應(yīng)用指紋來(lái)標(biāo)明是否是同一個(gè)人一樣，可以清楚地將

其分開來(lái)。操作系統(tǒng)指紋掃描更多時(shí)候是為攻擊者所利用。通過(guò)指紋掃描獲知對(duì)方操作系

統(tǒng)的類型和版本，其相關(guān)漏洞和薄弱點(diǎn)就一目了然，其上安裝的應(yīng)用軟件的范圍也可以大

大縮小，從而可以在很大程度上提高攻擊的速度并能迅速突破對(duì)方的安全保護(hù)，達(dá)到預(yù)期

的目的