读书笔记（2）- 信息收集|扫描工具使用

（无图预警）

一、背景知识介绍

1.1 前情提要

信息收集是指通过各种方式获取目标网络和系统所需要的的信息，收集到的信息可以用于对信息系统的利用或者管理。

信息收集从攻击方的角度来看，一般要获取目标系统的域名、IP地址等，需要了解目标的在线情况、开放端口以及对应的服务程序、操作系统类型、系统是否存在漏洞、目标是否安装有安全防护系统等，通过这些信息，可以大致判断目标的安全状况，从而制定有效的入侵方案；从防守方的角度来看，就需要尽可能的阻止攻击方对其信息的收集。

从信息来源来看，信息收集可分为利用公开信息服务的信息收集和直接对目标进行扫描探测的信息收集两大类。

公开信息服务，Web网页、Whois和DNS等，这些平台中包含大量的信息，还可以使用搜索工具，再加上一些想象力，对一些关键词进行搜索，也可以获取到相关信息。

目标扫描探测，更直接，并且信息更具有实时性，通过“查询-响应”模式进行工作，可实时查询网络中活动主机的数量和地址，主机中开放的UDP和TCP端口，主机操作系统类型，主机和网络设备的安全漏洞，以及网络防护设备的访问控制列表（ACL）等。

本文包含对目标系统的公开信息、在线状态、开放端口和漏洞等信息的收集方法和手段。

1.2 信息收集技术

公开信息挖掘

Web网站：收集目标组织的地理位置、业务性质、员工信息、公司或个人的邮箱及电话等信息，通过关键字设置和搜索引擎工具甚至可获取该组织的归档文件、后台数据库等隐私信息。

Whois域名管理机构：可获得目标网站的注册机构、注册人信息及IP地址范围。

DNS服务器：通过信息查询可获得组织内部的DNS条目。

通过以上信息，攻击者可以结合社会工程学和攻击工具对目标实施针对性攻击。

扫描探测技术

扫描探测可以分为主机扫描探测法和漏洞扫描探测法。

主机扫描探测法用来查看目标网络中主机在线、开放端口及操作系统类型等情况；漏洞扫描探测法则主要查看目标主机的服务或应用程序是否存在安全方面的脆弱点。

1）主机扫描探测法

用于检测目标主机是否在线，主要有ARP主机扫描探测法、ICMP主机扫描探测法和TCP/UDP主机扫描探测法。

ARP扫描：向子网内的每台主机发送ARP请求包，若收到ARP响应包，则认为主机在线。ARP协议只在局域网有效，因此只适用于攻击者和目标机位于同一局域网段。

ICMP扫描：没有局域网的限制，向目标机发送ICMP请求报文，若收到相应的ICMP响应报文则认为目标在线。但由于该方法很常用，因此几乎所有的应用防火墙都会对ICMP请求报文进行过滤。

TCP/UDP扫描：对目标主机进行TCP或UDP的端口扫描，若目标开放端口则说明目标在线。

2）端口扫描探测法

用来检测在线目标系统开放的TCP和UDP端口，以便确定目标运行了哪些网络服务软件。

主要方法是向目标主机各个端口发送连接请求，根据返回的响应信息，判断端口的开放情况，得到开放的端口列表。进一步了解运行的服务功能，以便分析其可能存在的漏洞。

3）操作系统扫描探测法

往往安全漏洞都针对于特定的操作系统和版本，因此掌握系统类型和版本信息有助于漏洞的利用。

主要有两种方法进行操作系统识别，一是使用Banner这种服务程序可接收客户端正常连接后给出的欢迎信息，可以判断出服务的类型和版本；二是利用不同操作系统在实现TCP/IP协议栈时其细节上的差异，及TCP/IP指纹进行识别。

4）漏洞扫描探测法

利用漏洞扫描探测程序对目标存在的系统漏洞或应用程序漏洞进行扫描。漏洞扫描探测程序主要分为专用与通用两大类。

专用漏洞扫描探测程序主要用于对特定漏洞的扫描，如WebDav漏洞扫描探测程序。

通用漏洞扫描探测程序具有相对完整的漏洞特征数据库，可对大多数的已知漏洞进行扫描，如nessus、SSS（Security Shadow Scanner）和X-Scan等。

在实际操作中，直接使用扫描程序容易暴露，因此一般是选择合适的跳板主机对目标进行扫描探测。

在选择扫描探测工具时，一是要注意准确性，二是隐蔽性。

1.3 信息收集的防范和检测

1）配置路由器——更改设置，只允许特定系统（Web网站、FTP等）响应ICMP/UDP数据包。

2）配置防火墙——开启防火墙，禁用所有不必要的服务，添加自定义的防火墙规则。

3）安装软件——在网络内安装配置入侵检测系统，可对扫描探测数据包进行报警和记录；配置系统安全软件的漏洞补丁（病毒查杀软件）、端口扫描探测工具和自动化侦查工具。

4）配置操作系统——关闭不必要的服务，打开系统的自动更新以便接收下载最新的漏洞补丁。

5）数据包分析——对网络流量数据包进行抓取和分析，识别攻击者的扫描探测行为。

二、公开信息收集实验

2.1 实验目的和前期准备

本实验使用Google等搜索引擎访问目标网站，从中收集一些可能会对网站带来危害的公开信息；使用Whois服务查询网站的域名注册信息，收集目标网站的域名解析服务器信息。

在任意一台可以联网的主机上就可以进行，用到以下三种提供域名信息的服务型网站：①Bing（www.bing.com）；②Alexa（www.alexa.com）网站专门发布各类网站的世界排名，网站上提供目标网站的访问量、访问频率、访问者的分布和与目标网站有关联的网站等信息；③Whois（www.whois.com）网站可以查询域名相关信息。

2.2 实验步骤

查找目标网站域名

使用Bing搜索关键字，返回的结果中会显示网站域名。

从网站中获得公开信息

根据网站域名进入网站，一般在最下端的位置会显示公司的性质、地址、联系方式等信息。此外，网站的源码也会提供网站的设计及实现方面的细节，源码中的注释也包含网站的信息来源等信息。

获得目标网站的访问信息

通过在Alexa网站中进行目标域名的查询即可获得网站在互联网中的排名情况，网站的价值，网站的主要访问用户来源等信息。

获得网站的域名信息

网站域名、DNS服务器等由ICANN（Internet Corporation for Assigned Names and Numbers）非营利组织负责管理。使用Whois网站查询目标域名，就可以得到网站域名的注册信息，如注册公司、域名服务器、位置，注册的时间和过期时间等。

获得网站的DNS服务器信息

DNS服务器负责将域名解析为IP地址，如果DNS服务器的配置不够安全，可能会向攻击方泄露出其管理范围内的所有域名和IP地址的对应关系。

在命令行中输入nslookup进行查询，检测其是否返回域名与IP列表：

1）命令行输入“nslookup”；2）提示符下输入“server 目标DNS服务器名称”，将域名服务器切换到目标服务器中；3）输入“set type=any”，将查询选项设置为任意；4）输入“ls -d 目标DNS服务器名称”，查看结果。如果DNS服务器设置安全，那么将拒绝显示域名IP列表。

三、主机在线扫描探测实验

3.1 实验目的和前期准备

首先是要了解ARP和ICMP协议对主机进行扫描探测的原理，然后学会利用Nmap进行主机扫描，并利用Wireshark工具进行数据包分析。

实验环境为一台宿主机A，两台虚拟机B、C组成的局域网络，虚拟机网络配置为HostOnly模式。目标机为宿主机A以及虚拟机B（win7系统，关闭防火墙），攻击机为虚拟机C（win7系统）。使用工具包括Nmap和Wireshark。

Nmap最初是基于UNIX操作系统下的强大的命令行扫描探测工具，目前也支持Windows系统，在windows下，Nmap提供命令行扫描程序nmap.exe和GUI界面扫描程序zenmap.exe两种运行方式。本实验使用的是windows下的命令行Nmap工具。Nmap支持多种协议的扫描探测，也具有其他的延展的实用功能，是使用最广泛的扫描工具之一。链接：Nmap安装与使用&Windows下命令行Nmap的下载和安装

Wireshark是免费的网络协议检测程序，可用于获取网络数据包，支持UNIX和Windows。链接：Wireshark官网下载界面，贴一个Wireshark使用教程：https://www.cnblogs.com/lsdb/p/9254544.html，https://blog.csdn.net/gufenchen/article/details/97411780

3.2 实验步骤

安装Wireshark和Nmap

下载运行安装包即可。

运行Wireshark

选择要进行监听的网络适配器，当安装了多个网络适配器或者虚拟机时，会出现多项选择。

主机ARP扫描

即扫描探测网络中存在的主机

1）设置Wireshark，过滤无关数据包，在Filter中填写过滤项。然后开启嗅探。

2）利用Nmap进行ARP主机扫描，在cmd中，输入命令“nmap -sP xxx.xxx.xxx.xxx/yy”，其中xxx.xxx.xxx.xxx为网络地址，yy为子网掩码。该命令可以对目标网络进行主机扫描，查看该网络内的主机存活状态。

3）查看并分析嗅探结果，停止嗅探，查看结果，可以看到发起ARP扫描的主机地址，也可以看到哪些主机返回了ARP响应包。

主机ICMP扫描

1）设置Wireshark，设置Filter只截获ICMP数据包。开启嗅探。

2）利用Nmap进行ICMP扫描，即C对网络中的A和B进行扫描，使用ping命令，“ping IPA & ping IPB”。

3）查看并分析嗅探结果，cmd中的返回结果是：A显示请求超时，B可ping通。在Wireshark中停止嗅探，其中只截获到了C发送的ICMP请求数据包和B返回的ICMP响应包，没有A返回的ICMP响应包，这是因为A开启了防火墙，过滤了ICMP主机扫描的数据包。由此可得，不能完全依赖ICMP主机扫描的返回结果断定目标主机的在线情况。

四、对主机操作系统类型和端口的探测实验

4.1 实验目的和前期准备

加深对操作系统类型探测和端口扫描探测原理的认识，掌握Nmap进行以上探测的方法。

攻击机为虚拟机C，目标机为宿主机A。使用工具Nmap和Wireshark。

4.2 实验步骤

1）配置Wireshark

使Wireshark仅捕获攻击机（本机）与目标机通信的数据包，消除其他无关数据包的影响，方便结果分析。Filter

2）通过Nmap对主机进行端口扫描

打开cmd，输入命令“nmap -sS xxx.xxx.xxx.xxx”，其中xxx.xxx.xxx.xxx是目标机地址，对目标机进行SYN端口扫描，返回开放端口，和该端口使用的协议，该端口的状态，以及该端口对应的服务。

3）查看并分析嗅探结果

从Wireshark中查看捕获的数据包，可以从中了解到TCP SYN的扫描过程：首先，扫描器向目标端口发送SYN报文请求建立连接；接下来，如果目标端口开放，则对扫描器返回ACK确认报文；之后，扫描器不再回复，转而进行下一个端口的扫描，也就是不完成TCP的第三次握手，从而达到隐藏扫描行为的目的。

4）通过Nmap对目标系统进行操作系统类型探测

在cmd窗口中输入命令“nmap -O xxx.xxx.xxx.xxx”对目标机进行操作系统类型扫描。Nmap将不同操作系统在实现协议栈时的细微区别作为操作系统的指纹进行探测。Nmap按照概率从高到低，将所有可能的操作系统类型进行罗列。

五、X-Scan通用漏洞扫描实验

5.1 实验目的和前期准备

熟悉漏洞扫描工具X-Scan的使用，X-Scan可以对目标主机进行综合扫描，获得目标机的主机信息和漏洞情况。

X-Scan是一款采用多线程方式对指定IP地址段（或单机）进行安全漏洞检测，支持插件功能扩展的综合扫描器。扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞，后门、应用服务漏洞，网络设备漏洞，拒绝服务漏洞等20多个类。对于多数已知的漏洞，还会给出相应的漏洞描述、解决方案及详细描述的链接。支持nessus插件进行漏洞库的更新。

X-Scan在windows下的安装教程：https://jingyan.baidu.com/article/908080222aeb0bfd91c80fec.html

5.2 实验步骤

X-Scan配置

1）指定检测范围

“设置”-->“扫描参数”-->“检测范围”，输入目标IP地址或范围，点击确定。

2）设置扫描模块

可以设置计算机漏洞扫描方法和主机信息获取方法，“设置”-->“扫描参数”-->“全局设置”-->“扫描模块”，在其中进行选择。

3）插件设置

通过插件扩展提供最新系统漏洞的扫描，其格式可兼容诸如nessus等漏洞扫描器的漏洞检测脚本。用户可以下载最新的检测脚本，将其复制到X-Scan安装目录的“Script”子目录就可以对最新的漏洞类型进行检测。“设置”-->“扫描参数”-->“插件设置”-->“漏洞检测脚本设置”，对脚本列表进行设置。

X-Scan扫描

配置完毕之后，选择“文件”-->“开始扫描”，即可对目标进行漏洞扫描。

查看扫描报告

扫描结束后，X-Scan会自动以网页的形式弹出扫描报告，在扫描报告中可以看到目标主机的信息（操作系统类型、开放端口、服务类型等）和存在的漏洞，以及对漏洞的详细描述。