20199317 2019-2020-3「ネットワーク攻撃と防御プラクティス「第3週の仕事

1.練習内容

1.1ネットワークキャピトル

ネットワークキャピトル（フットプリント）は、ネットワーク環境や情報セキュリティの目標を理解するために、ターゲット組織または個人へのステップによって計画され、ステップ、対象図形の完全な分析を得るための技術的なプロセスでは、攻撃者によって収集された情報を参照します。ダイアグラム解析の完全なの慎重な分析を通じて、攻撃者は、その後、さらなる攻撃のためのガイダンスを提供するために存在する可能性が弱いリンクターゲットを見つけることができるようになります。
ネットワーク技術の場所をチェックアウト：Web情報検索や鉱業、DNSやIPルックアップ、偵察ネットワークトポロジ

1.1.1 Web情報検索・鉱業

Webはインターネットの情報発信やサービスの提供で最も人気があり、WWW（ワールド・ワイド・ウェブ、WWW）は、議論の余地なく、世界最大の情報リポジトリとなっています。他の部分が不用意にWorld Wide Web上残っているデータと、それらのネットワークトレースであってもよいしばらく公に自らのイニシアチブを発表しているそのうちのいくつかは大量の情報に関連したWorld Wide Web上のいかなる組織や個人は、ありません。関連する情報を検索し、ワールド・ワイド・ウェブ（WWW）から対象を検索する攻撃者のために、インターネットは最も直接的な方法議事堂の一つです。
Googleは、検索インタフェースを進めました。

北のドメインネームサーバにできるだけ見つけるためにpku.edu.cn、クエリの言葉：「allinurl：-php -html -htm -asp -aspx -ppt -pdf -swf -doc -xlsサイト：pku.edu。 CN」、サイトを使用：以下に示すようにpku.edu.cnのクエリドメイン制限される範囲は、限定でクエリ結果に2つのホームページを取得するために、可能な限り、多くの非ホームページURLとして除外します：

以下に示すようにホストを見つけるために、リモートデスクトッププロトコル（RDP）を開いてオープン・サーバ、リモートデスクトップWeb接続を確認するには、攻撃者がパスワードを経由して、それらを破ることができ、あなたはRDPプロトコルを介して、完全なグラフィカルコンソールモードで、ターゲットサーバへのアクセスを得ることができます下記：

下に示すような情報を取得し、「edu.cnファイルタイプ：XLSのID番号サイト」Googleの検索ワード「：XLSクレジットカードのサイトedu.cnファイルタイプ」を使用し、学生のID番号とクレジットカード情報を見つけるために試してみてください。

ウェブ情報検索とマイニング注意事項：、組織または個人からの悪質な検索をハッカーを防ぐためにセキュリティのための組織に注意を払う必要がありますし、機密情報のプライバシーは任意の情報は、オンラインショッピングの行動必見を作り、オンライン個人的な匿名性を維持しようと、インターネット上に掲載べきではありませんウェブ検索で自分の足跡のためのGoogleのハッキング技術、定期的な単位と個人情報を習得するために、機密情報の意図しない開示の存在の発見が取られるべきである後に、個人情報を提供し、あなたはサイトは良い評判と信頼を持って選択する必要がありますそれらをクリアするアクション。

1.1.2 DNSやIPのルックアップ

DNSおよびIPインフラストラクチャ管理：
ICANNは、DNSドメイン名、ポート番号、DNSルートサーバーシステムの安定動作のためにも責任パラメータインデックスIPアドレスやネットワーク通信プロトコルなど、インターネット上での作業に割り当てられた識別子のいくつかのタイプの基礎を調整する責任を負いますこれらのグローバル一意識別子いることを確認し、間のマッピングを維持するために、それはインターネットの前提の正常な動作を確保するための鍵です。下に示すように、インターネット上のDNSおよびIPインフラストラクチャ管理階層：
DNS登録情報WHOISクエリ
DNS登録情報が同じデータベースに保存されているが、正式な登録事務所またはレジストラに散乱されていないデータベースを維持している、登録の仕組みを理解するためのWHOISクエリのドメイン名とドメイン管理の必要性を実行し、その後、階層を辿ります関係機関は、特定の登録情報を見つけるために、データベースを維持して、最も詳細な登録情報を導き出します。
例えばbaidu.com WHOIS登録情報照会、あなたは（http://www.internic.net/whois.html）下に示すように、登録情報に問い合わせ、ICANN WHOISサービスの保守からの問い合わせを開始することができます：

下に示すように、WHOISページと、このサイト（http://www.markmonitor.com）に基づいレジストラURL移動中に情報を表示するには、より詳細な情報を照会しました：

DNS：するDNSからIPマッピング
DNSドメイン名をIPアドレスからDNSサービスのマッピングを提供する、特定の違いに応じて、DNSサーバは、元のDNSサーバ権威DNSマッピング情報（権威ネームサーバ）に分割することができ、そしてISPは、アクセスを提供します再帰的なDNSサーバ（再帰とキャッシングネームサーバー）のユーザー。
権威DNSサーバーは、その構成は、クエリ内のWHOISドメイン登録情報に含まれ、全体のインターネット上で独自のドメイン権限を解決しなければなりません。
再帰的なDNSサーバは、主にISPから提供され、サーバは権威ではなく、IPアドレスとドメイン名の間のマッピング関係が保存されますが、クライアントのDNS要求を受信すると、要求バッファ中に存在する場合、最初にキャッシュをチェックのバッファ答えは直接の回答である、またはDNSサーバ、または再帰クエリ権威DNSサーバークエリによって他のキャッシュに最も権威のある答えを提唱し、前に答えた返信。
クライアントでは、nslookupを使用して、または掘るクライアントプログラムは、特定のDNSは、ドメイン名をIPアドレスにマッピングし照会することができます。
IP WHOISクエリ
のドメイン名とIP WHOISクエリのようなWHOISクエリ登録情報。特定のIPネットワークの割り当て及び登録者情報がそのようにのみ、各RIRおよびNIRデータベースに記録されているように、ICANN総務によって割り当てられたIPは、RIRおよびNIR特定分布とメンテナンス座標、組織アドレスASOの全体的な管理を担当してWHOISサーバはクエリの開始ポイントのIP登録情報として、RIRのランダムな選択を必要とし、それがどこRIR詳細な登録情報を見つけるに行くために私たちに教えてくれます。

1.1.3ネットワークトポロジの偵察

攻撃者は、Web情報検索や鉱業、DNSクエリおよびIPネットワーク技術の採用後、標的組織の位置を習得するために、さらに法的キャピトルの目標は、できるだけターゲットネットワークのトポロジを習得することです。偵察ネットワークトポロジの主な技術的手段で攻撃者があるのtraceroute。
ツールを実行するルート追跡のtracertクライアントプログラムは、UNIXライクなオペレーティング・システム・プラットフォーム上のWindowsプラットフォームやtracerouteです。、各ホップルーティングおよび転送のためのIPパケットのルーティングの規則に従って、降順の先頭から切り替えを順次宛先ホストIPにUDPパケットのシリーズを送信し、これらのパケットのTTLフィールド：彼らは同じ技術メカニズムを使用しますデバイスは、TTLフィールドを1だけデクリメントされるであろう、そして一旦TTLフィールドが0に低減される、パケットが転送されていない廃棄し、ソースIPアドレス、転送されていないUDPパケット、および意志にICMP時間超過メッセージに応答バックを送信します超過ICMP時間の送信元IPアドレスは、バック、応答メッセージを送信し、UDPパケットの宛先ポートがしばしばにくく、使用する値に設定され、ターゲットホストはポートを示す、端末の送信元IPアドレスにICMP宛先到達不能メッセージを返さ到達不能なので、トレースルート・プログラムは、ターゲット・ホスト上の各ルーティング経路をソースノードからIPアドレスを決定するために、すべて返さICMPパケットを聞くことができます。検出対象ネットワークの複数のターゲットホストをトレース同じルートを行った後、攻撃者は、ターゲット・ネットワークのトポロジー、及び識別対象のネットワークのゲートウェイ・アーキテクチャ図の各アクセス制御を描画、経路の経路情報を設定することができます。デバイスの配布場所。

1.2ネットワークスキャン

ネットワークがターゲット建物を決定するために、盗難偵察外部環境の前に国会議事堂の実装と同等であれば、ネットワークスキャンや部屋は人が住んで見つけて、ドアや窓に潜入するために利用可能なすべてのを見つけることです。
ネットワークの基本的な目的は、目標として多くの接続として見つけるために、ターゲットネットワークを検出した後、さらにプローブタイプを取得し、セキュリティの脆弱性やその他の情報の有無、さらなる攻撃のためのサポートを提供し、右対象チャネルを選択するためにスキャンされます。ネットワークスキャン技術の種類は次のとおりホストスキャン、ポートスキャン、オペレーティングシステムおよびネットワークサービスの識別、脆弱性スキャンなどです。

1.3ネットワークの列挙

ネットワークスキャン技術を使用して議会議事堂、攻撃者がサービスおよび既知のセキュリティ上の脆弱性を実行しているアクティブなターゲットホストを発見した後、彼らはターゲットのセキュリティインテリジェンス情報の収集から決定する必要があり、リモートの侵入攻撃の実装前に、彼らは通常意志より完全よりターゲットを絞っ特定されたサービスの既知の弱点を見つけるための探求は、本当に入り口を攻撃することができ、同様に重要なデータは、攻撃時に必要になることがあり、このプロセスは、ネットワーク列挙（列挙）です。
ネットワークの場所とネットワークアウト列挙チェック、ネットワークスキャン技術は、先に説明したが密接にリンクするだけでなく、明確な境界を持って、攻撃者のネットワーク技術キャピトル浸潤度の重要な違いの嘘で、ターゲットの番号を使用して境界ネットワーク内の場所をチェックアウトしています情報収集の技術とツールユニバーサルアプリケーション、および列挙は、ターゲットシステム上の問い合わせとのアクティブな接続が含まれ、それが記録されたり侵入検知システムのアラームをトリガする必要があります。標的型攻撃でネットワークスキャン技術の嘘との主な違いは、収集した情報で標的にされた、ネットワークスキャンは、ネットワーク内の攻撃の広い範囲で使用可能なターゲットホストやサービスを見つけること、およびネットワークが列挙であると言うことができます私たちは、実際の攻撃を開始するために必要な収集、特定の情報コンテンツをターゲット良好な標的を、選択しています。

2.練習

2.1ネットワークキャピトル

IPおよびDNSクエリ

タスクを1：google.comからDNSドメイン名を選択し、g.cn、baidu.com、sina.com.cnクエリは、以下の情報を取得します：

DNSの登録者と連絡先情報。
ドメインに対応するIPアドレス。
登録者と連絡先情報のIPアドレス。
ホスト国、都市、および特定の場所のIPアドレス。

私は、クエリを始めたあなたはICANNのWHOISサービスメンテナンス（http://www.internic.net/whois.html）で始めることができ、WHOIS登録情報の照会baidu.comを選んだ、登録情報へのクエリは以下のように：

次に、（http://www.markmonitor.com）次の図のように、より具体的な情報については、このウェブサイトに登録URL行くに従って、WHOIS情報のページを参照してください：

あなたがチャートから見ることができます：MarkMonitor社：DNSは、人を登録しました;連絡先は次のとおりです。レジストラ乱用連絡先メールアドレス：[email protected]（レジストラ乱用連絡先電話番号：1.2083895770）

その後、クエリgoogle.com IPアドレスにnslookupを使用します。

そして、ARINC WHOIS Webクエリサーバー（http://wq.apnic.net/apnic-bin/whois.pl）クエリ39.156.69.79は、次の通り：

結果は次の通り：

登録人工IPアドレス：haijun李、連絡先の詳細など：電話：+86 1052686688（fax-なし：+86 10 52616187）、IP アドレスの国：CN、都市：北京、および特定の地理的位置：29 、ジンロンアベニュー、西城地区。

タスク二つは：BBS、フォーラム、QQ、MSNのIPアドレスの友人を取得しようと、友人の特定の地理的位置のためのクエリが位置しています。

オープン> -声を見つけること>オープンQQ QQの友人-オープンWiresharkのパケットキャプチャツール、[インターネットのネットワークインタフェース- > Ctrl + Fを押し、「グループの詳細」と「文字列」、「020 048」を埋めるために、コンテンツを選択しますWiresharkの、検索をクリックして、データの検索が- >ドロップQQの声は
以下のようにデータをキャプチャ：

下記に示すように、IPインターネットの位置決めを、IPアドレス情報が発見されました。

2.2ネットワークスキャン

nmapの

タスク：使用オープンソースソフトウェアnmapのは、操作コマンドをドローン、質問に答えるための環境をスキャンし、与えるために：
？（1）ドローンIPアドレスが有効になっている
？（2）どのようなドローンオープンTCPおよびUDPポート
（3）ドローンどのようなオペレーティングシステム？バージョン？インストールされ
たネットワークサービスがドローンにインストールされている（4）？

カーリーホスト上にあるコンピュータのNmapの使用は、アクティブスキャンしていることを示しました。

nmapの-sS 192.168.200.124によってカーリー操作には次のようにして得られた、ポートのオープンTCPドローン：

次のようにnmapの-sU 192.168.200.124によってカーリー操作では、UDPポートオープンドローン得ました：

nmapの-sV 192.168.200.124によってカーリーに無人機のオペレーティングシステム情報とネットワークサービス情報を取得した次のとおり：

Nessusの脆弱性スキャン

タスク：使用無人偵察機のための環境をスキャンし、以下の質問に答えるためにNessusはオープンソースソフトウェア：
オープンどのポート（1）ドローン？
（2）ネットワークサービスに存在する各ポートセキュリティの脆弱性のドローンは何？
（3）あなたは思いますかどのようにシステムへのアクセスを得るために、ドローン環境をキャプチャする？
Nessusの脆弱性スキャナは、脆弱性スキャンソフトウェアの非常に包括的かつ完全な評価と見なすことができ、その目的は、リモートからターゲットホストの一連の存在を検出することができることですリモートの攻撃者がシステムにアクセスするか、サービスの脆弱性のTCP / IPプロトコルスタックの拒否のための情報、セキュリティの脆弱性、設定ミス、弱いパスワードやデフォルトのパスワードを盗むことを可能にする機能など、潜在的なセキュリティの脆弱性、。

ダウンロードNessusは本当に非常にゆっくりと。。。ドローンwindows2k、以下のようにして得られた脆弱性をスキャンします：

vunerabilityをクリックして、あなたはすべての脆弱性を見ることができます：

より具体的な展開は、あなたが特定の脆弱性情報を参照することができ、そしてそれを開いているポートを取得することができます：

2.3実用的な割り当て

インターネット上の検索エンジン自身の足跡を検索し、プライバシーや機密情報漏洩問題の存在を確認し、もしそうなら、解決策を提案します。
次のようにインターネット上で彼の名前を検索するには、私は、ブログの情報にクエリを書いた：

それはインターネットであるか、本当の名前をしようとしません。。。

本研究で遭遇3.問題と解決策

質問1：Googleのブラウザがインストールされていますが、入力がページに残っていない状態でアクセスGoogleにグーグル、URLにアクセスすることはできません。
問題1解決策：インストールされ、Googleのアクセスアシスタントをインストールするには、インターネットの必要性に発見し、それが正常にインタビューを設定します。
質問2：カーリーIPアドレスがアクティブなテスト・ドローン攻撃機では、このステップ、表示IPアドレスがアクティブドローンはありませんが、ドローンWindows2kは明らかにオープンし、その後のpingドローン、表示アドレスが到達不能です。
問題2解決策：後でのHoneywallはアクティブドローンを検出に成功開いて、開いていないことに気付きました。

4.練習の概要

この方法は、最も直感的な感覚は、それらのほとんどが私たちの無意識の中にある、しないようにしよう、私たちは、オンラインプロセスにおけるプライバシーの意識を高める伝える私たち自身の情報を、公開している、この情報化時代では、情報があまりにも深刻漏れたということである私を与えました本名、コンピュータウイルス、タイムリーな修理セキュリティの脆弱性に毎日注意。