✨ 🔭 網路偵察

網路偵察方法可以是被動的或主動的。

被動方法：漏洞賞金計劃，嗅探攻擊，監控模式，混雜模式，TCP/IP 堆疊指紋識別，足跡分析，蜜罐.

主動方法：網路列舉，網路掃描器，埠掃描，空閒掃描。駭客努力減少數字足跡

一個“無線”嗅探器可以找到IP 地址，這對於網路對映很有幫助。^[1]

接入點通常將無線網路的節點連線到有線網路作為橋接或路由器。^[2] 橋接和路由器都使用路由表來轉發資料包。^[3]

在攻擊網際網路上的組織時，找到相關且可達的 IP 地址是偵察階段的目標。 透過儘可能多地收集DNS 主機名並將它們轉換為 IP 地址和 IP 地址範圍來確定相關 IP 地址。 這稱為足跡分析。^[4]

一個搜尋引擎是找到有關目標儘可能多的資訊的關鍵。^[5] 在很多情況下，組織並不想保護其所有資源免受網際網路訪問。 例如，一個Web 伺服器必須可以訪問。 許多組織還擁有郵件伺服器，FTP 伺服器以及必須透過網際網路訪問的其他系統。^[6] 組織的 IP 地址通常分組在一起。 如果找到一個 IP 地址，那麼它周圍的其他 IP 地址可能也能找到。^[7]

域名伺服器儲存表，這些表顯示如何將域名轉換為 IP 地址，反之亦然。^[8] 在 Windows 中，可以使用命令NSLookup 來查詢 DNS 伺服器。 當在 NSLookup 的提示符中輸入 help 時，將顯示所有命令的列表。^[9] 在 Linux 中，可以使用命令 dig 來查詢 DNS 伺服器。 它在使用選項 -h 呼叫時會顯示選項列表。 並且命令 host 將 IP 地址反向解析為主機名。^[10] 程式nmap可以用作反向 DNS 遍歷器：nmap -sL 1.1.1.1-30 會給出給定範圍的反向條目。^[11]

ARIN、RIPE、APNIC、LACNIC 和 AFRINIC 是五個區域網際網路註冊機構，負責分配和註冊 IP 地址。 它們都擁有網站，可以搜尋其資料庫以查詢 IP 地址的擁有者。 一些註冊機構對搜尋組織名稱的響應是列出分配給該名稱的所有 IP 地址範圍。 但是，註冊機構的記錄並不總是正確的，在大多數情況下是無用的。^[12]

可能大多數連線到網際網路的計算機都透過DHCP動態獲取其 IP 地址。 由於可用 IP 地址減少以及動態大型網路增加，該協議在過去幾年中變得越來越流行。 DHCP 在許多員工將行動式計算機從一個辦公室帶到另一個辦公室時尤其重要。 人們在家中連線到網際網路使用的路由器/ 防火牆 裝置也可能充當 DHCP 伺服器。^[13]

如今，許多路由器/DHCP 裝置執行網路地址轉換 (NAT)。 NAT 裝置是本地網路和網際網路之間的閘道器。 從網際網路的角度來看，NAT 裝置似乎是一個單獨的主機。 使用 NAT，本地網路可以使用任何 IP 地址空間。 一些 IP 地址範圍是為私有網路保留的。 這些範圍通常用於 NAT 裝置後面的本地網路，並且分別是：10.0.0.0 - 10.255.255.255、172.16.0.0 - 172.31.255.255 和 192.168.0.0 - 192.168.255.255。^[14]

相關 IP 地址必須縮小到可達的那些地址。 為此，掃描過程就進入了視野。^[15]

一旦獲得了對無線網路的訪問許可權，確定網路拓撲結構（包括連線到網路的計算機名稱）將很有幫助。 Nmap 可以用於此目的，它有 Windows 版本和 Linux 版本。 但是，Nmap 不會向用戶提供網路圖。 在 Windows 上執行的網路掃描器 Network View 則可以做到。 該程式會要求一個 IP 地址或一個 IP 地址範圍。 當程式完成掃描後，它會使用不同的圖片顯示網路地圖，分別代表路由器、 工作站、 伺服器 和 筆記型電腦，並附上它們的名稱。^[16]

在LAN 上查詢主機的最直接方法是使用程式ping。 當使用現代版本的Unix 時，可以將 shell 命令組合起來以生成自定義的 ping 掃描。 當使用 Windows 時，也可以使用命令列來建立 ping 掃描。 例子在參考中給出。^[17]

ping 掃描也稱為主機掃描。 當新增選項 -sP 時，Nmap 可以用於主機掃描：nmap -n -sP 10.160.9.1-30 掃描子網 10.160.9 的前 30 個地址，其中 -n 選項會阻止反向 DNS 查詢。

Ping 包可以可靠地確定計算機是否線上，並指定其 IP 地址。如今，這些 ICMP 回聲請求包有時會被 作業系統 的防火牆阻止。雖然 Nmap 也會探測 TCP 埠 80，但在 ping 被阻止的情況下，建議指定更多 TCP 埠進行探測。因此，nmap -sP -PS21,22,23,25,80,139,445,3389 10.160.9.1-30 可以取得更好的結果。透過組合各種選項，例如 nmap -sP -PS21,22,23,25,80,135,139,445,1025,3389 -PU53,67,68,69,111,161,445,514 -PE -PP -PM 10.160.9.1-30，可以實現出色的主機掃描。

Nmap 可用於 Windows 和大多數 Unix 作業系統，並提供圖形和命令列介面。^[18]

埠掃描的目的是找出主機掃描中發現的計算機上的開放埠。^[19] 當在網路上啟動埠掃描而不使用主機掃描的結果時，當地址範圍內的許多 IP 地址為空時，會浪費很多時間。^[20]

大多數透過網際網路通訊的程式使用 TCP 或 UDP 協議。這兩種協議都支援 65536 個稱為埠，程式可以選擇繫結到這些埠。這允許程式在同一個 IP 地址上併發執行。大多數程式都有預設埠，這些埠最常被使用。例如，HTTP 伺服器通常使用 TCP 埠 80。

網路掃描程式嘗試連線到 TCP 或 UDP 埠。當埠接受連線時，可以假設通常繫結的程式正在執行。

TCP 連線從客戶端向伺服器傳送 SYN 資料包開始。伺服器以 SYN/ACK 資料包響應。最後，客戶端傳送一個 ACK 資料包。當掃描程式傳送 SYN 資料包並收到 SYN/ACK 資料包時，該埠被認為是開放的。當收到 RST 資料包時，該埠被認為是關閉的。當沒有收到響應時，該埠被認為是被防火牆過濾了，或者 IP 地址上沒有執行主機。

掃描 UDP 埠更困難，因為 UDP 不使用握手，並且程式傾向於丟棄它們無法處理的 UDP 資料包。當 UDP 資料包傳送到沒有程式繫結的埠時，將返回一個 ICMP 錯誤資料包。然後可以認為該埠已關閉。當沒有收到答覆時，可以認為該埠被防火牆過濾了或已開啟。許多人放棄了 UDP 掃描，因為簡單的 UDP 掃描程式無法區分過濾埠和開放埠。^[21]

雖然掃描所有 65536 個埠最為徹底，但這將比只掃描最常見的埠花費更多的時間。因此，Nmap 預設掃描 1667 個 TCP 埠（在 2007 年）。^[22]

-p 選項指示 Nmap 掃描指定的埠，例如 nmap -p 21-25,80,100-160 10.150.9.46。還可以指定 TCP 和 UDP 埠，例如 nmap -pT:21-25,80,U:5000-5500 10.150.9.46。^[23]

Nmap 始終需要指定要掃描的主機。單個主機可以使用 IP 地址或域名指定。多個主機可以使用 IP 地址範圍指定。例如 1.1.1.1、www.company.com 和 10.1.50.1-5,250-254。^[24]

TCP SYN 掃描 Nmap 預設執行 TCP SYN 掃描。在這種掃描中，資料包僅設定其 SYN 標誌。-sS 選項顯式指定預設值。當 Nmap 以管理員許可權啟動時，此預設掃描生效。當 Nmap 以使用者許可權啟動時，將執行連線掃描。

TCP 連線掃描 -sT 選項指示 Nmap 建立完整的連線。這種掃描不如之前的掃描好，因為它需要傳送額外的包，並且目標記錄的可能性更高。當 Nmap 以使用者許可權執行或掃描 IPv6 地址時，將執行連線掃描。

TCP 空掃描 -sN 選項指示 Nmap 傳送未設定 SYN、RST 和 ACK 標誌的任何資料包。當 TCP 埠關閉時，會返回一個 RST 資料包。當 TCP 埠開啟或被過濾時，沒有響應。空掃描通常可以繞過無狀態防火牆，但在使用有狀態防火牆時沒有用。

UDP 空資料包掃描 -sU 選項指示 Nmap 傳送沒有資料的 UDP 資料包。當返回 ICMP 錯誤時，可以假設該埠已關閉。當沒有收到響應時，可以假設該埠已開啟或被過濾。開放埠和過濾埠之間的不區分是一個嚴重的限制。

UDP 應用程式資料掃描 -sU -sV 選項指示 Nmap 使用應用程式資料進行應用程式識別。這種選項組合會導致非常慢的掃描。^[25]

指定掃描速度 當資料包傳送到網路的速度超過其處理能力時，資料包將被丟棄。這會導致不準確的掃描結果。當目標網路上存在入侵檢測系統或入侵防禦系統時，隨著速度的增加，檢測的可能性會更高。許多 IPS 裝置和防火牆透過啟用 SYN cookie 來響應 SYN 資料包的暴雨，使每個埠看起來都是開啟的。全速掃描甚至會對 有狀態網路裝置 造成破壞。

Nmap 提供了五種模板用於調整速度，並且它本身也會進行調整。-T0 選項使其在傳送下一個資料包之前等待 5 分鐘，-T1 選項使其等待 15 秒，-T2 插入 0.4 秒，-T3 是預設值（保持計時設定不變），-T4 減少超時和重傳以稍微加快速度，-T5 進一步減少超時和重傳以顯著加快速度。現代 IDS/IPS 裝置可以檢測使用 -T1 選項的掃描。使用者還可以定義一個新的設定模板，並使用它來代替提供的模板。^[26]

應用程式識別 -sV 選項指示 Nmap 還確定正在執行應用程式的版本。^[27]

作業系統識別 -O 選項指示 Nmap 嘗試確定目標的作業系統。特製的資料包被髮送到開放和關閉的埠，並將響應與資料庫進行比較。^[28]

儲存輸出 -oX <filename> 選項指示 Nmap 將輸出儲存到 XML 格式的檔案中。^[29]

另請參閱

Nmap

漏洞掃描確定目標是否存在已知的漏洞。漏洞是應用程式中的一個錯誤，會影響安全性。它們會在 Full-Disclosure 郵件列表 等地方公佈。 計算機應急響應小組 (CERT) 每年都會發布一份統計報告。

漏洞資料庫:

http://www.PacketStormSecurity.org/ — Packet Storm

http://www.exploit-db.com/ — The Exploit Database

https://www.offensive-security.com/metasploit-unleashed/information-gathering/

https://docs.rapid7.com/metasploit/discovery-scan

https://www.bettercap.org/modules/ethernet/net.recon/

https://www.bettercap.org/modules/ethernet/net.sniff/

https://www.bettercap.org/modules/ethernet/net.probe/

1. ↑ 無線安全手冊 by Aaron E. Earle, Auerbach Publications, 2006, page 301.
2. ↑ 安全力量工具 by Bryan Burns and others, O'Reilly Media, Inc., 2007, page 102.
3. ↑ Sams 教你自學 TCP/IP 在 24 小時內, 第 4 版, by Joe Casad, Sams, 2009, page 167.
4. ↑ Johnny Long 等人著，《滲透測試人員的開源工具包》，Syngress Publishing, Inc. 出版，2006 年，第 2-3、5-6 頁。
5. ↑ Johnny Long 等人著，《滲透測試人員的開源工具包》，Syngress Publishing, Inc. 出版，2006 年，第 36 頁。
6. ↑ Joe Casad 著，《Sams 教您在 24 小時內學習 TCP/IP》，第 4 版，Sams 出版，2009 年，第 178 頁。
7. ↑ Johnny Long 等人著，《滲透測試人員的開源工具包》，Syngress Publishing, Inc. 出版，2006 年，第 19、25 頁。
8. ↑ Joe Casad 著，《Sams 教您在 24 小時內學習 TCP/IP》，第 4 版，Sams 出版，2009 年，第 15 頁。
9. ↑ Joe Casad 著，《Sams 教您在 24 小時內學習 TCP/IP》，第 4 版，Sams 出版，2009 年，第 201-202 頁。
10. ↑ Ellen Siever 等人著，《Linux 入門》，第 6 版，O'Reilly Media, Inc. 出版，2009 年，第 116-117、197 頁。
11. ↑ Johnny Long 等人著，《滲透測試人員的開源工具包》，Syngress Publishing, Inc. 出版，2006 年，第 29 頁。
12. ↑ Johnny Long 等人著，《滲透測試人員的開源工具包》，Syngress Publishing, Inc. 出版，2006 年，第 26-27 頁。
13. ↑ Joe Casad 著，《Sams 教您在 24 小時內學習 TCP/IP》，第 4 版，Sams 出版，2009 年，第 215-217 頁。
14. ↑ Joe Casad 著，《Sams 教您在 24 小時內學習 TCP/IP》，第 4 版，Sams 出版，2009 年，第 61、223-224 頁。
15. ↑ Johnny Long 等人著，《滲透測試人員的開源工具包》，Syngress Publishing, Inc. 出版，2006 年，第 3、7 頁。
16. ↑ Chris Hurley 等人著，《WarDriving 與無線滲透測試》，Syngress Publishing, Inc. 出版，2007 年，第 112-115 頁。
17. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 87-88 頁。
18. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 34-37 頁。
19. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 37 頁。
20. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 35-36 頁。
21. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 32-33 頁。
22. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 37-39 頁。
23. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 38-39 頁。
24. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 40-42 頁。
25. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 42-44 頁。
26. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 45-47 頁。
27. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 49 頁。
28. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 49-50 頁。
29. ↑ Bryan Burns 等人著，《安全力量工具》，O'Reilly Media, Inc. 出版，2007 年，第 51 頁。