入侵过程-入侵阶段介绍(一)预攻击阶段
主要内容
入侵阶段包含:预攻击阶段、攻击阶段、后攻击阶段
预攻击阶段
信息收集
为实施攻击进行的提前探测活动,为后续攻击打下基础
这一阶段收集的信息包括:网络信息(域名、IP地址、网络拓扑)、系统信息(操作系统版本、开放的各种网络服务版本)、用户信息(用户标识、组标识、共享资源、即时通信软件账号、邮件账号)等
信息收集方式
被动收集
被动收集:在其他网络攻击组织的真实C&C与攻击中间节点(攻击基础设施),以及中间节点到被攻陷主机间的通信链路上进行信息收集和监听方式。
特点:需要收集方对所捕获的数据进行解密、解码等操作,以此还原数据的真实内容;同时也不宜被被收集方察觉。
主动收集
主动收集:与被动收集相似,收集数据的未知来源在攻击方掌握的攻击行动基础设施上进行,包括真实C&C
特点:信息收集方主动出击,攻陷其他攻击组织发动攻击行动的基础设施或真实C&C。由于是主动获取不需要进行数据解码的操作。
踩点和网络侦查
踩点
踩点:预先到某个地方进行考察,为后面正式工作做准备。
踩点过程:
①收集目标和所在网络的基础信息
②测试使用的操作信息各类型、版本、运行的平台软件、web服务的版本等
③使用如Whois,DNS查询,网络和组织查询等工具
④找到能够进一步发起攻击的安全漏洞
踩点的目的:
①踩点使攻击者能够了解组织完整的安全架构
②通过IP地址范围、网络、域名、远程访问点等信息,可以缩小攻击范围
③攻击者能够建立他们自己的相关目标组织安全性弱点的信息数据库,来采取下一步的入侵行动
④攻击者可以描绘出目标组织的网络拓扑图,分析最容易进入的攻击路径
踩点的途径:
①通过搜索引擎进行信息收集
②Nmap扫描命令
③网络查点
④漏洞扫描
⑤信息数据库与共享
渗透测试信息收集总结:
①确定要攻击的网站后,用whois工具查询网站信息,注册时间,管理员联系方式(电话、邮箱)
②使用nslookup、dig工具进行域名解析已得到IP地址
③查询得到的IP地址的所在地
④通过google搜集一些敏感信息。如网站目录、网站的特定类型文件
⑤对网站进行端口、操作系统、服务版本的扫描,用nmap -sV -O可以实现,更详细的可以用nmap -a
⑥在得到了目标的服务器系统,开放端口及服务版本后,使用Openvas/Nessus进行漏洞挖掘
⑦奖搜集到的所有信息进行筛选,得出有用的,做好记录
网络扫描
是一种自动化程序,用于检测主机的弱点和漏洞。是入侵防范最基本的工作,攻击者正是利用各种漏洞入侵系统。
网络扫描获取的信息
①发现存活主机、IP地址,以及存活主机开放的端口
②发现主机操作系统类型和系统结构
③发现主机开启的服务类型
④发现主机存在的漏洞
网络扫描主要技术
主机扫描技术
包括:ICMP Echo扫描、Non-Echo扫描、ICMP Sweep扫描、Broadcast ICMP扫描
ICMP Echo扫描:
**原理:**Ping的实现机制
Non-Echo扫描
发送一个ICMP TIMESTAMP REQUEST(type 13)或者ICMP ADDRESS MASK REQUEST(type 13)请求,看是否响应,可以突破防火墙,
ICMP Sweep扫描
使用多个ICMP 轮询,通过并行发送,同时探测多个目标主机,可以提高探测效率
Broadcast ICMP扫描
将ICMP请求包的目标地址设为广播地址或网络地址,则可以探测广播域或整个网络范围内的主机。
**缺点:**只适用于UNIX/Linux系统,Windows会忽略这种请求包;容易引起广播风暴。
嗅探
嗅探是指利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术,工作在网络的底层。
嗅探的原理
通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力。
一个合法的网络接口应只响应这样的两种数据帧:
①帧的目标区域具有和本地网络接口相匹配的硬件地址。
②帧的目标区域具有广播地址
软件主要有:sniffer
sniffer主要监听内容:口令、账户、信息数据、协议信息
漏洞扫描
漏洞扫描指基于漏洞的数据库,通过扫描等手段对指定的主机系统安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
原理:的漏洞扫描,通过远程检测目标主机TCP/IP不同端口的服务,记录目标主机给予的回答。还有一种方法通过模拟黑客攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱口令等
实现: 漏洞库匹配、插件(功能模块技术)技术(主机扫描、端口扫描、OS识别技术)、漏洞检测数据采集技术、智能端口识别、多种数据库自动化检查技术,数据库实例发现技术、多种DBMS的密码生成技术,提供口令**库,实现快速弱口令检测方法
主要软件 Appscan、AWVS