应对黑客攻击最可靠的方案（黑客实施攻击-攻击的准备阶段）

网络攻击分为3个阶段：攻击的准备阶段、攻击的实施阶段和攻击的善后阶段。

1. 攻击的准备阶段

做好三件事：确定攻击目标：选择被攻击的目标主机。收集被攻击对象的信息：如目标机IP地址、操作系统类型和版本等。利用适当的工具进行扫描：收集适当的工具扫描目标，发现安全漏洞。

（1） 网络信息收集

网络信息收集，黑客为了有效实施攻击、在攻击前或攻击过程中对目标主机的所有探测活动，也被称为踩点(foot printing)，踩点原意为策划一项盗窃活动的准备阶段。

举例，盗贼决定抢劫一家银行，他们不会大摇大摆地走进去直接要钱，而是狠下一番功夫来搜集这家银行的相关信息，包括武装押运车的路线及时间、摄像头的位置、逃跑出口等。

在黑客攻击领域，踩点是传统概念的电子化形式。

⑴踩点

踩点主要目的是获取目标的如下信息：目标主机域名，IP地址，操作系统类型、开放了哪些端口、端口运行的应用程序、应用程序有没有漏洞，域名服务器、邮件交换主机和网关等关键系统的位置及软硬件信息。

内联网和Internet类似，主要关注内部网络的独立地址空间及名称空间，远程访问模拟/数字电话号码和VPN访问点，外联网与合作伙伴及子公司的网络连接地址、连接类型及访问控制机制，开放资源未列出的信息例如Usenet、雇员配置文件等。

为达到以上目的，黑客常采用以下技术。

①开放信息源搜索

通过标准搜索引擎，揭示一些有价值的信息。

Usenet工具检索新闻组newsgroup工作帖子，揭示许多有用东西。

google检索Web根路径c:\\inetpub，目标系统为Windows2003。

一些配置粗心的服务器，搜索引擎可以获得passwd等安全信息。

踩点利用Ping、ARP、Tracert、Route和netstat信息收集命令获得目标数据。

Ping命令，检查网络是否通畅或者网络连接速度，结果值越大，说明速度越慢。

Ping命令给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包；根据返回的数据包可以确定目标主机的存在，初步判断目标主机的操作系统等。

Ping/?可查询Ping命令参数。Ping命令可以直接Ping IP地址，也可以Ping主机域名。

ARP协议Address Resolution Protocol，地址解析协议。

ARP基本功能，通过目标设备IP地址，查询目标设备的网卡MAC地址，同时将IP地址和MAC地址存入本机ARP缓存，下次请求时直接查询ARP缓存。

ARP命令人工输入静态的网卡物理/IP地址对，可为缺省网关和本地服务器等常用主机进行设置，有助于减少网络上的信息量。图4-3显示IP地址和MAC地址。

Tracert命令作为一个路由跟踪、诊断实用程序，通过发送Internet控制消息协议ICMP回显请求和回显答复消息，产生关于经过每个路由器的命令行报告输出，从而跟踪路径。

通常用于测试网络的连通性，确定故障位置。通过对Tracert路由跟踪数据包的精确解析，完整了解Tracert命令的运行过程，图4-4显示本机到www.yahoo.com的所有路由器列表。

Route命令用来显示、人工添加和修改路由表项。

Route常见用法，route print显示路由表中的当前项目，在单路由器网段上的输出；由于用IP地址配置了网卡，因此所有的这些项目都是自动添加的。图4-5显示route print命令的使用。

Netstat命令用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

Netstat可以用来获得你的系统网络连接的信息，收到和发出的数据，被连接的远程系统的端口，netstat在内存中读取所有的网络信息。netstat –a命令的运行结果如图4-6所示。

②Whois查询。

Whois是目标Internet域名注册数据库。

域名com、net、edu和org等查询http://www.networksolutions.com

美国以外的域名查询http://www.allwhois.com得到相应whois数据库服务器的地址后完成进一步查询。

黑客查询whois数据库，能够得到攻击的重要信息：

注册机构，得到特定注册信息和相关whois服务器；

机构本身，得到与特定目标相关全部信息；

域名，得到与某个域名相关全部信息；

网络，得到与某个网络或IP相关的全部信息；

联系点(POC)，得到与某个人的相关信息。

③DNS区域传送。

DNS区域传送是一种DNS服务器的冗余机制。

辅DNS服务器能够从主DNS服务器更新自己的数据，以便主DNS服务器不可用时，辅DNS服务器能够接替主DNS服务器工作。

正常情况下，DNS区域传送只对辅DNS服务器开放。

当系统管理员配置错误时，将导致任何主机均可请求主DNS服务器提供一个区域数据的备份，以致目标域中所有主机信息泄露。

能够实现DNS区域传送的常用工具由dig，nslookup及Windows版本的Sam Spade。

踩点通常利用Windows平台的网络探测工具获得目标数据，包括搜索引擎、SamSpade、Whois数据库。

搜索引擎是一个非常有用的信息收集工具，Baidu、Google具有很强的搜索能力，能够帮助攻击者获得目标系统相关信息，包括网站的弱点和不完善配置。

多数网站只要设置了目录列举功能，Google就能搜索出Index of页面。

打开Index of页面能够浏览出一些隐藏在互联网背后的开放了目录浏览的网站服务器的目录，并下载本无法看到的密码账户等有用文件，如图4-7所示。

SamSpade是一款运行在Windows平台的集成工具箱软件。

用于大量的网络探测、网络管理和与安全有关的任务，包括ping、nslookup、whois、dig、traceroute、finger、DNS zone transfer、raw HTTP web browser、SMTP relay check、website search等工具。

运行SamSpade的电脑利用SamSpade的trace功能探测到达目标服务器的路径信息，如图4-8所示。

Internet上的各种Whois数据库也是非常有用的信息资源。这些数据位包含各种关于Internet地址分配、域名和个人联系方式等数据。攻击者可以从Whois数据库了解目标的一些注册信息。

图4-9列出了Whois常用的网站信息查询工具、域名IP类查询工具、使用代码转换工具等。

图4-10显示了从“上海电信[站长之家]”连接到yahoo服务器所经历的路由器。

图4-11显示了通过查询IP地址得到服务器各种信息。

图4-12介绍了Whois一些常用小工具的使用，包括DNS查询、MD5加密、IP地址与对应整数之间的转换及IPv4向IPv6地址的转换。

@木子雨辰，将一直带给大家信息安全知识，由浅至深、采用体系化结构逐步分享，大家有什么建议和问题，可以及留言，多谢大家点击关注、转发，谢谢大家。

,