确定目标——被动侦察.PDF

Chapter 2 第2 章 确定目标——被动侦察 在针对网络或目标服务器进行渗透测试或攻击时，侦察是杀链（kill chain ）的第一步。 在进行渗透测试时，攻击者通常会花费75% 的时间来进行侦察，在侦察阶段，可以定义攻 击目标，确定攻击目标的映射关系，探寻其安全漏洞，并最终达到利用目的。 侦察可以分为两种类型：被动侦察（passive reconnaissance ）和主动侦察（active reconnaissance ）。 被动侦察一般是指分析公开的信息，这些信息包括目标本身的信息、在线的公共资源 信息。在获取这些信息时，测试者或攻击者不会与目标交互，他们的请求和活动不会被日 志记录，也无法直接定位测试者。因此，在被动侦察中要尽可能地减少与目标的交互，与 目标的交互可能会确认攻击者身份。 在本节中，你将学习被动侦察的原则与实例，主要包括如下内容： 侦察的基本原则。 开源情报（Open-source intelligence ，OSINT ）。 DNS 侦察与路由映射，包括IPv4 和IPv6 两个主题。 获取用户相关信息。 分析用户密码列表。 主动侦察则与目标直接交互，主要在第3 章中介绍。 2.1　侦察的基本原则 在进行渗透测试或攻击数据目标时，侦察是杀链的第一步。这是在实际测试或攻击目 第2章　确定目标——被动侦察 23 标网络之前进行的。侦察的结果会给出需要额外侦察的方向或者指出在漏洞利用阶段要攻 击的漏洞。 被动侦察 （不是直接交互） 主动侦察 侦察活动是与目标网络或设备交互过程的一 更多的信息 更大的检测机会 部分。 正常交互 被动侦察并不与目标网络产生直接的交互。 图2.1　漏洞利用过程模型简图 攻击者的源IP 地址和活动不会被日志记录（例如，一个对目标邮件地址的谷歌搜索）。在正 常的商业活动中想要区分出哪些活动是被动侦察是困难的，或者说是不可能的。 被动侦察的重点一般是商业、监管环境、公司、员工。这一类的信息可以从网络或其 他公共资源获取，有时，可以参考开源情报，或者OSINT 。 当攻击者以一种可预期的方式与目标交互时，被动侦察可以看作是与目标的正常交 互。例如，攻击者登录公司网站、浏览不同的网页、下载进一步研究的文档。这些 交互活动属于可预期的用户活动，很少被看作是攻击目标的前奏。 主动侦察涉及直接查询或其他交互活动（例如，目标网络的端口扫描）。这些活动会 触发系统警报，被攻击的目标也能获取攻击者的IP 地址和活动信息。在法律诉讼 中，这些信息能够用来确认攻击者的身份，或抓捕攻击者。因此，测试者在主动侦 察中需要额外技术手段来确保不被发现，第3 章将详细介绍主动侦察与漏洞扫描。 渗透测试人员或者攻击者一般会遵循一个结构化的信息收集过程——从广泛的信息（商 业信息、监管环境信息）收集，到特定具体的信息（用户账户数据）收集。 为了提高效率，测试人员需要准确地知道他们需要找寻的信息，以及在开始收集信息 前就知道这些数据怎么使用。利用被动侦察和限制收集数据的数量，能最大限度地降低被 发现的风险。 2.2　开源情报 一般来说，渗透测试或进行攻击的第一步是开源情报收集。 OSINT 指的是从公共的资源，特别是互联网上，进行信息收集。可用的信息是相当多 的——大多数的情报机构和军事组织正积极地在OSINT 中收集目标信息，并防止自身数据 的泄露。 OSINT 收集过程和分析过程是非常复杂的，这部分内容可以独立写成一本书；因此， 本书只着重介绍需要的知识。 可在线获取美国军用手册ATP 2-22.9 （/irp/do