网络攻防原理与技术 第3版 教案 -第4讲 网络侦查技术.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第四讲网络侦查技术

目的要求：了解网络侦察的主要内容；掌握网络侦查的常用方法；掌握网络扫描的主要技术；了解网络侦察的防御方法。

重点难点：网络侦查的常用方法；网络扫描的主要技术。

方法步骤：理论讲授。

器材保障：电脑、投影仪。

主要教学内容:

一、网络侦查概述

根据MITREATTCK模型，网络侦察行为可分为10种。

1）主动扫描（ActiveScanning）

主动扫描是指通过网络流量主动探测目标网络基础设施相关的信息，包括：扫描目标IP地址块（ScanningIPBlocks）中的所有IP地址来收集信息（如在线的主机、开放的网络端口、系统指纹等），漏洞扫描（VulnerabilityScanning，发现目标主机/设备上存在的已知安全漏洞），词表扫描（WordlistScanning）。词表扫描中的词表内容通常包括通用的、常用的名字、文件扩展名或与特定软件有关的词汇（term）。

2）收集目标主机信息（GatherVictimHostInformation）

主机信息主要涉及主机的管理和配置，包括：目标硬件平台（Hardware）信息、软件（Software）信息、固件（Firmware）信息、客户机配置（ClientConfiguration）信息。

3）收集目标身份信息（GatherVictimIdentityInformation）

目标身份信息包括个人信息（如姓名，Email地址，住址、电话等联系信息等）以及敏感的身份认证信息，如账号凭证（credentials）。

4）收集目标网络信息（GatherVictimNetworkInformation）

网络信息主要包括：域名信息（DomainProperties），如域名称、域名注册人及联系人的电子邮件、电话、通信地址等联系信息、名字服务器等；DNS信息，包括注册的域名服务器及服务器中的域名记录；网络可信相关方信息（NetworkTrustDependencies）；网络拓扑信息（Topology）；网络安全应用（NetworkSecurityAppliances）信息，如防火墙、内容过滤设备、代理/堡垒主机等安全设备的部署信息。

5）收集目标组织信息（GatherVictimOrgInformation）

目标组织信息主要涉及分部/部门信息、商业运行信息、关键雇员的角色及分工等，具体包括：物理位置（PhysicalLocations），通过物理位置可以推断该组织的关键资源和信息技术基础设施所在的地理位置、行政区域等信息；业务关系（BusinessRelationships），利用一个组织与其二级或第三方合作伙伴（如受管理的服务提供商、承包商等）之间的关系信息，一方面可以利用与组织网络互联的合作伙伴的网络进入组织的网络，另一方面通过这些信息可以进一步了解该组织的软硬件资源的供应链和运输路径；业务活动时间（IdentifyBusinessTempo），如每周的工作日以及每天的工作时间；人员角色信息（IdentifyRoles），如关键员工的角色（职务）以及这些角色能够访问的数据/资源权限等。

6）信息钓鱼（PhishingforInformation）

信息钓鱼是指向目标发送钓鱼消息，诱骗目标泄露一些对后续攻击有用的信息。与钓鱼攻击（Phishing）不同的是，信息钓鱼的目的是从受害者那里收集数据，而不是执行恶意代码。

7）搜索闭源资源（SearchClosedSources）

攻击方有时需要从一些闭源资源（ClosedSources）中搜索、收集与攻击目标有关的信息，例如：从威胁情报服务提供商（ThreatIntelVendors）购买数据；从可信的私有资源和数据库提供商付费订购相关技术情报数据，当然有时也会从不可信渠道（如暗网、网络黑市）购买情报数据。

8）搜索公开技术数据库（SearchOpenTechnicalDatabases）

互联网上有大量公开（开源）的数据库或数据查询服务，从这些公开数据库中可以搜索、整理出大量有价值的目标相关信息，例如查询DNS服务器、WHOIS数据库、公共数字证书（DigitalCertificates）数据、CDN（ContentDeliveryNetwork）数据。此外，互联网上还有很多发布互联网扫描/调查结果的在线服务，通过它们可以查询到很多与目标有关的信息。

9）搜索公开网站/域（SearchOpenWebsites/Domains）

从公开可访问的网站/域中搜索与目标有关的信息，如求职网站、社交媒体（