歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

信息搜集和反信息搜集在實戰中的應用

來源:轉載 作者:佚名 時間:2008-11-10 TAG: 我要投稿

轉載請著明出處
PopSky 'S Blog
Www.PopSky.Org
QQ:396421483
}

什么是信息搜集
信息搜集,俗稱“踩點”是對目標主機及相關設施、管理人員進行公開或非公開的檢測,用于對目標安全防衛工作的掌握。比如對目標主機操作系統的鑒別等。這是攻擊的前奏,內容可以包括系統,網絡,數據及用戶活動狀態及其行為,而且有時還需在計算機網絡系統中的若干不同關鍵點來搜集所需信息。
中國有句古話“知己知彼,百戰不殆”這個知彼講的就是對入侵目標的了解了。一個成功的黑客不僅要掌握大量的計算機網絡技術,編程技術等,在某些時候還要懂得社會工程學基礎。只有完美的利用這些東西,充分發揮自己的想象力才能增加入侵的成功率。
信息搜集的步驟
        信息搜集大概可為兩步:
制定目標:
這里我們所說的目標通常分為兩種情況:一是有著明確的攻擊目標和動機,一種是隨機掃描,事先并無明確的攻擊意識,只是由于某些原因所指定的目標。
具體信息搜集:
可大致分為兩方面:一是使用功能強大的系統安全檢測軟件對目標主機進行多方位的安全檢測,經分析后制定有效的攻擊策略。二是使用社會工程學原理,按照事先制定的目標進行入侵前的信息搜集,這往往能起到意想不到的效果。但這種方法要求較高,也比較困難,需要有良好的信息把握和處理能力。
如何反信息搜集
1修改TTl值
我們知道,黑客在簡單鑒別對方的操作系統時,可以利用Windows自帶的Ping程序進行檢測:
C:\Documents and Settings\Administrator>ping 221.195.40.52

Pinging 221.195.40.52 with 32 bytes of data:

Reply from 221.195.40.52: bytes=32 time=84ms TTL=128
Reply from 221.195.40.52: bytes=32 time=126ms TTL=128
Reply from 221.195.40.52: bytes=32 time=75 TTL=128
Reply from 221.195.40.52: bytes=32 time=79 TTL=128
如上面的情況,我們可以通過TTL值判斷對方主機為WindowsNT/2K/XP/2003系統,因為WindowsNT/2K默認的TTL值為128,如果主機沒有過濾掉ICMP,那么對方只要ping一下,就可以大概了解你的系統了。我們可以通過自己進行修改達到欺騙的目的。
我們可以改成UNIX類的255。把下面的內容保存為.reg文件,雙擊導入就可以了。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
“DefaultTTL”=dword:000000ff
注:十進制的255對應的十六進制是FF
2 修改默認的Banner信息
入侵者可以telnet主機的Web端口(默認情況下是80端口),然后用Get命令來獲取主機版本
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Sat, 13 Jan 2007 03:17:58 GMT
Content-Type: text/html
Content-Length: 87

<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>

上面得到的是一臺主機的信息,通過Server: Microsoft-IIS/5.0 我們不難知道,對方的操作系統是Windows2000操作系統。通過ftp到目標主機的ftp端口上,我們也可以得到對方的ftp信息,如果FTP服務器是利用Windows自帶的FTP服務器,回從它返回的Banner值里得到微軟的信息。
那么如何來更改這些Banner信息呢?首先我們要知道這些Banner信息存放在操作系統中的位置:
%systemroot%\system32\inetsrv目錄下對應文件如下:
Web是:%systemroot%\system32\inetsrv\w3svc.dll
FTP是:%systemroot%\system32\inetsrv\ftpsvc.dll
SMTP是:%systemroot%\system32\inetsrv\smtpsvc.dll
我們可以用記事本打開他們,查找想要的Banner關鍵字,如IIS的Web就尋找”Microsoft-IIS/5.0”然后直接更改成我們想要的樣子,最后保存即可。(注意:在修改的時候要先停止IIS服務)還有一點需要主機,由于Windows的系統后臺文件保護機制,會對此被修改的文件進行修復。所以要先刪除%systemroot%\system32\dllcache目錄下的同名文件再進行修改。

   對于Windows2003的操作系統,我們知道Windows已經取消了返回錯誤提示。所以沒有必要在對它進行修改了(Windows2003系統中也不再有w3svc.dll這個文件了)

   如果你的操作系統開放了Telnet服務,入侵者也可以通過Telnet到你的23端口來獲得你的系統版本的信息。我們可以通過修改它的Banner來進行迷惑對方。Windows2000和Windows2003Banner信息存放在%systemroot%\system32\login.cmd下。我們用記事本打開進行編輯它的信息就OK了。比如我們可以更改為Red Hat Linux Release9.0 Kernel 2.4.18-14 on an i686。
    以上給大家總結了幾種常見的Banner信息的修改。希望給大家起到一個拋磚引玉的作用。入侵和防御從來都是一起進步的。黑客可以通過更多的手段來搜集相關主機的信息。要想保證自己主機的安全,必須從根本入手全面的維護好系統的每一處安全。

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视