星期六, 3月 05, 2005

駭客現形讀書心得-chap 1

入侵的第一個步驟----腳印拓取footprinting
針對目標蒐集資訊的技巧.

目標:擷取網際網路(Internet).企業網路(intranet).遠端存取(remote access).企業外部網路(extranet)有關的資訊.

其確認項目有:
網域名稱(Domain Name)
網路區塊(Network blocks)
主機IP位址及執行之TCP/UDP服務
系統架構
存取控制機制及表列
入侵偵測系統
系統列舉(使用者與群組名稱.系統標誌.路由表.SNMP資訊)
類比/數位電話號碼
遠端系統種類
身分認證機制

Step 1-2-1:決定你的行動範圍

攻擊手法:開啟資源搜尋

從網頁下手.
包含組織座落的地址.
相關公司或機構.
電話號碼.
聯絡人姓名或電子郵件信箱.
所採取的相關安全策略.
或是由HTML的原始碼註解中找到資訊.

多重搜尋引擎
http://www.dogpile.com
http://www.altavista.com/

兩種範例用法:
link:example.com 查詢所有提供連結到攻擊目標的網站
host:example.com and mudge 特定網站中的特定目標

WebFerretPRO 提供一次同步搜尋多部引擎的能力
http://ferretsoft.com

EDGAR搜尋
http://www.sec.gov/cgi-bin/srch-edgar

對策:
開放性資料庫的安全
可以參考網站安全手冊RFC2196
http://www.ietf.org/rfc/rfc2196.txt

Step 1-2-2 網路列舉
查詢InterNIC
Unix: 使用whois指令
#whois example.com

網頁方式:
http://www.networksolutions.com/en_US/whois/index.jhtml
台灣地區:http://www.twnic.net.tw/

在執行whois指令的時候 @選項可以讓你指定其他的資料庫
例如
#whois "tellurian." @whois.crsnic.net
|
|
# whois tellurian.net@whois.bulkregister.com

查詢多重資料庫就可以使用whois.crsnic.net 但如果要判斷該目標所有使用ARIN是非常方便的
whois "Tellurian Net*"@whois.arin.net

也可以使用特定的網路區塊查詢---可以查出net range or net block
# whois 216.182.0.0@whois.arin.net

依照聯絡資訊查詢----例如email: @example.com
http://www.arin.net

對策:
確認資料庫內的資料是否正確.以免管理聯絡人離職之後還可以更改InterNIC登錄的資料.

Step 1-2-3 DNS 查詢

攻擊手法: 區域轉送(zone transfer)
#host -l example.com
#host -l -v -t any example.com

對策:
http://www.linux-mag.com/2001-11/bind9_01.html
最好別使用HINFO 紀錄

Step 1-2-4 網路勘查
#traceroute example
#traceroute -p53 example
VisualRoute 是追蹤工具的凱迪拉克
http://www.visualroute.com/

對策:
可以使用"網路入侵系統"NIDS
snort (http://www.snort.org)
來偵測這類的活動

沒有留言: