黑客的每一次网络攻击都是从信息收集开始,也就是我们常说的扫描,按网络协议分层思想,扫描也可以分为以下三类(暂不考虑社会工程学范畴的扫描):
1 网络层扫描
主要是基于IP协议的扫描和探测,用以获取目标的网络拓扑,设备防火墙和链路通讯状况,该阶段的扫描,并没有建立连接,常用的工具有:traceroute 和 Ping.
Traceroute的工作原理:首先,traceroute会发出一个TTL是1的IP datagram(其实,每次送出的为3个40字节的包(包的字节大小可以修改,但需要尽量小,便于传输),包括源地址,目的地址和包发送的时间标签)到目的地,当路径上的第一个路由器收到这个datagram时,它将TTL减1.此时,TTL变为0了,所以该路由器会将此datagram丢掉,并回送一个[ICMP time exceeded]消息,tracertoute收到这个消息后,就知道这个路由器存在这个路径上,接着tracertoute再送出另一个TTL是2的datagram,发现第二个路由器……, traceroute 每次将送出的datagram的TTL 加1来发现另一个路由器,这个重复的动作一直持续到某个datagram 抵达目的地。当datagram到达目的地后,主机会送回一个[ICMP port unreachable]的消息,而当traceroute收到这个消息时,便知道目的已经到达了。
2 系统层扫描
主要是基于TCP/UDP协议的扫描和判断识别,该阶段的扫描,有连接的建立,常见的方式有端口扫描,服务识别,漏洞扫描等,主要的工具有:nmap
3 应用层扫描
这里主要是基于应用层协议的扫描和漏洞的识别,该阶段的扫描,属于TCP全连接。而对于个人网站服务器常见的应用服务有:FTP,HTTP,SSH等,这些都会成为攻击者的入口点。
下面我们来对一个没有加入安全宝的网站进行一次简单的扫描,看看攻击者都能获取那些信息,对你的网站会造成威胁吗,这里就拿站长之家网站来单纯地进行扫描说明,并不会进行恶意的后续攻击,
1 利用traceroute进行网络层的扫描探测
Traceroute –q 4 www.chinaz.com
从上面的节点信息我们看出,在站长之家网站的前一个节点并没有获取到,但实际上我们是可以接收到网站服务器的ICMP返回信息,因此有可能是DNS解析过慢或前端有防火墙设备屏蔽掉ICMP返回信息,那么我们接着用如下命令排除下问题:
Traceroute -n -q 4 www.chinaz.com
从上面的内容看出,仍然没有第17个节点的信息,因此我们可以推断第17个节点应该会是防火墙设备,屏蔽了ICMP的返回信息。
2 利用Nmap进行系统层的扫描
在扫描的过程中,发现站长之家前端有三台CDN服务器作为负载均衡,这里也并不是恶意的扫描,因此还是用对域名的扫描来作演示,具体攻击会指定IP来进行探测。