信息搜集和反信息搜集在实战中的应用

{
转载请著明出处
PopSky 'S Blog
Www.PopSky.Org
QQ:396421483
}

什么是信息搜集
信息搜集，俗称“踩点”是对目标主机及相关设施、管理人员进行公开或非公开的检测，用于对目标安全防卫工作的掌握。比如对目标主机操作系统的鉴别等。这是攻击的前奏，内容可以包括系统，网络，数据及用户活动状态及其行为，而且有时还需在计算机网络系统中的若干不同关键点来搜集所需信息。
中国有句古话“知己知彼，百战不殆”这个知彼讲的就是对入侵目标的了解了。一个成功的黑客不仅要掌握大量的计算机网络技术，编程技术等，在某些时候还要懂得社会工程学基础。只有完美的利用这些东西，充分发挥自己的想象力才能增加入侵的成功率。
信息搜集的步骤
        信息搜集大概可为两步：
制定目标：
这里我们所说的目标通常分为两种情况：一是有着明确的攻击目标和动机，一种是随机扫描，事先并无明确的攻击意识，只是由于某些原因所指定的目标。
具体信息搜集：
可大致分为两方面：一是使用功能强大的系统安全检测软件对目标主机进行多方位的安全检测，经分析后制定有效的攻击策略。二是使用社会工程学原理，按照事先制定的目标进行入侵前的信息搜集，这往往能起到意想不到的效果。但这种方法要求较高，也比较困难，需要有良好的信息把握和处理能力。
如何反信息搜集
1修改TTl值
我们知道，黑客在简单鉴别对方的操作系统时，可以利用Windows自带的Ping程序进行检测：
C:\Documents and Settings\Administrator>ping 221.195.40.52

Pinging 221.195.40.52 with 32 bytes of data:

Reply from 221.195.40.52: bytes=32 time=84ms TTL=128
Reply from 221.195.40.52: bytes=32 time=126ms TTL=128
Reply from 221.195.40.52: bytes=32 time=75 TTL=128
Reply from 221.195.40.52: bytes=32 time=79 TTL=128
如上面的情况，我们可以通过TTL值判断对方主机为WindowsNT/2K/XP/2003系统，因为WindowsNT/2K默认的TTL值为128，如果主机没有过滤掉ICMP，那么对方只要ping一下，就可以大概了解你的系统了。我们可以通过自己进行修改达到欺骗的目的。
我们可以改成UNIX类的255。把下面的内容保存为.reg文件，双击导入就可以了。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
“DefaultTTL”=dword:000000ff
注：十进制的255对应的十六进制是FF
2 修改默认的Banner信息
入侵者可以telnet主机的Web端口（默认情况下是80端口），然后用Get命令来获取主机版本
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Sat, 13 Jan 2007 03:17:58 GMT
Content-Type: text/html
Content-Length: 87

<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>

上面得到的是一台主机的信息，通过Server: Microsoft-IIS/5.0 我们不难知道，对方的操作系统是Windows2000操作系统。通过ftp到目标主机的ftp端口上，我们也可以得到对方的ftp信息，如果FTP服务器是利用Windows自带的FTP服务器，回从它返回的Banner值里得到微软的信息。
那么如何来更改这些Banner信息呢？首先我们要知道这些Banner信息存放在操作系统中的位置：
%systemroot%\system32\inetsrv目录下对应文件如下：
Web是：%systemroot%\system32\inetsrv\w3svc.dll
FTP是：%systemroot%\system32\inetsrv\ftpsvc.dll
SMTP是：%systemroot%\system32\inetsrv\smtpsvc.dll
我们可以用记事本打开他们，查找想要的Banner关键字，如IIS的Web就寻找”Microsoft－IIS/5.0”然后直接更改成我们想要的样子，最后保存即可。（注意：在修改的时候要先停止IIS服务）还有一点需要主机，由于Windows的系统后台文件保护机制，会对此被修改的文件进行修复。所以要先删除%systemroot%\system32\dllcache目录下的同名文件再进行修改。

   对于Windows2003的操作系统，我们知道Windows已经取消了返回错误提示。所以没有必要在对它进行修改了(Windows2003系统中也不再有w3svc.dll这个文件了)

   如果你的操作系统开放了Telnet服务，入侵者也可以通过Telnet到你的23端口来获得你的系统版本的信息。我们可以通过修改它的Banner来进行迷惑对方。Windows2000和Windows2003Banner信息存放在%systemroot%\system32\login.cmd下。我们用记事本打开进行编辑它的信息就OK了。比如我们可以更改为Red Hat Linux Release9.0 Kernel 2.4.18-14 on an i686。
    以上给大家总结了几种常见的Banner信息的修改。希望给大家起到一个抛砖引玉的作用。入侵和防御从来都是一起进步的。黑客可以通过更多的手段来搜集相关主机的信息。要想保证自己主机的安全，必须从根本入手全面的维护好系统的每一处安全。