减小字体
增大字体- ·上一篇文章:用DHCP服务器来管理局域网
- ·下一篇文章:用SNMP设置来管理好Cisco设备
老鸟谈入侵:黑客入侵前的信息收集
三、 Whois查询
Whois协议,是一种信息服务,通过向服务器的TCP端口43建立一个连接后,对输入的关键词进行查询,能够提供有关所有DNS域和负责各个域的系统管理员数据,其中记录着每个互连网站点的详细信息,其中包括域名、服务器地址、联络人、电话号码和地址。我们可以以Web方式查询,比如到http://panda.www.net.cn或者http://whois.webhosting.info查询,假设我们要查询www.google.com的域名信息,我们到http://panda.www.net.cn查询的结果如图1.5;也可以使用一些相关的软件进行查询,比如Winwhois.exe,如图1.6。
javascript:window.open(this.src);"/>
图1.5 在http://panda.www.net.cn查询google.com的结果
javascript:window.open(this.src);"/>
图1.6 在Winwhois查询google.com的结果
四、Snmp协议
简单网络管理协议(Simple Network Management Protocol)是目前在计算机网络中使用最广泛的网络管理协议,它可以用来集中管理网络上的设备,使网络设备彼此之间可以交换管理信息,网络管理员可以利用它管理网络的性能,定位和解决网络故障,进行网络规划。许多不同的管理软件和管理系统都使用这个协议。Snmp的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的:取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。
我们在使用一些扫描器对网络扫描时常会发现一些Snmp口令为 "public"的计算机,通过这个黑客就有可能对SNMP中MIB(Management Information Base,管理信息库,常应用与Snmp和通用网络接口协议的数据库)进行访问,从而收集该计算机的一些信息。使用Resource Kit里面的工具snmputil就可以达到这个目的,常用的命令格式有下面一些:
snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 尝试获得对方机器系统用户列表
snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
更详细的资料大家可以访问http://www.telecomm.uh.edu/stats/rfc/HOST-RESOURCES-MIB_.html和http://www.intermapper.com/contrib/mibs/Host-Resources-MIB获得。
五、 认识网站的“邻居”
现在不少网站被黑并不是因为自身的Web程序存在漏洞,而是黑客通过入侵了与其在同一个虚拟主机的网站,而后黑掉这些网站的,这种攻击手法叫做旁注法。如果大家还不明白,我给大家打个比喻:一个虚拟主机相当于一座大楼,其中有一些房间,每个房间代表一个网站空间,每个房间从大楼外面看都有一个窗口(表示Web浏览服务),假设入侵者想通过A房间的窗口进入到A房间,可是A网站的窗口关的很严(没有漏洞),无法入侵进去,所以只能靠别的窗口没有关严(存在漏洞)进入大楼内部,再想办法进入A房间。这种入侵方法自去年起开始被国内的黑客广泛使用。关于虚拟主机站点查询的工具有很多,由明小子开发的旁注WEB综合检测程序(如图1.7)和桂林老兵开发的虚拟主机站点查询工具(如图1.8)是其中比较不错的两款。
javascript:window.open(this.src);"/>
图1.7 旁注WEB综合检测程序
javascript:window.open(this.src);"/>
图1.8 虚拟主机站点查询工具
Whois协议,是一种信息服务,通过向服务器的TCP端口43建立一个连接后,对输入的关键词进行查询,能够提供有关所有DNS域和负责各个域的系统管理员数据,其中记录着每个互连网站点的详细信息,其中包括域名、服务器地址、联络人、电话号码和地址。我们可以以Web方式查询,比如到http://panda.www.net.cn或者http://whois.webhosting.info查询,假设我们要查询www.google.com的域名信息,我们到http://panda.www.net.cn查询的结果如图1.5;也可以使用一些相关的软件进行查询,比如Winwhois.exe,如图1.6。
javascript:window.open(this.src);"/>图1.5 在http://panda.www.net.cn查询google.com的结果
javascript:window.open(this.src);"/>图1.6 在Winwhois查询google.com的结果
四、Snmp协议
简单网络管理协议(Simple Network Management Protocol)是目前在计算机网络中使用最广泛的网络管理协议,它可以用来集中管理网络上的设备,使网络设备彼此之间可以交换管理信息,网络管理员可以利用它管理网络的性能,定位和解决网络故障,进行网络规划。许多不同的管理软件和管理系统都使用这个协议。Snmp的安全问题是别人可能控制并重新配置你的网络设备以达到危险的目的:取消数据包过滤功能、改变路径、废弃网络设备的配置文件等。
我们在使用一些扫描器对网络扫描时常会发现一些Snmp口令为 "public"的计算机,通过这个黑客就有可能对SNMP中MIB(Management Information Base,管理信息库,常应用与Snmp和通用网络接口协议的数据库)进行访问,从而收集该计算机的一些信息。使用Resource Kit里面的工具snmputil就可以达到这个目的,常用的命令格式有下面一些:
snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 尝试获得对方机器系统用户列表
snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程
snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表
snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名
snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件
snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息
更详细的资料大家可以访问http://www.telecomm.uh.edu/stats/rfc/HOST-RESOURCES-MIB_.html和http://www.intermapper.com/contrib/mibs/Host-Resources-MIB获得。
五、 认识网站的“邻居”
现在不少网站被黑并不是因为自身的Web程序存在漏洞,而是黑客通过入侵了与其在同一个虚拟主机的网站,而后黑掉这些网站的,这种攻击手法叫做旁注法。如果大家还不明白,我给大家打个比喻:一个虚拟主机相当于一座大楼,其中有一些房间,每个房间代表一个网站空间,每个房间从大楼外面看都有一个窗口(表示Web浏览服务),假设入侵者想通过A房间的窗口进入到A房间,可是A网站的窗口关的很严(没有漏洞),无法入侵进去,所以只能靠别的窗口没有关严(存在漏洞)进入大楼内部,再想办法进入A房间。这种入侵方法自去年起开始被国内的黑客广泛使用。关于虚拟主机站点查询的工具有很多,由明小子开发的旁注WEB综合检测程序(如图1.7)和桂林老兵开发的虚拟主机站点查询工具(如图1.8)是其中比较不错的两款。
javascript:window.open(this.src);"/>图1.7 旁注WEB综合检测程序
javascript:window.open(this.src);"/>图1.8 虚拟主机站点查询工具
