正面黑客反面骇客 安全评估初探

或许你侵入某银行系统,微微一笑你轻轻飘过,不带走一片“云彩”;或许你侵入了银行系统,但是你把不属于自己的东西划到了自己的名下。前者只不过是正当的黑客行为,而后者就形成了犯罪的骇客行为。

正面黑客反面骇客,这只在一瞬间,这也是网络安全的缩影。网络安全评估是一个特殊的行业,网络评估人员其实应当是一些优秀的正当黑客,他们做的大部分的事情其实和搞破坏的“骇客”没有两样,但是,网络安全评估的目的是发现目标系统的漏洞和不足,并提出建议。而“骇客”的行为目的乃是要从中获取经济利益或者其他有价值的东西。

要做一个高超的网络评估人员,其实就是要做一个高超的黑客。网络评估本身就是模仿黑客的全部侦测、攻击行为,并从中发现漏洞。那么,作为一名黑客,或者说,作为一名网络评估人员,首要的任务是什么呢?

兵法云:知己知彼,百战不殆。如果从这个方面来讲,高明的黑客可以说是一名出色的将领。一名目光短浅的菜鸟“网络破坏”者,当然还称不上黑客,他们的行为往往是在网络上搜索一堆攻击工具,然后迫不及待的去完成自己的“黑客行为”。这其实是个愚蠢的行为,在一个高明的黑客看来。

高超的黑客,在出手之前自己都有十足的把握。他们明确的知道自己需要什么信息,非常巧妙的把自己隐藏起来。是的,做一名出色的黑客,或者说做一名出色的网络评估人员,在你动手之前,一定要知道自己需要什么信息,哪些信息是对自己有用的。

每一个称职的攻击者、黑客,在攻击进行的最初阶段都会采用完全合法的手段查询一些公共信息源,以尽可能多地发现与目标组织及其网络相关的一些信息。一般来说,这些信息是可以合法查询的。

。搜索引擎

。IP WHOIS登记处

。边界网关协议 (border gateway protocol.BGP)looking glass站点与路由器服务器

。公共的DNS名服务器

。对特定名服务器的DNS查询与破解

。Web服务器crawling

。SMTP探测

此类查询也称之为internet 网络枚举,经过这些合法的初步探测,尽可能多的查询了所有可能包含的有用信息后,黑客或者网络攻击者才可以建立起目标网络的轮廓图。更有可能,攻击者可以初步判断网络的哪些位置存在潜在的漏洞,进而把攻击的注意力集中到目标的特定领域。

有一些搜索引擎,现在提供一些高级的搜索功能,利用这些功能,攻击者可以建立起目标网络的大致架构。通过搜索引擎,攻击者可以轻易的索引到比如:员工联系方式的详细资料,包括办公的电子邮件和公司或者个人的电话手机号码,和公司所在的办公室地址物理位置相关的信息,另外,公共访问服务器上的文档也有可能被索引到。在国外,攻击者可以通过搜索到的电话号码,来发动战争拨号攻击,从而突破拨入服务器。

互联网时代,保证这些信息完全不被公开始非常困难的。为了对这种搜索引擎索引风险进行有效的管理,公司应该进行公共记录查询演练,以确保可能被攻击者搜集到的信息不足以对系统造成严重的威胁。

Google搜索功能

通过Google的高级搜索页面,我们可以对一些潜在的可利用信息进行搜索,并且我们可以对搜索进行配置和优化,比如说,包含某些关键词、排除某些关键字,或者指定特定的文件格式中的内容等。

使用Google搜索目标联系人的详细资料

这里,我们实地演示一个枚举目标电子邮件、电话号码登资料的例子。我们在Google中搜索字符串"sina.com.cn"+tel+fax,用来枚举与sina相关的电子邮件地址和电话号码等信息。

/uploadImages/2012/297/V7QZHES95Z36.jpg

使用Google枚举目标信息

有效的搜索查询字符串

/uploadImages/2012/297/1Q5L4E5V4MOH.jpg

使用google枚举

我们可以通过多种方式使用Google进行查询,所能搜索到的内容是海量的,这取决于你使用哪种搜索类型。我们再举一个简单的例子,如果你想知道域名下,被google所收录的所有服务器,我们就可以字符串site:。作为关键词提交给google.

/uploadImages/2012/297/580CYKD5J98O.jpg

使用Google枚举美国航空航天局服务器data目录

查询支持目录索引的web服务器

对于黑客非常有用的一种google搜索应用是列出支持的目录索引的web服务器,我们这里枚举美国航空航天局web服务器一个data目录。常理是web服务器只放一些与网站有关的文件,但是,有时候网站管理员可能会把一些机密信息放入一些web服务器的文件夹里。

通过对域名登记信息的查询,可以获取该域名拥有者的相关信息。可以进行域名WHOIS查询的工具比较常用的是类UNIX系统中的whois客户端程序,使用这个whois工具可以进行很多类型的WHOIS查询。

通过WHOIS查询我们可以获取到一些重要信息,比如说该域名管理员联系人的详细资料,包括姓名、电子邮件还有电话号码等等,还能查询到与该域名相关的办公室区域的邮件地址等等。

这里我们使用类UNIX系统中的whois工具,对域名做一次查询。

/uploadImages/2012/297/E313QVDGT18Q.jpg

对进行WHOIS查询

除了可以查询域名WHOIS相关的信息,我们还可以查询IP WHOIS相关的信息。IP网络地址相关的很多信息,都可以在区域internet登记处(regional internet registries,RIRs)中获取。IP WHOIS中的数据库客体对象定义了internet空间上不同地址区域和组织之间的对应性,还包含一些其他信息。

公共IP地址分别归属不同的地理或者逻辑区域,目前,世界上大概有这么几个RIR:

美洲:http://www.arin.net

欧洲:http://www.ripe.net

亚太:http://www.apnic.net

拉丁美洲和加勒比海:http://www.lacnic.net

非洲:http://www.afrnic.net

对IP WHOIS的查询,我们还是使用类UNIX系统环境下的whois客户端程序。

使用whois工具可以很容易的获取某特定的用户详细资料。

/uploadImages/2012/297/I66HK4I9QNBK.jpg

使用whois工具对某网站邮箱用户枚举

在收集了这些信息以后,还可以尝试更进一步的探测和识别目标系统潜在的漏洞。接下来,我们来看进一步使用DNS查询获取一些可能有用的特定网络信息。

使用诸如nslookup、host和dig等工具,可以对域名或者IP地址发出DNS请求。被查询的DNS服务器可以返回域名和子域名的详细资料,来自地址(address, A)、指针(pointer, PTR)和规范名(canonical name,CNAME)资源纪录的主机名信息,或者来自邮件交换器(mail exchange,MX)资源记录的SMTP邮件服务器的详细资料。

正向DNS查询

正向DNS记录是服务器使用域名接入服务器所必需的,就如同当你通过网络访问网站、收发电子邮件,所发出的正向DNS查询,请求相关域名的SMTP邮件交换器信息。攻击者也可以通过正向DNS查询识别邮件服务器和其他一些系统。

我们通过交互式的方式使用nslookup工具,nslookup是一个多平台的命令行工具,在类UNIX和windows系统里都可以使用。我们使用这个工具对美国中情局进行查询枚举,从结果可以看出,nslookup可以识别美国中央情报局(CIA)的域名(CIA.GOV)的MX地址与主机名,从结果我们还可以知道UCIA.GOV就是CIA网络的内部网络。

/uploadImages/2012/297/2H8PP68VU7N2.jpg

nslookup查询美国中情局域名相关

MX地址的详细资料对攻击者来说,非常重要。因为邮件服务器通常位于企业网的边界,即内部网络空间和internet交界的地方。这样,攻击者就可以把攻击目标锁定到这些边界系统,进而识别出其他的危险系统。

正向破解DNS记录

既然DNS信息这么重要,作为一个网络评估人员,我们理应提出一些建议来尽可能的隐藏这些信息。当然,安全评估都是基于现有的网络技术以及已知的知识,我们只有不断的跟随破坏者的脚步,不断的捍卫网络和系统的安全。

就如同,有的网站为了隐藏DNS信息,不允许进行DNS区域传送,或者通过其他手段屏蔽隐藏自己的相关信息。这时候,作为一名黑客就需要使用一些工具进行DNS破解。我们首先用正向DNS nslookup常规枚举查询英格兰银行网站,我们知道该行网站不允许DNS区域传送,还使用了一家三方电子邮件内容过滤商,来处理通过SMTP传送入站的电子邮件。

/uploadImages/2012/297/62764F5I6N0Y.jpg

正向查询的英格兰银行域名信息

这样,查询到的英格兰邮件服务器域名便不是真实的。对于这种障碍,破坏者已经有了手段,使用一些破解工具就可以探测到。而作为网络安全评估人员,就要及时的了解这些破解手段的根由,为用户提出有效的手段。

所以说,作为一名网络安全评估人员,不但要知道需要搜集哪些信息,还要知道许多的破解工具,并及时为用户提出解决方案。