第03讲 信息收集

第3讲 信息收集信息收集是指黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标主机的所有探测活动。信息收集有时也被称为“踩点”。通常“踩点”包括以下内容：目标主机的域名、IP 地址、操作系统类型、

第3讲 信息收集

信息收集是指黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标主机的所有探测活动。信息收集有时也被称为“踩点”。通常“踩点”包括以下内容：目标主机的域名、IP 地址、操作系统类型、开放了哪些端口，以及这些端口后面运行着什么样的应用程序，这些应用程序有没有漏洞等。

那么如何收集信息呢？可以利用与技术无关的“社会工程学”，搜索引擎以及扫描工具。

一、利用搜索引擎收集信息

（1）搜索结果要求包含两个及两个以上关键字

Google 用空格表示逻辑“与”操作。在多个关键字之间加上空格就可以了。

（2）搜索结果要求不包含某些特定信息

Google 用减号“-”表示逻辑“非”操作。“A –B”表示搜索包含A 但没有B 的网页。请记住在“-”符号之前留一个空格符。

（3）搜索结果至少包含多个关键字中的任意一个

Google 用大写的“OR”表示逻辑“或”操作。搜索“A OR B”，意思就是说，搜索的网页中，要么有A ，要么有B ，要么同时有A 和B 。必须用大写的“OR”，而不是小写的“or”。

（4）搜索整个短语或者句子

Google 的关键字可以是单词（中间没有空格），也可以是短语（中间有空格）。但是，用短语做关键字，必须加英文引号，否则空格会被当作“与”操作符。 示例：搜索关于第一次世界大战的英文信息。

例如搜索："world war I"

（5）搜索引擎忽略的字符以及强制搜索

Google 对一些网路上出现频率极高的英文单词，如“http ”、“com”、“www”等，以及一些符号如“*”、“.”等，作忽略处理。如果要对忽略的关键字进行强制搜索，则需要在该关键字前加上明文的“ ”号。注意：在“ ”之前必须留一个空格。 例如搜索： www 的历史 internet

（6）通配符问题

很多搜索引擎支持通配符号，如“*”代表一连串字符，“?”代表单个字符等。Google 对通配符支持有限。它目前只可以用“*”来替代单个字符，而且包含“*”必须用"" 引起来。

示例：“" 以*治国" ”，表示搜索第一个为“以”，末两个为“治国”的四字短语，中间的“*”可以为任何字符。

例如搜索：" 以*治国"

（7）对搜索的网站进行限制

“site:”表示搜索结果局限于某个具体网站或者网站频道，如“www.sina.com.cn ”、“edu.sina.com.cn ”或者是某个域名，如“com.cn”、“com”等。如果是要排除某网站或者域名范围内的页面，只需用“-网站/域名”。注意：

✧ 关键词既可以在“site:”前，也可以在“site:”后，搜索结果是一样的。

site:网址 关键词 或者 关键字 site:网址

✧ site 后的冒号为英文字符，而且，冒号后不能有空格，否则，“site:”将被作为一个搜索的关键字。

✧ 网站域名不能有“http://”前缀，也不能有任何“/”的目录后缀；

✧ 关键词和“site:”之间必须空一格。

✧ 对于“site:”搜索，关键词一样可以是多个，多个关键词之间以空格隔开。 ✧ url 中尽量不要用www ，除非你有特别目的，用www 会导致错过网站内的内容，因为很多网站的频道是没有www 的。

✧ 网站频道则只局限于“频道名. 域名”方式，而不能是“域名/频道名”方式。 搜索：黑客 site:book.51cto.com

搜索：intitle:用户登录

（8）在某一类文件中查找信息

“filetype:”限制所搜索的文件的格式。Google 能检索微软的Office 文档如.xls 、.ppt 、.doc ，.rtf ，.pdf ，.swf 文档等。

格式： 关键词 filetype:文件类型

搜索：intitle:dos filetype:doc OR filetype:chm

（9）搜索的关键字包含在URL 链接中

“inurl:”后面不能有空格，Google 也不对URL 符号如“/”进行搜索。例如，Google

会把 “cgi-bin/phf”中的“/”当成空格处理。

使用格式是：“inurl:xxx”、“inurl:xxx 关键词”、“关键词 inurl:xxx”（XXX 可以是任何字符）。

✧ inurl:xxx

查找url 中包含xxx 的网页。

例如：inurl:news

✧ “inurl:xxx 关键词”或“关键词 inurl:xxx”

两者意义一样：查找满足下面两个要求的网页：url 中要包括xxx ；网页中含有“关键词”。

例如：cnkikw inurl:viewthread.php，网页正文包含“cnkikw”，url 中有“viewthread.php”

一般来说：提供书籍下载的，url 一般包括book 、ebook 、shu 、shuji ；论坛的url 中常含有bbs 、forum ；音乐方面用music 、yinyue 、mp3、midi ；提供软件用soft 、software 、ruanjian ；新闻的用news 、xinwen ，体育的用sports 、tiyu ；

例如：要下载photoshop cs，可搜索： "photoshop cs" 下载 inurl:soft

例如：搜索歌曲一剪梅：inurl:yijianmei 无用的结果多，加上music ，搜索：inurl:yijianmei music

（10）搜索的关键字包含在网页标题中

“intitle”和“allintitle”的用法类似于上面的inurl 和allinurl ，只是后者对URL 进行查询，而前者对网页的标题栏进行查询。网页标题，就是HTML 标记语言title 中之间的部分。网页设计的一个原则就是要把主页的关键内容用简洁的语言表示在网页标题中。因此，只查询标题栏，通常也可以找到高相关率的专题页面。

搜索：intitle:用户登录 inurl:aspx

（11）搜索所有链接到某个URL 地址的网页

如果你拥有一个个人网站，估计很想知道有多少人对你的网站作了链接。而“link:”语法就能让你迅速达到这个目的。

注意：“link:”不能与其他语法相混合操作，所以“link:”后面即使有空格，也将被Google 忽略。

例如：搜索所有含指向腾讯网“www.qq.com ”链接的网页。

搜索：link:www.qq.com

（12）查找与某个页面结构内容相似的页面

“related:”用来搜索结构内容方面相似的网页。

例如搜索所有与网易首页相似的网页。

搜索：related:www.163.com

搜索：related:www.blogcn.com

二、利用域名管理/搜索服务收集信息

1、什么是IP 地址

Internet 上的每台主机都有一个唯一的IP 地址。

IP 地址是由四段用“. ”分割的十进制数字组成，每段数字范围为0～255。例如：例如159.226.1.1。

根据因特网协议（Internet Protocol ），IP 地址是由32位二进制数组成，为了方便书写和记忆，把它分成了四组，每组8位。例如：001010000000000000000000000001，由于二进制数很难记忆，因为IP 地址通常用十进制数来表示，中间使用符号“. ”分开不同的字节。如10.0.0.1。

2、IP 地址与域名

为了进一步方便记忆，使用域名来代替数字IP 地址。例如：www.baidu.com 就是一个域名。

每个域名都至少对应着一个IP 地址，但是一个IP 地址却不一定只对应着一个域名。 域名与IP 地址之间是通过DNS （Domain Name System域名系统）来转换的。

提问：听说过域名劫持吗？（Hosts 文件）

演示：在IE 地址栏输入：www.baidu.com ，结果打开 www.google.cn.

3、IP 地址是由什么机构分配的?

所有的IP 地址都由国际组织NIC （Network Information Center）负责统一分配，目

前全世界共有三个这样的网络信息中心。

InterNIC ：负责美国及其他地区；

ENIC ：负责欧洲地区；

APNIC ：负责亚太地区。

我国申请IP 地址要通过APNIC ，APNIC 的总部设在日本东京大学。申请时要考虑申请哪一类的IP 地址，然后向国内的代理机构提出。

4、什么是公有地址和私有地址?

公有地址（Public address ）由Inter NIC （Internet Network Information Center 因特网信息中心）负责。这些IP 地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。

私有地址（Private address）属于非注册地址，专门为组织机构内部使用。以下列出留用的内部私有地址

10.0.0.0--10.255.255.255

172.16.0.0--172.31.255.255

192.168.0.0--192.168.255.255

由于私有地址是在局域网内使用，通常称其为内网IP 地址；而公有地址则被称为公网IP 地址。

5、IP 和域名信息收集

（1）如何查看本机的IP 地址？

查看本机的IP 地址：使用命令ipconfig/all

（2）如何查看局域网中本机的内网和外网IP ？

查看本机内网IP 地址：ipconfig/all命令；

查看本机外网IP 地址：访问网站 http://www.ip138.com 即可。

查看局域网其他机器的IP 地址：使用工具Angry IP Scanner（即ipscan ）

（3）如何查看远程服务器的IP 地址？

“ping 域名”命令。例如 ping www.baidu.com

nslookup 域名”命令。例如：nslookup www.baidu.com

（4）如何查看远程主机的IP 地址？

利用Netstat 命令，通过QQ 获取对方的IP 地址

邮件（OutLook express接收邮件）查询法，需要对方给自己发送一封电子邮件。

（5）如何由IP 地址得到目标主机的地理位置？

（6）如何查询网站的域名注册信息

中国互联网信息中心

中国互联网络信息中心记录着所有以cn 为结尾的域名注册信息。

WHOIS 查询

一个网站在正式发布之前，需要向有关机构申请域名。申请到的域名信息（如域名所有人、域名注册商、域名注册日期和过期日期等）将保存在域名管理机构的数据库服务器中，并且域名信息常常是公开的。通常，查询域名注册信息的方法被称为“WHOIS ”。

中国万网，号称是中国最大的域名和网站托管服务提供商，不仅提供.cn 的域名注册信息，而且还有.com 、.net 等。不过，查询的结果是英文的。

（7）如何查询同一服务器上有哪些站点？

可以查询同一个IP 地址的服务器上共绑定了多少个域名及开通了哪些网站，目的是为了广大站长在选购虚拟主机空间时做相关参考。举例：查询与www.5liao.com 在同一服务器上的网站。

（8）如何查询全国IP 段？

使用工具：黑客扫描辅助工具_全国IP 段

（9）如何隐藏自己的IP 呢？

使用代理，如VPN 代理

演示：利用173VPN 隐藏IP 、翻墙上youtobe 。

提问：听说过翻墙吗？

翻墙就是使用代理上本来上不去的一些网站。为了防备国民看一些不该看的东西，网络上把一些网站过滤了。要想看这些网站，就要使用代理---翻墙，看外面的世界。

简单的说，就是如台湾或国外的网站用国版浏览器不能进，因为服务器在中国。要用国外服务器才能进入，就是指不能从网站大门堂而皇之的进去，只能从其它地方翻墙进去，意思就是挂代理。

举例说明：国内互联网的数据进出都是有防火墙进行监控的, 这个防火墙的名字叫GFW(The Great Fire Wall of China),国家公共网络监控系统”，简称”防火长城”。网络

上叫它“墙”！ 很多外国的xx 网站都是由这堵墙来屏蔽的, 所以如果你要访问那些网站，就需要翻墙，也就是用代理来跳过监控进行访问。

声明：凡因违规浏览而引起的任何法律纠纷，本人概不负责！

三、利用扫描工具收集信息

（1）扫描原理分类

TCP 全连接方式：由于在扫描过程中，与目标主机建立标准的TCP 连接。TCP 方式扫描出的信息比较详细准备，很少漏报、误报，但是容易被目标主机察觉记录。

半打开式扫描（SYN 扫描）：由于在扫描过程中，与目标主机建立半打开连接。SYN 方式扫描出的信息不一定详细，可能会出现漏报的现象，但是扫描比较安全，不容易被目标主机记录。

第三方扫描：又称为“代理扫描”，利用第三方主机（“肉鸡”）来代替入侵者进行扫描。

（2）综合扫描工具

一个综合扫描器可以完成许多项目的扫描。如：X-Scan 、流光Fluxay 、X-WAY 。

X-Scan ：是国内最著名的综合扫描器之一，由国内著名的网络安全组织“安全焦点”完成。完全免费，绿色软件，界面支持中英文，包括图形界面和命令行式。扫描速度最慢，扫描结果最全面准确，提供TCP 和SYN 两种扫描方式。

流光Fluxay ：是小榕的作品。可以探测POP3、FTP 、HTTP 、Proxy 、SQL 、SMTP 、IPC$等各种漏洞，还集成了常用的入侵工具，如字典生成工具。还独创了能够控制“肉鸡”进行扫描的“流光Sensor 工具”和为“肉鸡”安装服务的“种植者”工具。扫描速度最快，扫描结果比较全面准确。

X-WAY ：免费的，简单易用。最大的特点是支持代理扫描。扫描速度较快，扫描结果差准确性差。

注意：到底使用何种扫描器需要根据各自的优点来选择。当仅需要检测一个或两个项目时，还是使用专用扫描器比较方便，而要进行多项扫描时，就需要使用综合扫描器。

四、利用社会工程学收集信息

可参考图书：凯文. 米特尼克《欺骗的艺术》