本文來自微信公眾號(hào)“安全牛”。
足跡識(shí)別(footprinting),又稱為“網(wǎng)絡(luò)踩點(diǎn)”,是網(wǎng)絡(luò)安全運(yùn)營人員、滲透測試人員甚至攻擊者都會(huì)經(jīng)常采用的一種方法,主要用于收集有關(guān)目標(biāo)企業(yè)的網(wǎng)絡(luò)活動(dòng)信息,以識(shí)別潛在的安全漏洞。
在實(shí)際安全運(yùn)營工作中,足跡識(shí)別往往作為收集組織威脅態(tài)勢情報(bào)的第一步,通過掃描開放端口、繪制網(wǎng)絡(luò)拓?fù)鋱D以及收集有關(guān)主機(jī)、操作系統(tǒng)、IP地址和用戶賬戶等信息,可以深入了解組織的目標(biāo)系統(tǒng)。使用足跡識(shí)別,網(wǎng)絡(luò)安全研究人員可以定位現(xiàn)有漏洞并評(píng)估組織的安全狀況,而攻擊者則會(huì)根據(jù)新發(fā)現(xiàn)的漏洞制定相關(guān)攻擊活動(dòng)計(jì)劃。
足跡識(shí)別的類型
根據(jù)不同的方法和技術(shù)組合以及與目標(biāo)系統(tǒng)的交互程度,可以對(duì)網(wǎng)絡(luò)安全足跡識(shí)別進(jìn)行以下分類:
被動(dòng)足跡識(shí)別:這種方法使用搜索引擎和社交網(wǎng)站收集信息,而不與目標(biāo)系統(tǒng)直接交互。這種方法在技術(shù)上具有挑戰(zhàn)性,因?yàn)樗簧婕盎钴S的網(wǎng)絡(luò)流量,而是從存儲(chǔ)和歸檔的數(shù)據(jù)源收集數(shù)據(jù)。
主動(dòng)足跡識(shí)別:這種方法涉及直接與目標(biāo)系統(tǒng)進(jìn)行交互,通過使用各種技術(shù)和工具來主動(dòng)探測和獲取信息。例如,通過端口掃描、網(wǎng)絡(luò)映射、操作系統(tǒng)識(shí)別、漏洞掃描等手段,主動(dòng)足跡識(shí)別可以獲得更詳細(xì)和準(zhǔn)確的目標(biāo)組織信息。
足跡識(shí)別的方法
網(wǎng)絡(luò)安全專業(yè)人員可以采用以下足跡識(shí)別方法,收集目標(biāo)組織的詳細(xì)足跡信息:
●搜索引擎——使用主流搜索引擎中的高級(jí)搜索運(yùn)算符以及視頻、FTP和物聯(lián)網(wǎng)搜索引擎,收集關(guān)于企業(yè)組織的公開可用信息,防止社會(huì)工程攻擊。還可以使用高級(jí)的搜索黑客技術(shù),并參考Google等黑客數(shù)據(jù)庫(GHDB)來探測敏感信息和潛在的服務(wù)器漏洞。
●Web服務(wù)——可以利用許多在線平臺(tái)進(jìn)行足跡識(shí)別,例如人員搜索引擎、金融服務(wù)、商業(yè)概述網(wǎng)站、職位網(wǎng)站和公開源代碼存儲(chǔ)庫。這些平臺(tái)提供了豐富的數(shù)據(jù),可以用于分析用戶行為、推薦個(gè)性化內(nèi)容和服務(wù),并為企業(yè)和組織提供更精確的目標(biāo)定位和廣告投放。
●社交網(wǎng)站——可以通過員工在社交網(wǎng)站上公開發(fā)布的信息收集到有價(jià)值的個(gè)人和組織信息。這些信息可以用于社交工程、市場調(diào)研、競爭情報(bào)等方面,能夠整合和分析社交媒體數(shù)據(jù),揭示用戶的興趣、偏好、社交關(guān)系等,從而提供更準(zhǔn)確的用戶畫像和目標(biāo)定向。很多企業(yè)和組織也會(huì)通過這種方式來更好地了解其目標(biāo)受眾,并制定針對(duì)性的營銷和策略。
●網(wǎng)站收集——該技術(shù)監(jiān)視和分析目標(biāo)網(wǎng)站的信息,包括IP地址、域所有者、域名、子目錄、參數(shù)、站點(diǎn)主機(jī)、腳本平臺(tái)和操作系統(tǒng)詳細(xì)信息。這類技術(shù)使用多種工具,比如網(wǎng)站爬蟲、網(wǎng)站鏡像、監(jiān)視工具和網(wǎng)絡(luò)數(shù)據(jù)提取工具。通過對(duì)目標(biāo)網(wǎng)站的信息進(jìn)行監(jiān)控和分析,能夠獲取有關(guān)網(wǎng)站結(jié)構(gòu)、技術(shù)架構(gòu)和運(yùn)行環(huán)境的詳細(xì)了解。
●電子郵件——使用電子郵件跟蹤工具和分析電子郵件頭部,可以獲取發(fā)件人和收件人的IP地址、地理位置、路由路徑、代理、鏈接、操作系統(tǒng)和瀏覽器信息。這類足跡識(shí)別技術(shù)可以幫助企業(yè)識(shí)別可疑的郵件來源,檢測釣魚郵件和惡意鏈接,并提供更準(zhǔn)確的郵件過濾和安全防護(hù)。還可以幫助企業(yè)了解郵件的傳播路徑和接收者的行為習(xí)慣,從而改進(jìn)郵件營銷策略、提高郵件交付率和用戶參與度。
●WHOIS——WHOIS提供當(dāng)前的域名和所有者詳細(xì)信息,提供諸如域名、所有者聯(lián)系信息、創(chuàng)建日期和公共網(wǎng)絡(luò)范圍之類的信息,可以為企業(yè)組織開展市場調(diào)研、品牌保護(hù)和網(wǎng)絡(luò)安全預(yù)防提供支持。
●域名系統(tǒng)(DNS)——DNS記錄提供了所選擇網(wǎng)絡(luò)的區(qū)域數(shù)據(jù),比如IP地址、域的郵件服務(wù)器、CPU類型和操作系統(tǒng)等??梢酝ㄟ^DNS詢問和反向DNS查找方法獲取DNS信息。通過分析DNS信息,足跡識(shí)別技術(shù)可以提供更詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D、服務(wù)器配置信息和網(wǎng)絡(luò)架構(gòu)視圖,從而有助于網(wǎng)絡(luò)安全評(píng)估、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)調(diào)查等領(lǐng)域的工作。
●網(wǎng)絡(luò)足跡識(shí)別——通過分析網(wǎng)絡(luò)IP范圍,有助于了解目標(biāo)網(wǎng)絡(luò)的大小、分布和組織結(jié)構(gòu)。利用路由跟蹤數(shù)據(jù),可以追蹤數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸路徑,從而獲取目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。包括了解該網(wǎng)絡(luò)中的路由器、交換機(jī)和其他網(wǎng)絡(luò)設(shè)備的布局和連接方式。
●社會(huì)工程——一些攻擊者也會(huì)通過竊聽、背后偷窺和冒充等社會(huì)工程伎倆獲得敏感數(shù)據(jù)。
實(shí)施足跡識(shí)別的步驟
通過了解目標(biāo)組織的技術(shù)架構(gòu)和潛在安全風(fēng)險(xiǎn),可以采取相應(yīng)的措施,從而提高信息化系統(tǒng)的安全性。在足跡識(shí)別過程中一般會(huì)遵循四個(gè)關(guān)鍵步驟,以收集重要信息。
1.目標(biāo)識(shí)別。第一步是識(shí)別目標(biāo)組織和其系統(tǒng),以便進(jìn)行足跡識(shí)別。這可以通過掃描網(wǎng)絡(luò)以查找開放端口,或使用像Shodan和Censys這樣的物聯(lián)網(wǎng)搜索引擎來完成。在這個(gè)階段,主要目標(biāo)是識(shí)別出目標(biāo)系統(tǒng)的關(guān)鍵信息和網(wǎng)絡(luò)架構(gòu)。
2.信息收集。在此階段,主要收集與目標(biāo)組織相關(guān)的重要信息,包括獲取目標(biāo)的IP地址、開放端口和服務(wù)、用戶名和密碼等敏感數(shù)據(jù)。企業(yè)可以利用各種技術(shù)和工具,如網(wǎng)絡(luò)掃描、漏洞掃描、社交工程等,來完成這些信息的收集工作。
3.結(jié)果分析。在此階段主要是分析提取的數(shù)據(jù),以尋找潛在的漏洞和安全弱點(diǎn),或者將結(jié)果與已知漏洞進(jìn)行比對(duì),以確定可能的攻擊路徑。
4.模擬進(jìn)攻規(guī)劃。足跡識(shí)別的最后一個(gè)階段,就是根據(jù)之前收集到的數(shù)據(jù),模擬定制一些可用的攻擊利用或選擇合適的攻擊向量,以侵入易受攻擊的系統(tǒng)。攻擊規(guī)劃可能包括制定攻擊策略、選擇合適的工具和技術(shù),并考慮如何最大限度地利用發(fā)現(xiàn)的漏洞。
防御足跡識(shí)別攻擊的建議
●網(wǎng)絡(luò)安全是一個(gè)持續(xù)的過程,需要定期檢查和改進(jìn)安全措施,以適應(yīng)不斷變化的威脅環(huán)境。為增強(qiáng)系統(tǒng)的安全性,企業(yè)可以參考以下防御建議,來減少足跡識(shí)別攻擊的風(fēng)險(xiǎn):
●使用防火墻限制不必要的網(wǎng)絡(luò)流量,包括設(shè)置規(guī)則,以防止未經(jīng)授權(quán)的DNS流量,以及限制ICMP ping請(qǐng)求。
●監(jiān)控安全事件和日志文件,以查找可疑流量、畸形的DNS查詢和所使用的高級(jí)搜索參數(shù)。
●使用代理服務(wù)器阻止碎片化或畸形的數(shù)據(jù)包,這類數(shù)據(jù)包常用于足跡識(shí)別活動(dòng)。
●對(duì)IP地址空間進(jìn)行TCP、UDP和ICMP掃描,以評(píng)估網(wǎng)絡(luò)漏洞,提前發(fā)現(xiàn)敞開的端口。
●設(shè)置DNS記錄,確保日志信息是私密的。
●確保只有獲得授權(quán)的用戶才能訪問系統(tǒng)上的重要端口和服務(wù)。
●聘請(qǐng)信譽(yù)良好的滲透測試人員幫助識(shí)別安全缺口。
●定期監(jiān)測和更新漏洞,以保護(hù)系統(tǒng)免受攻擊。