2.1 网站信息搜集

网站是一个网络或集团的身份象征，它直接暴露在因特网上，为来访者提供服务，或被集团、公司用来开展业务，因而网站的安全问题就显得尤为重要。不知从何时开始，“入侵网站”、“涂鸦网站”成了入侵者用来证明自己实力的“竞赛”。

2.1.1 相关知识

1．IP地址

在Internet上有千百万台计算机，为了区分这些计算机，人们给每台计算机分配了一个惟一的标识，称为IP地址。现在广泛使用的IP地址规范属于IPv4（IP协议第4版）中规定的标准。IP地址由4部分组成，每部分对应8位二进制数字，各部分之间用小数点分开。

Internet IP地址由NIC（Internet Network Information Center，因特网信息中心）机构统一管理。NIC负责全球地址的规划、管理。

一台计算机可以有多个不同的IP地址，但是同一个IP地址不能分配给一台以上的计算机。

从IP地址的时间有效性划分，可分为固定IP地址和动态IP地址。

固定IP：固定IP地址是长期分配给一台计算机使用的IP地址，一般来说，服务器都拥有固定的IP地址。

动态IP：由于IP地址资源比较珍贵，一般来说，电话拨号上网或宽带上网的用户使用的是由ISP（网络服务提供商）动态分配的一个临时IP地址。也就是说，每次拨号上网基本上都使用不同的IP地址。

从IP地址的使用范围划分，可分为公有IP地址和私有IP地址。

公有IP地址（Public address）：由Inter NIC负责管理，需要向其提出申请，注册才能使用。

私有IP地址（Private address）：也就是大家常说的内网地址，是专门划分出来的一段IP地址资源，供组织机构内部使用，不需要注册。

2．关于网站的一些知识

这里提及的“网站”指的是Web服务器，也可以称之为HTTP服务器。它以超文本传输协议的方式提供服务，以超文本标记语言（HTML）作为基础来形成网页。超文本传输协议是一种按照人类习惯的思维方式来组织信息的一种格式，它使用“超链接”把不同的媒体，如图片、音乐、电影等组织在一起。网站提供的服务主要有网页浏览、软件下载、在线视频、搜索引擎，以及电子商务平台。

提示：网站的开发流程如下。

首先，需要由网页设计师用相关软件编写网页，如使用Dreamweaver，FrontPage等网页设计软件；然后，由专门的Web服务器软件建立网站，如IIS，Apache Server等。一切准备工作就绪后，就可以由网站负责人向有关机构申请域名来发布网站了。

3．IP地址的分配

前面已经说过，网络中的每一台计算机，必须有自己的IP地址，那么怎样才能使自己的IP地址不和其他计算机“冲突”呢？这需要IP地址管理机构统一管理，然后把IP地址一层一层地分配。例如，假设全球IP地址管理机构给中国分配一个IP段1.0.0.0，然后中国的IP地址管理机构可以把这个IP段再具体划分给下级IP地址管理机构，如1.1.0.0。IP地址就是这样被一层一层地划分，直到把IP分配给每一台终端计算机。

需要补充说明的是，下列IP地址，也就是私有IP地址，不需要向有关IP管理机构申请，但只能供内网使用，而且同一内网中不能将同一IP分配给不同的主机。

è 10.x.x.x

è 172.16.x.x~172.31.x.x

è 192.168.x.x

4．常用DOS命令

（1）查询本机IP地址命令

打开MS-DOS。

对于Windows 9x系统，选择【开始】→【运行】，键入“command”命令，如图2-1所示。

对于Windows 2000/XP/2003系统，选择【开始】→【运行】，键入“cmd”命令，如图2-2所示。

图2-1 图2-2

查询本机IP。

对于Windows 9x系统，键入“winipcfg”命令后打开的窗口如图2-3所示。

对于Windows 2000/XP/2003系统，使用ipconfig命令，如图2-4所示。

图2-3 图2-4

（2）ping命令简介

ping命令是入侵者经常使用的网络命令，该命令应用的是简单网络管理协议ICMP的一个管理方法，其目的就是通过发送特定形式的ICMP包来请求主机的回应，进而获得主机的一些属性。它的使用有些“投石问路”的味道。道理虽然简单，但是这个命令的用途却非常广泛，通过这个命令，入侵者可以来试探目标主机是否活动，可以来查询目标主机的机器名，还可以配合ARP命令查询目标主机MAC地址，甚至可以推断目标主机操作系统，或者进行DDoS攻击等。

ping命令的使用格式：

ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]

[-r count] [-s count] [[-j host-list] | [-k host-list]]

[-w timeout] destination-list

常用参数说明：

-t 一直ping下去，用Ctrl+C结束。

-a ping的同时把IP地址转换成主机名。

-n count 设定ping的次数。

-i TTL 设置ICMP包的生存时间（指ICMP包能够传到临近的第几个节点）。

下面举两个例子进行说明。

è 试探目标主机是否活动。

命令使用格式：ping 主机IP

C:\>ping 192.168.245.130

Pinging 192.168.245.130 with 32 bytes of data:

Reply from 192.168.245.130: bytes=32 time=10ms TTL=1

Reply from 192.168.245.130: bytes=32 time<10ms TTL=1

Ping statistics for 192.168.245.130:

Packets: Sent = 4, Received = 4, Lost = 0 <0% lo ss>，

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 10ms, Average = 2ms

从返回的结果“Reply from 192.168.245.130: bytes=32 time=10ms TTL=1”来看，目标主机有响应，说明192.168.245.130这台主机是活动的。下面的结果是相反的情况：

C:\>ping 192.168.245.130

Pinging 192.168.245.130 with 32 bytes of data:

Request timed out.

Ping statistics for 192.168.245.130:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

从返回的结果“Request timed out.”来看，目标主机不是活动的，即目标主机不在线或安装有网络防火墙，这样的主机是不容易被入侵的。

è 使用ping命令探测操作系统。

不同的操作系统对于ping的TTL返回值是不同的，参见表2-1。

表2-1 不同的操作系统对ping的TTL返回值

^操作系统	^默认^TTL^返回值
^UNIX^类	²⁵⁵
^{Windows 95}	³²
^{Windows NT/2000/2003}	¹²⁸
^{Compaq Tru64 5.0}	⁶⁴

此外，Linux Kernel 2.2.x & 2.4.x的TTL字段值为64。

因此，入侵者便可以根据不同的TTL返回值来推测目标究竟属于何种操作系统。对于Windows系统，网管可以通过修改注册表来改变默认的TTL返回值。在后面，还将看到使用一些小工具同样可以探测目标主机的操作系统。

Windows系列的系统可以通过修改注册表以下键值来改变默认的TTL返回值：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "DefaultTTL"= dword:000000ff

2.1.2 信息搜集

1．由域名得到网站的IP地址

在已知域名的情况下入侵者是如何得到目标的IP地址的呢？他们可以通过下面几种方法来实现。

（1）方法一：ping命令试探

使用命令：ping域名。

例如，入侵者想知道163服务器的IP地址，可以在MS-DOS中键入“ping www.163.com”命令，如图2-5所示。

图2-5

从图2-5可以看出，www.163.com对应的IP地址为202.108.36.153。

（2）方法二：nslookup命令

在MS-DOS中键入“nslookup”命令，如图2-6所示。

图2-6中的202.□.□.6是本机所在域的DNS服务器，在提示符“>”后键入“www.163.com”命令，回车后便可以得到域名查询结果，如图2-7所示。

图2-6

图2-7

从图2-7返回的结果分析，Address后面所列的就是www.163.com所使用的Web服务器群的IP。

上面介绍的是入侵者经常使用的两种最基本方法。此外，还有一些软件附带域名转换IP的功能，实现起来更加简单，功能更加强大。从这两种方法中可以看出，ping命令方便、快捷，nslookup命令查询到的结果更为详细。

2．由IP得到目标主机的地理位置

由于IP地址的分配是全球统一管理的，因此入侵者可以通过查询有关机构的IP地址数据库来得到该IP所对应的地理位置，由于IP管理机构多处于国外，而且分布比较零散，因此这里介绍两个能查询到IP数据库的国内个人网站。

网站一：http://www.intron.ac/service/index.html。如图2-8所示。

例如，要查询202.108.36.153的地理位置，可在图2-8的“IP地址”右面的文本框中输入“202.108.36.153”，然后单击“查询”按钮，就会得到如下查询结果。

你要查询的是"202.108.36.153"，它被理解为"202.108.36.153"

准确性排序：域名反向解析 > 本站补充数据 > 官方数据 > 非官方数据

域名反向解析：

本站补充数据：

官方数据：

在亚洲与太平洋网络信息中心（APNIC）找到：

% [whois.apnic.net node-2]

% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

网络地址范围： 202.108.0.0 - 202.108.255.255

网络名： CNCGROUP-BJ

单位全名和地址： CNCGROUP Beijing province network

单位全名和地址： China Network Communications Group Corporation

单位全名和地址： No.156,Fu-Xing-Men-Nei Street,

……202.10

……

图2-8

网站二：http://ip.loveroot.com。如图2-9所示，在“IP地址”中填入欲查的IP，单击“查询”按钮后，便会得到查询结果。但是该网站只能给出大致的地理位置。

3．网站基本信息查询

商业网站中都会有的标志，它一般会在主页的最下角，是国家工商局用来管理经营性网站的红盾标志（http://www.hd315.gov.cn/），里面记录了网站的备案登记信息。因此，凡是经营性网站都会有这个“红盾”链接，单击该链接，就会看见工商局公布的关于该网站的一些基本信息，如图2-10所示。

图2-9

图2-10

2.1.3 网站注册信息搜集

众所周知，一个网站在正式发布之前，需要向有关机构申请域名。申请到的域名信息将保存在域名管理机构的数据库服务器中，并且域名信息常常是公开的，任何人都可以查询。然而正是这个域名信息暴露给入侵者许多敏感信息。

这样，常常可以轻易得到的信息有：

è 注册人的姓名；

è 注册人的E-mail，甚至联系电话、传真；

è 注册机构、通信地址、邮编；

è 注册有效时间、失效时间。

通常，查询域名注册信息的方法被称为“WHOIS”。Linux系统中自带WHOIS命令，而Windows系统中并没有。不过，可以通过以下几个网站来查询域名注册信息。

1．中国互联网络信息中心（http://www.cnnic.com.cn）

中国互联网络信息中心是比较权威的机构，记录着所有以cn为结尾的域名注册信息，其查询界面如图2-11所示。

图2-11

2．中国万网（http://www.net.cn）

中国万网，号称是中国最大的域名和网站托管服务提供商，不仅提供.cn的域名注册信息，而且还有.com、.net等，不过查询结果是英文的。查询界面如图2-12所示。

图2-12

下面通过两个实例来介绍具体的域名注册信息查询过程。

实例一：查询新浪网域名注册信息

由于新浪域名“SINA.COM.CN”以“cn”为后缀，所以通过中国互联网络信息中心进行查询，进入“CN域名注册信息查询”界面，在域名查询右面的文本框中输入“SINA.COM. CN”，如图2-13所示。

图2-13

按回车键，得到新浪注册信息，如图2-14所示。

^域名	^sina.com.cn
^域名状态	^ok
^{域名联系人}	^…
^注册者	^{北京新浪信息技术有限公司}
^{管理联系人电子邮件}	^{guomin@staff.sina.com.cn}
^{所属注册商}	^{中国互联网络信息中心}
^{域名服务器}	^{ns3.sina.com.cn}
^{域名服务器}	^{ns2.sina.com.cn}
^{域名服务器}	^{ns1.sina.com.cn}
^注册日期	^{1998-11-20 00:00}
^过期日期	^{2006-11-20 00:00}

图2-14

实例二：查询Sony公司网站域名注册信息

由于Sony是国外公司，不能通过中国互联网络信息中心进行查询，因此这里使用万网进行查询。在查询框中填入“Sony”，然后在下面每个框中打勾，如图2-15所示。

图2-15

单击“查询”按钮，得到结果如图2-16所示。

已被注册的域名：

sony.info

sony.gov.cn

sony.org

sony.biz

sony.org.cn

sony.cn

sony.name

sony.com.cn

sony.net

sony.cc

sony.net.cn

sony.tv

sony.com

图2-16

单击sony.org，得到如下所列的域名注册信息：

sony.org的详细信息：

NOTICE: Access to .ORG WHOIS information is provided to assist persons in

determining the contents of a domain name registration record in the PIR

registry database. The data in this record is provided by Public Interest Registry

for informational purposes only, and PIR does not guarantee its

……

time. By submitting this query, you agree to abide by this policy.

Domain ID:D4524618-LROR

Domain Name:SONY.ORG

Created On:03-Nov-1998 05:00:00 UTC

Last Updated On:19-Oct-2003 09:08:24 UTC

Expiration Date:02-Nov-2006 05:00:00 UTC

Sponsoring Registrar:Register.com Inc. (R71-LROR)

Status:OK

Registrant ID:C10194343-RCOM

Registrant Name:Account Masking

Registrant Organization:register.com

Registrant Street1:575 Eighth Avenue

Registrant Street2:

Registrant Street3:

……

Admin Postal Code:95134-1901

Admin Country:US

Admin Phone:+1.4089555556

Admin Phone Ext.:

Admin FAX:+1.4089555950

Admin FAX Ext.:

Admin Email:hostmaster@sony.com

Tech ID:C11798055-RCOM

Tech Name:Ted Asocks

Tech Organization:SonyElectronics,Inc.

Tech Street1:3300ZankerRoad,MD:SJ2D2

Tech Street2:

……

Name Server:NS5.SONY.COM

……

可见，入侵者并不需要使用任何特别的入侵工具就可以获得如此多的敏感信息。虽然这些信息不能造成直接入侵，但只要入侵者留心，他们总会从这些信息中整理出有用的东西。因此可以说，这些信息的存在在一定程度上降低了网站的安全指数，留下了安全隐患。

2.1.4 结构探测

若要对一个网站发起入侵，入侵者必须首先了解目标网络的基本结构。只有清楚地掌握了目标网络中防火墙、服务器的位置后，才会进行进一步的入侵。因此，这里有必要了解一下入侵者如何探测目标网络的基本结构。

一般来说，网络的基本结构如图2-17所示。

图2-17

è 服务器（Server）：用来提供各种服务，这里专指Web服务器。

è 路由器（Router）：用来决定数据包的流向，可以把它比喻成“导游”，它的任务就是设法将数据包完好无损地传输到目的地。在内网与因特网的连接处，必须由路由器来做数据包的“导游”。

è 防火墙（Firewall）：即网络防火墙，用来抵御入侵者的进攻，能把一些非法的请求拒之门外，是入侵者的天敌。可以这样说，即使是一个配置简单的防火墙，也能够抵御大多数的入侵。

以上就是网络的基本结构，当然，这里提出的只是最简单并具有代表意义的网络结构模型，而实际的网络要比这复杂得多。

对于探测目标网络结构，Linux系统中有比较好的工具，如Chepos。Chepos把许多功能集成到了一起，并以图形方式自动发现、显示目标网络的结构，如图2-18所示。

图2-18

本书主要讨论基于Windows平台的入侵，并不介绍Linux系统中的工具。如果感兴趣，可以到http://www.marko.net/cheops去查看，上面有对其使用方法更详细的描述。相对于Linux，Windows平台过于简单，只能用一些工具大体上推断目标网络的基本结构。

1．实例一：VisualRoute探测

VisualRoute是图形化的路由跟踪工具，它是为了方便网管分析网络故障节点而设计的。可以使用专门的VisualRoute软件，也可以到http://www.linkwan.com/vr/使用该网站提供的VisualRoute功能，其界面如图2-19所示。

图2-19

VisualRoute Server集成了ping，WHOIS与traceroute程序功能，自动分析网络连接结果并呈现在世界地图上（鼠标左键放大，右键缩小），提供从北京、香港、台湾、上海、深圳、中山到指定的任一个域名或IP的ping结果和图形化的路由信息。

例如，要探测数据包是如何从北京到达美国的著名搜索引擎google的，在“Enter Host/URL”填入“www.google.com”，单击“Start Trace”按钮后得到的结果如图2-20所示。

图2-20

从回显的结果中看到，该工具不仅能够列出所经过每一节点的IP地址，所在时区、域名及延迟时间，而且可图形化地显示数据包流向的路径。

说明：

地图放大——单击鼠标左键。

地图缩小——单击鼠标右键。

地图移动——用鼠标拖曳地图。

Hop（跳）——经过一个网络节点称为“一跳”。

%loss——丢包率。

IP Adderss——IP地址。

Node Name——节点名。

Location——节点所处的位置。

Tzone——时区。

ms——延时。

Graph——图形显示延时。

Network——所在网络名称。

如图2-21所示的地图，显示了所有节点的连接路径，而且它可以被放大，通过该地图，可以一览整个世界。

该网站除了使用北京的测试点，还可以通过单击图2-21中的任意红点来选择其他测试点。

通过以上任一方法都可以得到数据包是如何达到目标网络的，进而按照前面介绍过的网络基本结构模型，就可以判断出目标网络防火墙、路由器和服务器的IP地址及关键节点。

图2-21

2．实例二：tracert命令推断

（1）tracert命令介绍

tracert是路由跟踪命令，通过该命令的返回结果，可以获得本地到达目标主机所经过的网络设备。

用法：tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

参数说明：

-d 不需要把IP地址转换成域名

-h maximum_hops 允许跟踪的最大跳数

-j host-list 经过的主机列表

-w timeout 每次回复的最大允许延时

（2）tracert工作原理

在前面介绍过的ping命令中有一个TTL参数，该参数用来指定ICMP包的存活时间，这里的存活时间是指数据包所能经过的节点总数。例如，如果一个ICMP包的TTL值被设置成2，那么这个ICMP包在网络上只能传到邻近的第二个节点；如果被设置成“1”，那么这个ICMP包只能传到邻近的第一个节点。tracert就是根据这个原理设计的，使用该命令时，本机发出的ICMP数据包TTL值从“1”开始自动增加，相当于ping遍历通往目标主机的每个网络设备，然后显示每个设备的回应，从而探知网络路径中的每一个节点。