在利用各种软件搜集到目标网络的信息后,接下来就应该识别出目标系统里联网的主机了,这个阶段的任务是识别目标的网络状态、操作系统和网络架构,以帮助测试人员在接下来的工作里枚举目标的各种服务。
识别主机,肯定首先要判断主机是否可以被我们访问,如果不能被我们访问,我们怎么识别主机呢?
0x00 ping
在检查主机是否在线的软件中,ping应该是最著名的程序了,该命令向目标主机发送ICMP协议的echo request数据包。如果目标主机在线且允许受理ping请求,那么目标将回复ICMP echo reply数据包(如果目标主机使用的IPv6地址,可以使用ping6程序来判断他是否在线)
如果需要屏蔽ping请求的数据包,可在防火墙里配置ICMP echo request的白名单,并屏蔽来自其他IP地址的ICMP echo request数据包
0x01 arping
arping是在局域网中使用ARP请求判断目标主机是否在线的工具。你可以使用IP地址或MAC地址作为它的测试目标(因为APRING程序工作于OSI模型中的第二层,ARP协议的数据包无法通过路由器和网管,所以它只能用来检测局域网中的主机)
我们使用arping程序判断某MAC地址的主机是否在线
目标主机IP: 192.168.149.129
arping 192.168.149.129 -c 1
上述命令检测MAC地址为00:0c:29:bf:32:a0的主机是否在线
0x02 fping
与ping命令相比,fping可以同时向多个主机发送ping(ICMP echo)请求。您可以在命令行中指定多个目标主机,也可以在某个文件里指定需要被检测的主机
默认模式下,fping程序通过目标主机的回复来判断该主机是否在线。如果目标主机发送了回应,该主机将会被标记为alive(在线);如果主机在一段时间内没有进行响应,该主机则会被标记为unreachable(不可访问)。默认情况下,fping将尝试向每个目标发送三次ICMP echo数据包
1、如果需要同时检测地址为168.49.1,192.168.169.129,192.168.1.123的主机是否在线,我们可以使用下面的命令
fping 192.168.49.1 192.168.169.129 192.168.1.123(每个IP地址之间用空格隔开)
2、如果不想逐IP的指定目标主机,我们可以指定目标主机的列表。假设我们知道168.149.0这个网段里有需要检测的目标主机,就可以直接用-g选项(生成列表)对整个网段进行检测
fping -g 192.168.149.0/24
3、如果改变探测目标主机的重试次数,则可在指令之间使用-r选项,默认情况下,探测次数是3
fping -r 1 -g 192.168.149.1 192.168.149.5
4、如需查看多个目标的统计结果,可用-s选项
fping -s www.yahoo.com.cn www.baidu.com dmzlab.com
0x03 hping3
hping3程序是命令行下的网络数据包生成和分析工具。在TCP/IP测试和安全测试里,例如在端口扫描,防火墙规则测试、网络性能测试时,都可能使用这个程序生成自定义的网络数据包,从而进行相应测试。
Hping3的研发团队在官方网站上(http://wiki.hping.org/25)上了它的主要用途
测试防火墙规则 测试入侵检测系统/IDS 测试TCP/IP模式的安全漏洞你可以通过命令行、互动界面、脚本的方式执行hping3
在不指定任何参数的情况下,直接运行hping3将向TCP的0号端口发送空数据
如果改变通信协议,可参照下述表格更改相应选项
编号 选项缩写 选项全称 描述 1 -o raw-ip 发送原始IP包 2 -1 icmp 发送ICMP包 3 -2 udp 发送UDP包 4 -8 scan 进入扫描模式 5 -9 listen 进入监听模式在发送TCP数据包时。我们可以不设置任何TCP标示(默认情况),还可以参考下述表格指定特定TCP标示
编号 选项 选项名称 1 -S Syn 2 -A Sck 3 -R Rst 4 -F Fin 5 -P Psh 6 -U Urg 7 -X Xmas:设置fin、urg、psh 8 -Y Ymas1、如果要向168.254.129发送1个ICMP echo请求,就要设置-1选项(使用ICMP协议)和-c 1(发送一次)选项
Hping3 -1 192.168.254.129 -c 1
在这里我们可以看到目标主机不在线
(这里只是介绍了hping3的一小部分功能,如果需要详细了解这个程序,请参见: http://wiki.hping.org )
0x04 nping
Nping允许用户发送多种协议(TCP、UDP、ICMP和ARP协议)的数据包。您可以调整协议头中的字段,例如可以设置TCP和UDP的源端口和目的端口。Nping和其他几个工具区别,如nping程序和ping程序之间的区别相似,nping可以探测多个主机的多个端口。
此外,它还可以像ping程序一样发送ICMP echo请求。Nping还可以用于对网络进行压力测试、ARP中毒,DOS攻击。
Nping支持多种探测模式,其对应的具体参数如下。
编号 模式选项 说明 1 tcp-connect 基础的tcp-connect功能 2 tcp TCP模式 3 udp UDP模式 4 icmp ICMP模式(默认模式) 5 arp ARP/RARP模式 6 tr Traceroute模式(仅与TCP/UDP/ICMP模式兼容)2、如需向多个目标发送ICMP echo(192.168.56.101,192.168.56.102,192.168.56.103)请求,可使用下面的命令
nping -c 1 192.168.56.101-103
3、在目标主机不相应ICMP echo请求数据包的情况下,我们可以向该主机开放的TCP端口发送TCP SYN数据包检验它是否在线
4、如果我们要向168.254.129主机的22端口发送一次(-c 1)TCP( tcp)数据包,可使用下述命令:
nping -c 1 -p 22 192.168.254.129 tcp
0x05 nbtscan
如果在内网渗透测试中审计windows系统,你首先要获得主机的NetBIOS信息。最常用的工具就是nbtscan
这个工具可以将目标主机IP地址,NetBIOS计算机名,可用服务,登录用户名和MAC地址整理为报告,如果才用NetBIOS协议访问目标主机的NetBIOS服务(例如网络共享),就要掌握目标主机的NetBIOS名称,这个工具将会产生大量的流量,而且很可能被目标主机记录在日志里
1、如需搜索局域网(168.245.0/24)内各个主机个NetBIOS名称,可以使用下述命令
nbtscan 192.168.245.0-254
2、然后可以用下面的命令查看这些主机运行了哪些服务
nbtscan -hv 192.168.245.0-254
从上面的结果可以看到各个主机所运行的服务。下一步我们就可以检测这些文件共享服务是否开放,继而访问其中的文件
0x06 p0f
p0f才用被动方式的方法探测目标主机的操作系统类型。这个工具可以识别以下几种主机:
链接到你主机的机器(SYN模式,默认模式) 你的主机可以访问的机器(SYN+ACK模式) 你的主机不能访问的机器(RST+模式) 你可以监控到其网络通信的机器这个程序通过自身发出的TCP数据包分析操作系统的类型。然后,它会统计在默认情况下不会产生的非标准数据包。例如:Linxu内核的操作系统默认使用64字节的ping数据包,而windows操作系统则使用32字节的ping数据包。这两个操作系统在TTL上同样存在差别。Windows发出的数据包是128,而不同linux版本的系统发出的TTL也各有不同,p0f正是根据这些细微的差别识别远程主机的操作系统
1、如需使用p0f程序识别远程计算机的操作系统,可以使用如下命令
p0f -f /etc/p0f/p0f.fp -o p-f.log
然后,你需要与这台主机建立TCP连接,产生一些网络流量,您可以浏览远程主机的文件,打开目标网址,或者让远程主机连接到你的主机,如果p0f成功识别出目标主机的操作系统,这个日志将会在日志文件(p0f.log)和屏幕上记录相关信息
除了上面的工具之外,你还可以使用nmap来对目标进行识别,如需深入了解,请参考本站文章http://dmzlab.com/77151.html(渗透测试工具Nmap从初级到高级) http://dmzlab.com/7751.html(nmap实用指南)