信息收集的主要目的是尽可能多地发现有关目标主机的信息。获取信息越多，对目标成功渗透的几率就越大。

• 被动式信息收集 不需要对目标机器建立任何物理连接，而是用其他信息源来获取目标机器的有关信息。
• 主动式信息收集 需要与目标主机建立物理连接来获取信息，这种方式能够获取更多的信息，可作为理解目标主机的安全性的参考依据。
• 社会工程学 与被动式信息收集类似，但主要依赖于人为错误的信息泄露。

被动式信息收集

whoiswhois查询结果展示了目标Web网站很多相关信息，包括DNS服务器、创建日期、过期时间等等。

dig另一种被动式获取信息的方式是查询DNS记录，最常见的是使用dig命令（Unix默认包含）。 dig命令可用于实现主机名和IP地址之间的双向解析，此外，dig命令可以用于从名服务器上手机版本信息，这些信息对于目标主机的攻击渗透可以起到一定辅助作用。dig命令可用于发现SPF（Sender Policy Framework，发送者策略框架）记录，SPF记录定义了域的邮件发送策略。

nslookup识别主DNS服务器具有一定的困难，可以使用Nslookup命令。Nslookup命令与dig命令一样灵活，但默认提供用于识别主服务器的更简单的方法。

区域传送该方法是用于DNS服务器在多个服务器之间交换某个域的授权记录，可用于在主服务器和从服务器之间传送域信息的大块列表。若DNS服务器配置不当，则会对客户端查询进行响应并提供被查询域的相关信息。

分析SMTP头

Google dorks Google搜索者会通过Internet访问而看到目标服务器上本来用于内部使用的特定文件和文档，并可以在搜索结果中对其进行索引。利用一些Google搜索技巧可以挖掘一些结果。

端口扫描

通常，在进行端口扫描时是利用相关工具来进行的，而最常见的工具即是nmap。

TCP connect扫描 （参数名称为-sT）为nmap的默认扫描类型，遵循TCP三次握手过程。

SYN Scan扫描 （参数名称为-sS）一种隐蔽的扫描技术，不需要与服务器建立完全连接（仅建立半连接），因此被称为半开扫描。

UDP Scan扫描 （参数名称为-sU）用户识别UDP端口的扫描技术。其过程为发送0字节的UDP数据包，如果返回ICMP端口不可达，即为关闭状态。

ACK Scan扫描 （参数名称为-sA）可判断端口是否被防火墙过滤。如果防火墙过滤该端口，则目标无响应，否则将返回RST数据包。

操作系统与版本检测 （检测操作系统参数为-O， 检测版本为-sV）由于不同的操作系统在连接建立过程中，所发回的响应报文或在特定状态下的执行规程皆有不同（可认作操作系统的指纹）。因此可获取其指纹特征来判断目标主机的操作系统版本。

增加匿名性 通常，目标主机会对连接请求进行日志记录，如果不采用安全隐蔽措施进行扫描，防火墙和IDS将会揭露扫描者的IP地址，nmap提供-D选项，将增加其他的扫描源，用以混淆试听。

metasploit使用扫描辅助模块

使用辅助模块需要三个步骤：

1. 激活模块，使用use命令将特定模块设置为等待执行命令的活跃状态；
2. 设置规范，使用set命令设置在该模块执行过程中所需要的参数；
3. 运行模块，使用run命令执行模块并生成相应结果。