很重要的来了

防火墙扫描 公司网咯边界有防火墙保护

目标 尽可能隐蔽扫描防火墙过滤规则 开放端口 当不想让防火墙注意 同时通过判断防火墙过滤那那些端口

只容许某个地址访问

四种防火墙状态识别

目标系统 使用各种各样的负载均衡

有2类 广域网负载均衡 和局域网负载均衡 

广域网 就是dns 访问域名 同一个域命可能被解析到多个ip地址上 第一次1.1 或者1.2 总之就是一个域名对应多个ip 

另外一种 智能dns 同一的域名在不同的地方 被解析到ip地址不一样的 

服务器负载均衡  Nginx Apache 应用层

软件开发也有组件内

早扫描阶段初期是有必要进行发现一个域名有多少服务器 因为 每个服务器的安全防御是不一样的（人性） 有的可以发现漏洞 或者本身负载均衡是存在漏洞的 

kali集成啦这类工具 

扫描出来的ip就是这些负载均衡的设备不是真实的服务器  通过转发 将用户的请求发送给后方的服务器上 通过这种方式 隐藏后端 还有就是 负载均衡本身可以安装防护手段 

lbd+ip）（域名）

waf（web应用防火墙）主要的方式 基于规则的过滤  缺点 可以绕过

基于机器学习 词法语法过滤在扫描阶段有必要做 因为探测到waf 就可以想到办法去绕过

isa 企业办公

nmap检测脚本

防火墙识别

nmap -p22 192.168.1.134       //默认用SYN扫描

nmap -p22 192.168.1.134 -sA   //用SYN/ACK扫描

广域网负载均衡

 ·DNS                        //同一个域名解析成不同IP地址

HTTP-Loadbalancing 

     ·Nginx

     ·Apache

lbd www.baidu.com

WAF识别

·WEB应用防火墙

wafw00f

nmap www.microsoft.com --script=http-waf-detect.nse

主动信息收集

• 直接与目标系统进行交互
• 无法避免留下访问痕迹
• 使用受控的第三方电脑进行探测 
  • 使用代理或已经被控制的主机
  • 做好被封杀的准备
  • 使用噪声迷惑目标，淹没真实的探测流量
• 扫描 
  • 发送不同的探测，根据返回结果判断目标状态

发现阶段

• 识别活着的主机 
  • 潜在的被攻击目标
  • 输出一个IP地址列表
  • 2、3、4层的发现 
    

二层发现(arp协议)

优点：扫描速度快、可靠 
缺点：不可路由 
Arp协议：抓包

arping

• arping 1.1.1.1 -c 1
• arping 1.1.1.1 -d
• arping -c 1 1.1.1.1 | grep “bytes from” | cut -d” “-f 5 | cut -d “(” -f 2 | cut -d”)” -f 1
• 脚本
• arping1.sh eth0 > addrs
• arping2.sh addrs

nmap

• namp 1.1.1.1-254 -sn
• nmap -iL iplist.txt -sn

Netdiscover

• 专用于二层发现
• 可用于无线和交换机网络环境
• 主动和被动探测 
  • 主动 
    netdiscover -i eth0 -r 1.1.1.0/24 
    netdiscover -l iplist.txt
  • 被动
  • netdiscover -p
• 主动arp容易触发报警

scapy

作为python库进行调用 
也可作为单独的工具使用 
抓包、分析、创建、修改、注入网络流量

• apt-get install python-gnuplot
• scapy 
  • ARP().display()
  • srl()
• python脚本

三层发现(ip协议，icmp协议)

• 优点 
  • 可路由
  • 速度比较快
• 缺点 
  • 速度比二层慢
  • 经常被边界防火墙过滤
• IP、icmp协议

ping

• ping 1.1.1.1 -c 2
• ping -r 1.1.1.1 / traceroute 1.1.1.1
• ping 1.1.1.1 -c 1| grep “bytes from” | cut -d “” -f 4 | cut -d “:” -f 1
• 脚本 
  • ping.sh 1.1.1.0

四层发现

• 优点 
  • 可路由且结果可靠
  • 不太可能被防火墙过滤
  • 甚至可以发现所有端口都被过滤的主机
• 缺点 
  • 基于状态过滤的防火墙可能过滤扫描
  • 全端口扫描速度慢
• TCP 
  • 未经请求的ACK——RST
  • SYN——SYN/ACK、RST

• UDP

  • ICMP端口不可达、一去不复返

• ACK——TCP port——RST

• UDP——UDP Port ——ICMP
• scapy
• nmap
• hping

端口扫描

udp端口扫描

• scapy
• nmap

TCP端口扫描

• 基于链接的协议
• 三次握手 
  • 所有的TCP扫描方式都是基于三次握手的变化来判断目标端口状态

隐蔽扫描——syn

• 不建立完整链接
• 应用日志不记录扫描行为
• syn——syn/ack——rst
• scapy
• nmap
• hping3

僵尸扫描

• 实施条件： 
  • 可伪造源地址
  • 僵尸机：闲置系统 系统使用递增的IPID

全连接扫描

• scapy
• nmap
• dmitry
• nc

服务扫描

识别开放端口上运行的应用 
识别目标操作系统 
提高攻击效率

banner获取

软件开发商 
软件名称 
服务类型 
版本号（直接发现已知的漏洞和弱点）

• 连接建立后直接获取banner
• 另类服务识别方法 
  • 特征行为和响应字段
  • 不同响应可用于识别底层操作系统

操作系统识别

种类繁多 
好产品采用多种技术组合

TTL起始值：

• windows：(65-128)
• linux/unix:64(1-64)
• 某些unix：255

被动操作系统识别 ：

IDS

抓包分析

被动扫描

• p0f 
  • 结合ARP地址欺骗识别全网os)

python

SNMP(简单网络管理协议)分析

信息的金矿 
经常被错误配置

• public/private/manager
• MIB Tree：
• SNMP Management information
• 树形的网络设备管理功能数据库
• onesixtyone
• snmpwolk snmpcheck

SMB扫描

• nmap
• nbtscan
• enum4linux

SMTP

• nc VRFY root
• nmap

• smtp-user-enum

  • 防火墙识别 
    通过检查回包，可能识别端口是否经过防火墙过滤 
    
• scapy

负载均衡识别

• 广域网负载均衡 
  • DNS

• HTTP-Lodbalancing

  • Nginx
  • apache
• ldb

WAF识别

• web应用防火墙
• waf00f
• nmap

工具

• nc
• python socket
• dmitry
• amap
• nmap

版权声明： https://

防火墙识别

>检查回包

`scapy`

`nmap`

负载均衡识别

广域负载均衡识别-DNS

>服务器常用：Nginx，Apache

`lbd`

WAF识别-web应用防火墙

`wafw00f`

`nmap`