|
网络入侵者通常采取的第一步是通过端口扫描程序扫描目标机或网络令人吃惊的是以目标机的开放端口为基础对网络进行的攻击是多么的有条不紊您应该清楚除了Unix机外这是NT机显示不同开放端口的标准网络入侵者懂得查看端口扫描程序并通过相当准确的结果来断定它是一台NT机还是一台Unix机当然也有一些例外但一般情况下都能这样做最近业界发布了几个用来远程鑒别机器的工具但该功能目前还不能用于NT当攻击基于NT的网络时NetBIOS往往是首选的攻击对象因此NetBIOS就成为本文中第一个要探讨的重要课题用NetBIOS进行信息收集相当容易虽然要花费一点时间etBIOS一般被看作是开销很大的大容量协议速度往往很慢这也就是要耗费时间的原因如果端口扫描程序报告端口在目标机上是开放的那么接下来就是一个很自然的过程第一步是发出NBTSTAT命令NBTSTAT命令可以用来查询涉及到NetBIOS信息的网络机器另外它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文件这个命令在进行安全检查时非常有用用法nbtstat [a RemoteName] [A IP_address] [c] [n] [R] [r] [S][s][interval]参数a列出为其主机名提供的远程计算机名字表A列出为其IP地址提供的远程计算机名字表c列出包括了IP地址的远程名字高速缓存器n列出本地NetBIOS名字r列出通过广播和WINS解析的名字R消除和重新加载远程高速缓存器名字表S列出有目的地IP地址的会话表s列出会话表对话NBTSTAT生成的列标题具有以下含义Input接收到的字节数Output发出的字节数In/Out无论是从计算机(出站)还是从另一个系统连接到本地计算机(入站)Life在计算机消除名字表高速缓存表目前度过的时间Local Name为连接提供的本地NetBIOS名字Remote Host远程主机的名字或IP地址Type一个名字可以具备两个类型之一unique or group在个字符的NetBIOS名中最后一个字节往往有具体含义因为同一个名可以在同一台计算机上出现多次这表明该名字的最后一个字节被转换成了进制StateNetBIOS连接将在下列状态(任何一个)中显示状态含义Accepting: 进入连接正在进行中Associated: 连接的端点已经建立计算机已经与IP地址联系起来Connected: 这是一个好的状态!它表明您被连接到远程资源上Connecting: 您的会话试着解析目的地资源的名字IP地址映射Disconnected: 您的计算机请求断开并等待远程计算机作出这样的反应Disconnecting: 您的连接正在结束Idle: 远程计算机在当前会话中已经打开但现在没有接受连接Inbound: 入站会话试着连接Listening: 远程计算机可用Outbound: 您的会话正在建立TCP连接Reconnecting: 如果第一次连接失败就会显示这个状态表示试着重新连接下面是一台机器的NBTSTAT反应样本C:\>nbtstat CA xxxxNetBIOS Remote Machine Name TableName Type StatusDATARAT <> UNIQUE RegisteredRLABS <> GROUP RegisteredDATARAT <> UNIQUE RegisteredDATARAT <> UNIQUE RegisteredGHOST <> UNIFQUE RegisteredDATARAT <> UNIQUE RegisteredMAC Address = 您通过下表能掌握有关该机器的哪些知识呢?名称编号类型的使用 U 工作站服务 U 邮件服务\\_MSBROWSE_ G 主浏览器 U 邮件服务 U RAS服务器服务F U NetDDE服务 U 文件服务器服务 U RAS客户机服务 U Exchange Interchange U Exchange Store U Exchange Directory U 调制解调器共享服务器服务 U 调制解调器共享客户机服务 U SMS客户机远程控制 U SMS管理远程控制工具 U SMS客户机远程聊天 U SMS客户机远程传输C U DEC Pathworks TCP/IP服务 U DEC Pathworks TCP/IP服务 U Exchange MTAA U Exchange IMCBE U网络监控代理BF U网络监控应用 U邮件服务 G域名B U域主浏览器C G域控制器D U主浏览器E G浏览器服务选择C G Internet信息服务器 U Internet信息服务器[B] U Lotus Notes服务器IRISMULTICAST [F] G Lotus NotesIRISNAMESERVER [] G Lotus NotesForte_$NDZA [] U DCA Irmalan网关服务Unique (U): 该名字可能只有一个分配给它的IP地址在网络设备上一个要注册的名字可以出现多次但其后缀是唯一的从而使整个名字是唯一的Group (G): 一个正常的群一个名字可以有很多个IP地址Multihomed (M): 该名字是唯一的但由于在同一台计算机上有多个网络接口这个配置可允许注册这些地址的最大编号是Internet Group (I): 这是用来管理WinNT域名的组名字的特殊配置Domain Name (D): NT 提供的新内容网络入侵者可以通过上表和从nbtstat获得的输出信息开始收集有关您的机器的信息有了这些信息网络入侵者就能在一定程度上断定有哪些服务正在目标机上运行有时也能断定已经安装了哪些软件包从传统上讲每个服务或主要的软件包都具有一定的脆弱性因此这一类型的 信息 对网络入侵者当然有用
|
