​​​​​​​

信息收集

目的

攻击者无法攻击一个他一无所知的网络，所以网络攻击的第一步就是目标网络的信息收集。

信息收集帮助攻击者决定用什么方式展开攻击。

方法

互联网搜索、社会工程等。

从高度碎片化的目标网络信息中提取关联对攻击有利的部分，比如IP地址、子域名、数据库的类型等。

因此，对于一家企业来说，很多和该企业相关的信息都可能被利用，防止信息的泄露以及控制信息的发布能够降低企业面临的安全风险。

内容

目标基本信息

企业概况、工商注册，通过基本信息，定位其核心价值资产。

目标组织架构

企业流程运转、部门设置、职能规划等最基本的结构依据。

扩大攻击面、增加成功率。

其他公开信息

目标新闻、论坛、会议发言、招投标信息、泄露的文库文件等

通过目标官网、搜索引擎进行此类信息收集

加深对目标的了解，以备后续实施定向攻击

目标域名信息

whois信息、域名历史信息收集、注册人/注册邮箱/注册电话反查，是技术手段收集的第一个步骤。

通过whois反查可以通过邮箱查找到同一个邮箱备案的多个域名。这些域名通常在网络上有比较多的关联。

目标子域名

目标的二级、三级域名。发现运行在隐藏的、被遗忘的子域名上的应用程序可能意味着发现关键的漏洞。

子域名收集的深度和广度决定了进行攻击时的范围，在一定程度上也决定了是否可以成功突破目标边界系统

目标ip

目标对外开放的应用于对外服务的IP地址。当通过子域名无法突破目标的防御时，通过对这些IP及其开放的端口和服务进行攻击，往往可以取得不错的效果，当目标体量很大时，对外暴露的边界随之增大，甚至有不在管理以及保护范围内的地址。

邮件信息收集

目标存在的邮件地址和邮件登录系统。

利用邮件地址可以对目标进行口令暴力破解或钓鱼攻击

聊天群组（办公群组）

利用手段一般为身份仿冒加入群组获取价值信息

历史漏洞

以往在互联网公开的目标的各系统漏洞信息。利用此类信息可以收集目标域名信息、IP信息、系统结构，甚至可以对修复不完善的漏洞进行二次利用。

主要手段为通过搜索引擎进行收集。

网络探测

网络扫描

根据对方服务所用的协议，在一定时间内，向对方发送探测报文，并根据对端的行为来判断对端的状态，还可以进一步推测出对端的特性和身份，从而为入侵活动提供更多的网络信息。

主机发现

通过arp请求与应答，判断同一网段内特定IP主机是否存活

通过icmp echo request/reply,判断不同网段内特定IP主机是否存活

通过尝试连接对端IP可能打开的tcp端口，如果可以建立TCP连接则对端存活。例如nmap，在执行主机发现时，默认向对端发送icmp echo request、向443、80端口发送tcp syn报文，向80端口发送tcp ack报文，以及一个icmp timestamp request报文，只要收到了对端的任何回应，都会认为对端主机是存活的。

端口扫描

为了缺点对端主机开启何种服务，从而为入侵寻找入口，通过tcp三次握手建立连接特性，根据对端对扫描者主动发起的tcp连接请求的回应情况判断对端端口是否打开。

服务识别

识别开启的服务和服务的版本。

某些协议会主动告知访问者自己的身份，比如ssh，当客户端与服务器完成tcp握手时，会主动发送欢迎消息，这其中就可能包含版本信息，具有此特征的还有ftp、telnet、smtp等。

主机识别

识别主机的操作系统，从而可能利用操作系统本身的漏洞。

防御网络扫描

对于端口扫描和主机发现

传统通常在网络设备上设置扫描阈值，如果某源IP访问其他IP地址的速率或者访问不同目的端口的速率超过了阈值，则将此行为视为扫描行为，并将源IP地址加入黑名单，从而阻断扫描者的扫描行为。

缺点

阈值的设定比较困难。

过低：产生较多误报，阻断正常流量

过高：无法识别扫描行为

无论如何设置，都可以通过降低扫描速率来绕过检测，在内网横向渗透过程中，扫描有可能是手动进行的，其速率可能会很低。

解决方案：网络诱捕

综合使用蜜罐技术以及引流技术，不仅可以阻止攻击者对网络展开的tcp端口扫描和主机发现，还可以利用蜜罐阻延、误导攻击者，同时掌握攻击者的意图以及技术手段。

网络诱捕技术

蜜罐

布置一些作为诱饵的主机、网络服务或者信息，诱使攻击放对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方了解所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

缺点

被动等待，如果攻击者没有注意到蜜罐提供的虚假服务，也就不会对蜜罐展开攻击，部署效率就会比较低下。

网络诱捕技术

方案由诱捕器和诱捕探针两部分组成，诱捕产生的日志信息可以上送到华为cis，由cis进行关联分析、威胁呈现。

诱捕器可以理解为一组蜜罐。诱捕器提供常见的网络服务，比如http、smb、ssh等，并且这些服务通过容器技术与操作系统隔离，并预置一些漏洞，引诱入侵者实施攻击，从而可以识别并记录攻击行为，并向攻击者提供虚假的信息，从而误导或拖延攻击进程。

诱捕探针可以是交换机或者防火墙的形态，负责识别网络中的扫描行为，包括主机扫描、端口扫描、非法域名访问等，并将流量引导至诱捕器。

诱捕器

支持多种仿真业务，如http、https、ssh、ftp、rdp、smb、telnet、redis、mysql、oracle、sql server等

部署场景

自动感知不存在的ip诱捕

1、攻击者攻击1.1.1.101，发起对101的arp请求

2、交换机接收到此请求后，发现目的IP101不存在，构造arp应答报文给攻击者

3、攻击者接收到arp回应后，以为101存在，继续发送后续报文，比如端口为80的syn报文给101，交换机根据转发表将此报文通过隧道转发给仿真服务1

4、仿真服务1对攻击者的流量进行回应，回应的报文通过隧道转发给交换机，交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者

5、攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，如sql注入、暴力破解等，诱捕系统根据行为可以完全确定是否为攻击者。

自动感知路由miss诱捕

1、攻击者攻击200的80端口

2、交换机接收到此报文后，查询路由可以知道IP 200路由不可达，交换机根据一定的策略计算后把此syn报文转发给仿真服务1

3、仿真服务1对攻击者的流量进行回应，回应报文通过隧道转发给交换机

4、交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者。

5、攻击者以为用户业务主机的端口开放，很可能发起进一步攻击，如暴力破解、sql注入、诱捕系统根据行为可以完全确定是否为攻击者

自动感知arp-miss诱捕

1、攻击者攻击200的80端口，往80端口发送syn报文

2、交换机收到此报文后，查询路由转发，添加二层头时发现无法查询到arp，同时发现此IP状态为不在线，交换机把此syn报文转发给仿真服务1

3、仿真服务1对攻击者的流量进行回应，回应报文通过隧道转发给交换机

4、交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者

5、攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，比如发起暴力破解、sql注入，诱捕系统根据行为可以完全确定是否为攻击者。

自动感知未开放端口诱捕

1、攻击者试图连接1.1.1.200的80端口

2、业务主机由于未开放此端口，回应rst ack报文给攻击者

3、交换机接收到此回应报文后，根据历史学习结果可以指导此端口未开放，丢弃回应报文并构造新的syn报文（源IP地址1.1.1.100，目的IP为1.1.1.200）转发给诱捕器上的仿真服务1

4、仿真服务1对攻击者的流量进行回应，回应syn-ack、syn-ack又通过隧道转发给交换机，交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者

5、攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，比如发起暴力破解、sql注入、诱捕系统根据行为可以完全确定是否为攻击者。

自动感知未知域名诱捕

1、攻击者查询域名为xxx的IP地址

2、dns服务器回应此域名不存在

3、交换机丢弃未知域名dns服务器应答报文（即不存在），并以可又不IP回应域名存在

4、攻击者向可诱捕IP发送后续报文

5、交换机根据可以诱捕IP把报文转发给仿真服务1

6、仿真服务1对攻击者的流量进行回应，回应报文通过隧道转发给交换机，交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者

7、攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，比如发起暴力破解、sql注入、诱捕系统根据行为可以完全确定是否为攻击者。

典型部署

交换机网关（靠接入侧）直路诱捕

优势

成本低

对攻击路径覆盖最全，能对本区域和跨区域的攻击进行有效诱捕。

核心旁挂防火墙诱捕

对需要诱捕的流量引流到防火墙进行诱捕处理后回注交换机。

优势

可以复用防火墙其他功能

可以诱捕跨区域攻击

劣势

对非本区域的攻击行为无法诱捕

接入或汇聚旁挂防火墙诱捕

优势

对现有网络业务性能影响最小

对防火墙性能要求低

可以诱捕本区域和跨区域的攻击

劣势

依赖子网中存在未使用ip，子网中所有IP被100%占用时，诱捕功能失效。