深度分析：网络侦察技术类别与发展趋势（二）

4.3 基于系统的侦察技术

通过利用漏洞或使用标准接口从目标计算机系统(硬件或软件)收集信息。基于系统的侦察技术可分为远程信息采集技术和本地信息采集技术。对手可以通过远程网络执行扫描(例如 TCP、UDP 或 ICMP 扫描)和嗅探(通常是借助 MAC 洪泛或 ARP 欺骗)技术。另一方面，本地侦察技术包括通过读取文件内容或使用操作系统命令来探索配置，在受感染的主机内进行侦察。

4.3.1 远程信息获取技术

对手可以通过与系统的直接或间接交互，执行远程侦察技术来收集信息。

执行网络扫描和嗅探，从外部网络或内部网络中发现有效的网络资源。有效的扫描技术通常使攻击者能够找到漏洞并破坏 IT 资产。然后，可以将这些信息映射到例如常见漏洞和暴露(CVE)数据库，该数据库提供有关公开已知漏洞的详细信息。嗅探技术主要用于捕获含有敏感信息的网络数据包，如用户凭据和网络中使用的协议。扫描和嗅探之间的一个重要区别是扫描技术需要与目标系统直接交互，而嗅探则采用间接交互。

（1）基于主机/端口扫描技术

一些最常见的底层(即网络或传输层)扫描技术，如表 1 。展示了用于扫描技术的公开工具的方法、目标信息、阶段和示例。扫描技术包括 ICMP、UDP、ARP 或 TCP 扫描技术。类型是指技术是主动的还是被动的，最后，我们列举可供安全研究人员使用的公共工具作为参考。

表 1 网络/传送层扫描技术和工具

攻击者还可以执行应用层扫描技术，如 banner 抓取。表 2 介绍用于不同应用程序的扫描技术的方法、目标信息、阶段和工具。

表 2 应用层扫描技术和工具

(2)嗅探技术

对手可以执行嗅探来捕获和分析未加密的网络数据包收集用户凭据之类的信息，例如以明文发送的用户名和密码。网络数据包还可能包含有关已安装的操作系统、应用程序、协议版本、源端口和目标端口、分组和帧序列等信息。通过逐帧分析数据包，对手可能会发现错误的配置和服务中的漏洞。有些协议特别容易被监听；例如，Telnet 可以显示击键(名称和密码)，HTTP可以显示以明文发送的数据，SMTP/NMTP/POP/FTP/IMAP 可以显示以明文发送的密码或数据。

被动嗅探或直接捕获数据包用于发现网络协议和服务以及主动主机和端口。市面上有许多包捕获和分析工具；例如 SolarWinds 网络性能监视器、ManageEngine、 NetFlowAnalyzer， Tcpdump、 WinDump 和 Wireshark。这些是面向网络管理员的可公开使用的工具，但也可能被对手使用。对手也可以使用为特定漏洞定制的工具和脚本来执行扫描，以便在更长的时间内保持未被检测到。主动嗅探涉及流量泛滥或欺骗攻击以捕获流量或将流量重定向到攻击者控制的主机。主动嗅探通常在交换网络中执行，攻击者可能需要使用这些技术来捕获网络流量。表 3 介绍用于不同嗅探技术的公开可用工具的类型、目标信息、阶段和示例。

表 3 嗅探技术和工具

• Mac 洪泛攻击：涉及用大量的映射请求淹没交换机，从而使交换机在某个点溢出。最终，交换机充当集线器，开始广播所有数据包，使攻击者更容易捕获数据包。

• ARP 欺骗：攻击者通常会生成大量伪造的 ARP 请求并回复数据包以淹没交换机。当充斥着伪造的 ARP 请求时，交换机被设置为“转发模式”，攻击者更容易捕获数据包。攻击者还可以尝试用伪造的条目毒害目标的 ARP 表，最终导致复杂的攻击，如拒绝服务和中间人攻击(MITM)。

• MAC 复制：攻击者可以伪造活动目标的 MAC 地址。通过复制 MAC地址，攻击者可以接管某人的身份。如果使用目标 MAC 地址来授权网络访问，则该技术对于获得对网络的访问非常有用。然而，这种攻击很容易被防御者发现。

• DHCP 耗竭：在此技术中，攻击者将“DHCP 发现”发送到路由器，并试图租赁所有可用的 IP 地址。DHCP 耗竭是一种使用 DHCP 请求的拒绝服务(DoS)攻击。使用此技术的主要原因是要设置一个流氓DHCP服务器，该服务器为其他加入网络的用户提供IP地址。然后，攻击者可以建立错误的 IP、网关或 DNS 服务器；用于捕获数据包。

• DNS 投毒：是通过欺骗 DNS 服务器相信攻击者拥有真实的信息来执行的，这些信息允许攻击者用假条目替换有效的 IP 地址条目。例如，攻击者可以将有效的 IP 条目替换为用于社会工程或窃取信息的欺诈或钓鱼网站的 IP。攻击者可以通过以下方式执行 DNS 投毒攻击：在内部网络内，也就是局域网(LAN)，或者替换存储在代理服务器中的条目。

4.3.2 本地信息采集技术

一旦对手破坏了目标组织中至少一个资产，他们就可以开始收集本地系统信息。例如，他们可以安装 rootkit、特洛伊木马或其他恶意软件，这些恶意软件可以重新连接到对手预先建立的命令和控制服务器。然后，敌人可以远程执行命令或使用额外的攻击。表 4 介绍常见本地信息采集技术的公开可用工具的类型、目标信息、阶段。

表 4　本地信息采集技术

• 用户和组发现：攻击者可以查找系统和域帐户信息来了解用户和组凭据，然后他们可以使用这些凭据进行权限提升。在 Windows平台上，可以使用“net user”、“net group”和“net loca　lgroup”等命令来查询用户或组信息。在 Unix 系统上，“/etc/passwd”和“/etc/group”文件可用于查询用户和组信息。

• 进程发现：在大多数平台上，有几个内置的命令工具可以发现系统上正在运行的进程。例如，在 Windows 平台上，“tasklist”的内置命令可用于执行流程和安全系统查询。在 Unix 系统上，内置命令“ps”可用于检查正在运行的进程。

• 服务发现：攻击者可以使用“netstart”之类的系统命令收集有关在 Windows 平台上运行服务的信息。在 Unix 系统上，可以运行系统命令，如“service”、“chkconfig”或“netstat”，以获得面向服务的信息。

• 网络配置发现：在 Windows 和 Unix 系统中，攻击者可以使用命令“ipconfig” 和“ifconfig”查找基本的网络配置信息，如IP 和 MAC 地址、网络适配器或接口等。然后，他们可以查找更多详细信息，包括默认网关、主要和次要 WINS、DHCP 配置和 DNS服务器详细信息。许多 APT 组织使用“nbtstat”或“nbtscan”查询 NetBIOS 名称解析信息并查找漏洞。

• 文件和目录发现：在 windows 系统中，攻击者可以通过运行“dir”或“tree”命令列出文件目录项。据报道，攻击者会同时遍历系统配置文件和用户创建的文件。在 Unix 系统上，配置文件通常可以从“/etc”目录访问。“ls”、“find”、“Location”等基本命令可用于在 Unix 系统上搜索和浏览文件。

• 密码策略发现：攻击者还可以了解有关在系统上强制执行的密码策略的信息。这有助于规划暴力强制攻击或设计自定义密码字典。用户密码年龄、密码类型或提示等详细信息可以通过用户命令获得，例如 Unix 或 Linux 平台上的“chage-L$user”。对于Windows 平台，“Net Account”命令提供帐户密码策略。对于MacOS，可以使用用户命令“pwpolicy get AccountPolicy”。在 Linux 系 统 上 ， 这 些 策 略 可 以 在 “ /etc/pam.d/common-password”文件中获得。

• 网络统计发现：如果攻击者稍后打算执行详细的内部扫描，他们可能使用命令行工具“netstat”、“net use”和“net session”收集网络统计数据，例如本地 TCP 和 UDP 连接、路由表、网络接口列表等。

• 网络共享发现：通过网络共享目录和文件提供访问也可能包含有

价值的信息。一些 APT 组织还能够对网络共享进行枚举，从而收集其他系统的潜在攻击向量。可以使用" smbclient "、"nfsstat -m "和" df -aH "命令来查看受损机器上是否有可用的网络共享。

• 按键记录和截屏：攻击者可以使用按键记录器收集用户的击键和

信息，如密码、习惯或财务信息。例如，用户输入的终端命令或应用程序名称可以显示系统、已使用的应用程序和服务的进一步细节。

５

网络侦察技术发展趋势

随着技术的变化，侦察的性质也会发生变化，因为新类型的信息与正在开发的提取有用信息的新技术息息相关。虽然我们主要关注当前常用的技术，但我们也要关注将影响未来网络侦察的技术发展的趋势，主要体现在以下几方面：

一、虚拟化、云、雾、移动或边缘计算以及容器化等颠覆性技术的兴起，需要研制新的适应这些新兴网络技术的侦察方法。

主要体现在以下几点，其影响之一是越来越多的机构通常不会在本地控制所有自己的计算资源和数据，而是将其外包给专业的运营云资源的供应商，这为基于社会工程的网络侦察提供了新的机会，例如基于跨 VM 缓存或基于目录的攻击等。对于那些必须跨越国界和不同监管管辖区操作或提供软件和硬件的组织来说，日益增加的复杂性使得网络侦察涵盖的目标信息更多，需要研制相应的侦察技术去获取新的目标信息以适应攻击的需要，如主被动结合的云探测技术、容器探测技术等。

二、面向人工智能系统的网络侦察方法也将成为未来研究的热门领域。

人工智能和机器学习方法的广泛应用，无论是在网络管理，还是网络防御方面都应用了大量人工智能应用，使基于人工智能的自主代理也成为了攻击者关注的一个新目标，因此面向人工智能系统的网络侦察方法也将成为未来研究的热点。目前这块内容还处于空白。

三、利用人工智能技术提升网络侦察能力。

即利用人工智能技术强大的智能计算以及情景感知、自动翻译等能力以及 ChatGPT 的推理和智能涌现能力，提升基于第三方来源数据的获取和分析能力，加强跨空间的数据关联能力，能够帮助提取出重要目标的重要信息；另外利用人工智能的 GAN 技术，通过在网络流量中添加微小的扰动来构建对抗样本,使得入侵检测系统对其错误分类，提升网络侦察技术隐蔽性也是未来值得探索的方向之一。

四、基于探测技术本身需研发更高效与全面的技术。

云网络由物理网络和虚拟网络共同组成，两者都会影响网络性能。以往的大部分研究主要集中于解决物理网络探测，而在虚拟网络探测领域的相应研究则较少。近期，据阿里云透露，阿里云对大规模虚拟网络探测领域做出了全球领先的研究探索，准备专为大规模多租户虚拟网络设计主动探测系统。另外，也有专家提出研发更高效的技术，如开发一种能够同时对工业串行设备和以太网设备中获取信息的网络扫描器。

６

思考与建议

网络安全中对抗性侦察的研究内容具有多样性与变化性的特点。可能对攻击者有用的信息种类繁多，获取这些信息的工具和具体技术也是如此。这也是一个不断变化的目标，因为相关的信息类型和工具将随着时间的推移和技术的发展而自然演变，我们的研究也应适应其变化。

一、针对网络侦察模型的改进，需要构建通用的框架和数据来模拟典型的侦察。

本文提供了对侦察活动与侦察技术的全面概述；然而，对于如何模拟不同类型攻击者的侦察过程的细节，却没有涉及。这包括他们如何决定进行何种类型的侦察，如何对不同类型的信息进行优先排序，以及如何根据有限和不确定的信息形成关于系统和防御的相关行动。对于攻击者是如何进行关键权衡的，也了解有限。虽然有很多的案例研究和例子，但我们缺乏一个通用的框架和数据来模拟典型的侦察活动。例如目前的一个案例研究和模型（该案例只指定一种扫描过程，并假定攻击者收集了完美的信息），通常相当简单，范围也有限。

二、提高可能阻碍网络攻击者获取关键信息的反制措施。

理解网络侦察与防御的对抗关系，准确描述信息交互过程，充分利用对手的认知缺陷和偏见制定防御策略是网络侦察防御的关键。目前，基于网络和主机的入侵检测系统通常监视扫描明显的对抗性侦察活动。许多策略（例如蜜罐、蜜令牌等）也使用欺骗和信息隐藏来削弱侦察的技术。移动目标防御还可以增加攻击者进行侦察的网络系统的复杂性、多样性和随机性，来增加攻击者收集目标网络有效信息的难度。动态主机地址转换、路由变更和 IP随机化等技术会降低被动侦察的成功率。其他方法包括数据库诱饵、操作系统混淆、源代码诱饵、伪造虚假流量、拓扑欺骗、代码嵌入式欺骗等，可以减轻被动和主动侦察。加强员工培训、增强安全意识可以在一定程度上缓解基于社会工程学的信息窃取。建议可以根据上述侦察技术分类的每类详细制定反制对策。防御者可以更容易获得针对性缓解措施。

三、加强网络侦察工作的实证研究。

科学研究讲究严谨，数据支撑，一般需要进行更多的实证研究。例如哪些是最常见的侦察活动，这些活动在不同类型的攻击者之间有何不同，攻击者如何决定如何进行侦察，以及如何在攻击计划中使用这些信息。通常，这些研究很难进行，因为攻击者积极地试图隐藏这些信息。因此目前明显缺乏良好的、高质量的数据和经验来研究不同类型的侦察方法在不同环境中的普遍性和有效性。在攻击者能够收集到的信息有限的情况下，关于不同防御缓解策略的有效性，也缺乏良好的衡量标准和经验证据。由此，还需要源于真实世界的更好的数据来源和实验设计，以了解攻击者如何在现实世界中收集信息。

７

结　语

网络侦察在对手网络攻击的过程中扮演者重要角色，是其收集目标网络信息和了解目标网络漏洞和缺陷的关键。本文对常见的网络侦察技术进行较详细的分类描述，对侦察技术未来可能的发展趋势进行预判，也提出了未来网络侦察技术的研究建议，有助于该领域研究者全面了解网络侦察，提高网络侦察防御的针对性，促进网络侦察防御手段的研究。

原文始发于微信公众号（信息安全与通信保密杂志社）：深度分析：网络侦察技术类别与发展趋势（二）