信息安全基礎InformationSecurityFundamentals5.2信息收集黑客攻擊與防范信息收集常用命令網(wǎng)絡信息收集本節(jié)內(nèi)容網(wǎng)絡掃描Ping命令命令格式：ping參數(shù)目標主機IP參數(shù)的意義如下：

-t表示將不間斷向目標IP發(fā)送數(shù)據(jù)包，直到我們強迫其停止（Ctrl+C）。

-l定義發(fā)送數(shù)據(jù)包的大小，默認為32字節(jié)，我們利用它可以最大定義到65500字節(jié)。結合上面介紹的-t參數(shù)一起使用，會有更好的效果。-n定義向目標IP發(fā)送數(shù)據(jù)包的次數(shù)，默認為4次。說明：如果-t參數(shù)和-n參數(shù)一起使用，ping命令就以放在后面的參數(shù)為標準，ping命令不一定非得pingIP，也可以直接ping主機域名，這樣就可以得到主機的IP1.信息收集常用命令Ping命令1.信息收集常用命令ICMP回顯應答的參數(shù)TTL（TimetoLive，生存周期）一般缺省情況下可以反映目標主機操作系統(tǒng)，如下表所示。不同的操作系統(tǒng)對ping的TTL返回值當然，ping命令也不一定完全可靠，當ping對方時沒有回顯應答不代表對方主機不存在，TTL的值在對方的主機里是可以修改的ipconfig命令命令格式ipconfig[/all/renew[adapter]/release[adapter]]參數(shù)說明：（1）如果沒有參數(shù)，那么ipconfig實用程序將向用戶提供所有當前的TCP/IP配置值，包括IP地址和子網(wǎng)掩碼。該使用程序在運行DHCP的系統(tǒng)上特別有用，允許用戶決定由DHCP配置的值。（2）/all：產(chǎn)生完整顯示。（3）/renew[adapter]：更新DHCP配置參數(shù)。該選項只在運行DHCP客戶端服務的系統(tǒng)上可用。要指定適配器名稱，請鍵入使用不帶參數(shù)的ipconfig命令顯示的適配器名稱。（4）/release[adapter]：發(fā)布當前的DHCP配置。該選項禁用本地系統(tǒng)上的TCP/IP，并只在DHCP客戶端上可用。要指定適配器名稱，請鍵入使用不帶參數(shù)的ipconfig命令顯示的適配器名稱。1.信息收集常用命令1.信息收集常用命令ARP命令ARP協(xié)議（AddressResolutionProtocol，地址解析協(xié)議）的基本功能就是通過目標設備的IP地址，查詢目標設備的網(wǎng)卡物理地址（MAC地址），以保證通信的順利進行。1.信息收集常用命令ARP命令arp命令有以下三種用法：（1）arp-a［inet_addr］［-Nif_addr］（2）arp-sinet_addreth_addr［if_addr］（3）arp-dinet_addr［if_addr］各參數(shù)說明如下：（1）-a顯示所有接口的當前ARP緩存項。要顯示指定IP地址的ARP緩存項，可以使用inet_addr代表指定的IP地址。要顯示指定接口的ARP緩存項，可以使用“-Nif_addr”參數(shù)，此處的if_addr代表分配給指定接口的IP地址。注意“-N”參數(shù)區(qū)分大小寫。（2）-s向ARP緩存中添加可將IP地址inet_addr解析成物理地址eth_addr的靜態(tài)項目。可使用if_addr參數(shù)向指定接口的ARP緩存表中添加靜態(tài)ARP緩存項，此處的if_addr代表分配給該接口的IP地址。（3）-d刪除指定的ARP緩存項，此處的inet_addr代表IP地址。對于指定的接口，要刪除表中的某項，可使用if_addr參數(shù)，此處的if_addr代表分配給該接口的IP地址。要刪除所有項，可使用星號（*）通配符代替inet_addr。1.信息收集常用命令tracert命令tracert命令作為一個路由跟蹤、診斷實用程序，它通過發(fā)送Internet控制消息協(xié)議（ICMP）回顯請求和回顯答復消息，產(chǎn)生關于經(jīng)過每個路由器的命令行報告輸出，從而跟蹤路徑。該程序是網(wǎng)管必備的TCP/IP工具之一，經(jīng)常被用于測試網(wǎng)絡的連通性，確定故障位置。常用命令：tracertIP/URL

該命令返回到達IP地址所經(jīng)過的路由器列表，URL表示網(wǎng)址1.信息收集常用命令route命令

Route命令是用來顯示、添加和修改路由表項的。常用命令：routeprint

用于顯示路由表中的當前項目。1.信息收集常用命令netstat命令

用于顯示與IP、TCP、UDP和ICMP協(xié)議相關的統(tǒng)計數(shù)據(jù)，一般用于檢驗本機各端口的網(wǎng)絡連接情況。命令格式：netstat[選項]常用選項：-a顯示一個所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監(jiān)聽連接請求（LISTENING）的那些連接。-s按照各個協(xié)議分別顯示其統(tǒng)計數(shù)據(jù)。-e顯示關于以太網(wǎng)的統(tǒng)計數(shù)據(jù)。-r顯示關于路由表的信息，類似于后面所講使用routeprint命令時看到的信息。除了顯示有效路由外，還顯示當前有效的連接。-n顯示所有已建立的有效連接。2.網(wǎng)絡信息收集搜索引擎2.網(wǎng)絡信息收集Whois數(shù)據(jù)庫3.網(wǎng)絡掃描器要想了解目標系統(tǒng)的更多的信息，僅使用Whois是不夠的，掃描器軟件就是幫助了解目標系統(tǒng)更多信息的工具。掃描器的主要功能如下：檢測主機是否在線掃描目標系統(tǒng)開放的端口獲取目標操作系統(tǒng)的敏感信息破解系統(tǒng)口令掃描其他系統(tǒng)敏感信息3.網(wǎng)絡掃描器常用的掃描軟件Nmap（端口掃描器）Nessus(漏洞掃描器)X-scan(綜合掃描器)IPscan(微型掃描器)3.網(wǎng)絡掃描器NmapNmap支持的四種最基本的掃描方式：（1）Ping掃描（-sP參數(shù)）。（2）TCPconnect()端口掃描（-sT參數(shù)）。（3）TCP同步（SYN）端口掃描（-sS參數(shù)）。（4）UDP端口掃描（-sU參數(shù)）。其他掃描方式：（1）FIN掃描