网络安全之信息收集阶段攻击和防护手段（一）

一、信息收集

前言：社工钓鱼往往是攻击者最喜欢的方式，攻击者一般会伪装成求职者、修改邮箱名称伪造办公邮件，诱导意识薄弱的员工进行下载恶意文件或恶意链接，链接往往会通过名称遮掩真实的IP地址。

攻击方：攻击者通过公开资源、社交工程学等手段收集目标组织的基本信息，如域名、IP地址、员工信息等，具体如下：

公开资源查询：
攻击者利用搜索引擎、WHOIS数据库、社交媒体等公开资源来收集目标组织的域名、IP地址范围、员工信息等。
DNS信息收集：
通过查询DNS记录，攻击者可以收集子域名信息、邮件服务器地址、以及其他网络服务配置。
社交工程学：
通过与目标组织员工的交流，攻击者可能获取敏感信息或诱使员工泄露密码等安全信息。
网络扫描：
使用自动化工具扫描目标IP地址范围，确定哪些主机在线以及开放了哪些端口。
漏洞数据库查询：
攻击者查询已知漏洞数据库，寻找目标组织使用的软件和服务的潜在漏洞。
钓鱼攻击：
通过发送看似合法的电子邮件，诱导目标用户点击恶意链接或下载附件，从而收集信息或植入恶意软件。
7.物理侦察：
攻击者可能通过物理访问目标组织的场所，收集如Wi-Fi密码、内部网络结构等信息。

防守方：限制公开信息的访问、对员工进行安全意识培训，防止泄露敏感信息、使用反向DNS查找服务来识别潜在的攻击者。

限制公开信息：
通过隐私保护设置和策略，限制组织信息在公开资源上的可访问性。
员工安全培训：
教育员工识别钓鱼攻击和其他社交工程手段，提高对信息泄露风险的认识。
使用强密码策略：
实施强密码和定期更换策略，减少密码泄露的风险。
监控网络流量：
使用网络监控工具检测异常流量模式，如外部扫描行为。
隐藏服务和资产：
使用防火墙和路由器规则隐藏内部服务和资产，避免被外部扫描发现。
DNS安全：
使用DNSSEC等技术保护DNS记录的完整性和真实性，防止DNS欺骗攻击。
信息泄露防护：
实施数据丢失预防（DLP）策略，监控和控制敏感信息的传播。
使用入侵检测系统（IDS）：
部署IDS来检测和警告潜在的扫描和其他可疑活动。
物理安全措施：
确保物理访问控制，如门禁系统和监控摄像头，以防止未授权的物理访问。
法律和合规性：
确保组织遵守数据保护法规，限制个人信息的收集和使用。

二、信息收集过程中工具使用

攻击工具及其原理

Whois查询工具：
通过Whois查询工具，攻击者可以获取域名的注册信息，包括注册人姓名、邮箱等。这些信息可能帮助攻击者进一步了解目标组织的背景和联系信息。
工具示例：站长之家、阿里云域名查询、Kali自带的whois命令。
DNS信息收集工具：
攻击者通过查询DNS记录，收集子域名信息、邮件服务器地址等。这些信息有助于进一步的网络探测和攻击。
工具示例：Layer子域名挖掘机、subDomainsBrute、御剑、K2。
端口扫描工具：
使用端口扫描工具，攻击者可以探测目标网络中开放的端口，识别可能的漏洞和服务。
工具示例：Nmap、Masscan、站长工具。
搜索引擎：
利用搜索引擎（如Google）和特定的搜索语法（如Google Hacking），攻击者可以发现目标组织公开的敏感信息，如数据库文件、配置信息等。
工具示例：Google搜索引擎、Google Hacking Database (GHDB)。
社交工程工具：
通过社交工程手段，攻击者可以诱导目标用户泄露敏感信息或执行某些操作，从而获取更多信息。
工具示例：Maltego、SpiderFoot。
网络侦察工具：
网络侦察工具用于收集目标网络的详细信息，包括IP地址、网络拓扑、服务类型等。
工具示例：Shodan、Lampyre。
威胁猎杀工具：
威胁猎杀工具通过主动搜索和分析网络数据，检测并隔离潜在的威胁。
工具示例：AI Engine、APT-Hunter、Automater、BotScout、CrowdFMS、Cuckoo Sandbox、DeepBlue CLI、CyberChef、YARA。

防护措施及其原理

监控网络流量：使用网络监控工具检测异常流量模式，如外部扫描行为，及时发现并响应潜在的攻击
隐藏服务和资产：使用防火墙和路由器规则隐藏内部服务和资产，避免被外部扫描发现，减少暴露面
DNS安全：使用DNSSEC等技术保护DNS记录的完整性和真实性，防止DNS欺骗攻击，确保域名解析的安全。

DNSSec通过在DNS响应中添加数字签名来工作。当一个DNS服务器收到一个查询时，它会查找相应的记录，并使用存储在DNS区域文件中的私钥对这些记录进行签名。然后，它将这些签名连同查询的响应一起发送回请求者。当请求者收到响应时，它会使用DNS服务器的公钥来验证签名的有效性。如果签名有效，请求者可以确信响应未被篡改，并且确实来自声称的DNS服务器。