網絡入侵者通常采取的第一步是通過端口掃描程序掃描目標機或網絡
令人吃驚的是
以目標機的開放端口為基礎對網絡進行的攻擊是多麼的有條不紊
您應該清楚
除了Unix機外
這是NT機顯示不同開放端口的標准
網絡入侵者懂得查看端口掃描程序
並通過相當准確的結果來斷定它是一台NT機還是一台Unix機
當然也有一些例外
但一般情況下都能這樣做
最近
業界發布了幾個用來遠程鑒別機器的工具
但該功能目前還不能用於NT
當攻擊基於NT的網絡時
NetBIOS往往是首選的攻擊對象
因此
NetBIOS就成為本文中第一個要探討的重要課題
用NetBIOS進行信息收集相當容易
雖然要花費一點時間
etBIOS一般被看作是開銷
很大的大容量協議
速度往往很慢
這也就是要耗費時間的原因
如果端口掃描程序報告端口
在目標機上是開放的
那麼接下來就是一個很自然的過程
第一步是發出NBTSTAT命令
NBTSTAT命令可以用來查詢涉及到NetBIOS信息的網絡機器
另外
它還可以用來消除NetBIOS高速緩存器和預加載LMHOSTS文件
這個命令在進行安全檢查時非常有用
用法
nbtstat [
a RemoteName] [
A IP_address] [
c] [
n] [
R] [
r] [
S]
[
s]
[interval]
參數
a列出為其主機名提供的遠程計算機名字表
A列出為其IP地址提供的遠程計算機名字表
c列出包括了IP地址的遠程名字高速緩存器
n列出本地NetBIOS名字
r列出通過廣播和WINS解析的名字
R消除和重新加載遠程高速緩存器名字表
S列出有目的地IP地址的會話表
s列出會話表對話
NBTSTAT生成的列標題具有以下含義
Input
接收到的字節數
Output
發出的字節數
In/Out
無論是從計算機(出站)還是從另一個系統連接到本地計算機(入站)
Life
在計算機消除名字表高速緩存表目前
度過
的時間
Local Name
為連接提供的本地NetBIOS名字
Remote Host
遠程主機的名字或IP地址
Type
一個名字可以具備兩個類型之一
unique or group
在
個字符的NetBIOS名中
最後一個字節往往有具體含義
因為同一個名可以在同一台計算機上出現多次
這表明該名字的最後一個字節被轉換成了
進制
State
NetBIOS連接將在下列
狀態
(任何一個)中顯示
狀態含義
Accepting: 進入連接正在進行中
Associated: 連接的端點已經建立
計算機已經與IP地址聯系起來
Connected: 這是一個好的狀態!它表明您被連接到遠程資源上
Connecting: 您的會話試著解析目的地資源的名字
IP地址映射
Disconnected: 您的計算機請求斷開
並等待遠程計算機作出這樣的反應
Disconnecting: 您的連接正在結束
Idle: 遠程計算機在當前會話中已經打開
但現在沒有接受連接
Inbound: 入站會話試著連接
Listening: 遠程計算機可用
Outbound: 您的會話正在建立TCP連接
Reconnecting: 如果第一次連接失敗
就會顯示這個狀態
表示試著重新連接
下面是一台機器的NBTSTAT反應樣本
C:\>nbtstat CA x
x
x
x
NetBIOS Remote Machine Name Table
Name Type Status
DATARAT <
> UNIQUE Registered
R
LABS <
> GROUP Registered
DATARAT <
> UNIQUE Registered
DATARAT <
> UNIQUE Registered
GHOST <
> UNIFQUE Registered
DATARAT <
> UNIQUE Registered
MAC Address =
您通過下表能掌握有關該機器的哪些知識呢?
名稱編號類型的使用
U 工作站服務
U 郵件服務
\\_MSBROWSE_
G 主浏覽器
U 郵件服務
U RAS服務器服務
F U NetDDE服務
U 文件服務器服務
U RAS客戶機服務
U Exchange Interchange
U Exchange Store
U Exchange Directory
U 調制解調器共享服務器服務
U 調制解調器共享客戶機服務
U SMS客戶機遠程控制
U SMS管理遠程控制工具
U SMS客戶機遠程聊天
U SMS客戶機遠程傳輸
C U DEC Pathworks TCP/IP服務
U DEC Pathworks TCP/IP服務
U Exchange MTA
A U Exchange IMC
BE U網絡監控代理
BF U網絡監控應用
U郵件服務
G域名
B U域主浏覽器
C G域控制器
D U主浏覽器
E G浏覽器服務選擇
C G Internet信息服務器
U Internet信息服務器
[
B] U Lotus Notes服務器
IRISMULTICAST [
F] G Lotus Notes
IRISNAMESERVER [
] G Lotus Notes
Forte_$ND
ZA [
] U DCA Irmalan網關服務
Unique (U): 該名字可能只有一個分配給它的IP地址
在網絡設備上
一個要注冊的名字可以出現多次
但其後綴是唯一的
從而使整個名字是唯一的
Group (G): 一個正常的群
一個名字可以有很多個IP地址
Multihomed (M): 該名字是唯一的
但由於在同一台計算機上有多個網絡接口
這個配置可允許注冊
這些地址的最大編號是
Internet Group (I): 這是用來管理WinNT域名的組名字的特殊配置
Domain Name (D): NT
提供的新內容
網絡入侵者可以通過上表和從nbtstat獲得的輸出信息開始收集有關您的機器的信息
有了這些信息
網絡入侵者就能在一定程度上斷定有哪些服務正在目標機上運行
有時也能斷定已經安裝了哪些軟件包
從傳統上講
每個服務或主要的軟件包都具有一定的脆弱性
因此
這一類型的 信息 對網絡入侵者當然有用
From:http://tw.wingwit.com/Article/Network/201311/29953.html
