信息收集-基础 | 端口扫描-WAF识别-蜜罐识别技术
字数 2270 2025-08-29 08:30:12

网络安全信息收集技术详解

一、中间件与数据库识别

1.1 中间件概念与分类

中间件是位于操作系统和应用程序之间的软件层,主要分为两类:

  • Web服务器:如Apache、Nginx、IIS等,负责处理HTTP请求
  • 应用服务器:如Tomcat、JBoss、WebLogic等,运行业务逻辑代码

1.2 数据库类型识别

常见数据库类型包括:

  • MySQL
  • Oracle
  • SQL Server
  • PostgreSQL
  • MongoDB等

1.3 识别方法

  1. 数据包分析

    • 查看HTTP响应头中的Server字段
    • 分析Cookie、X-Powered-By等头部信息

  2. 浏览器插件

    • Wappalyzer
    • BuiltWith

  3. 空间搜索引擎

    • FOFA
    • 360 Quake
    • Shodan
    • ZoomEye

  4. 自动化工具

    • WhatWeb
    • BlindElephant

二、端口扫描技术

2.1 端口扫描原理

端口扫描是通过向目标主机的TCP/UDP端口发送探测包,根据响应判断端口状态:

  • 开放(Open):服务正在监听
  • 关闭(Closed):无服务监听
  • 过滤(Filtered):防火墙阻止探测

2.2 常见端口与服务

端口 服务 常见漏洞
21 FTP 匿名登录、暴力破解
22 SSH 弱口令、版本漏洞
80 HTTP Web应用漏洞
443 HTTPS Web应用漏洞
3306 MySQL 弱口令、注入
3389 RDP 弱口令、漏洞

2.3 端口扫描工具

  1. Nmap

    • 基本扫描:nmap -sS -p 1-65535 <target>
    • 服务识别:nmap -sV <target>
    • 操作系统识别:nmap -O <target>

  2. Masscan

    • 高速扫描:masscan -p1-65535 <target> --rate=10000

  3. 其他工具

    • ZMap
    • Unicornscan

2.4 扫描技巧

  • 绕过防火墙

    • 使用碎片扫描(-f)
    • 修改TTL值(--ttl)
    • 源端口欺骗(--source-port)

  • 隐蔽扫描

    • SYN扫描(-sS)
    • NULL扫描(-sN)
    • FIN扫描(-sF)

三、WAF识别技术

3.1 WAF分类

  1. 云WAF

    • 百度安全宝
    • 阿里云盾
    • 长亭雷池
    • 华为云WAF
    • 亚马逊AWS WAF

  2. 硬件WAF

    • 绿盟
    • 安恒
    • 深信服
    • 知道创宇

  3. 软件WAF

    • 宝塔
    • 安全狗
    • D盾

  4. 自定义WAF

    • 代码级防护规则

3.2 WAF识别方法

  1. 手动检测

    • 发送恶意请求观察响应
    • 检查HTTP头中的WAF标识
    • 分析拦截页面特征

  2. 自动化工具

    • identYwaf
    • WAFW00F
    • WhatWaf

  3. 空间搜索引擎

    • 在FOFA、360 Quake等搜索目标域名

  4. 图片识别

    • 截取拦截页面图片
    • 使用Google图片搜索匹配

3.3 WAF指纹特征

  • 拦截页面内容
  • HTTP响应头
  • Cookie特征
  • 错误页面样式

四、蜜罐识别技术

4.1 蜜罐分类

  1. 按交互程度

    • 低交互蜜罐:模拟有限服务
    • 中交互蜜罐:模拟部分功能
    • 高交互蜜罐:完整系统环境

  2. 按模拟目标

    • Web蜜罐
    • 数据库蜜罐
    • 工控蜜罐
    • 物联网蜜罐

4.2 蜜罐识别方法

  1. 行为特征分析

    • 异常响应时间
    • 不合理的服务组合
    • 过于简单的系统

  2. 网络特征检测

    • 异常流量模式
    • 不合理的开放端口
    • 蜜罐特有IP段

  3. 工具检测

    • HoneyBadger
    • CanaryTokens
    • 浏览器插件检测

  4. 空间搜索引擎

    • 查询已知蜜罐特征
    • 分析历史记录

4.3 常见蜜罐项目

  1. Web蜜罐

    • Glastopf
    • WebLabyrinth

  2. 数据库蜜罐

    • ElasticPot
    • MongoDB-HoneyProxy

  3. 综合蜜罐

    • T-Pot
    • Modern Honey Network

五、综合信息收集流程

  1. 目标识别

    • 确定真实IP(绕过CDN)
    • 识别ASN和网络范围

  2. 端口扫描

    • 快速扫描常用端口
    • 全面扫描所有端口
    • 服务识别和版本检测

  3. 中间件识别

    • Web服务器类型
    • 应用框架识别
    • 编程语言确定

  4. WAF检测

    • 确定防护产品
    • 分析防护规则
    • 制定绕过策略

  5. 蜜罐检测

    • 识别可疑系统
    • 评估风险程度
    • 决定是否继续

六、防御对策

  1. 对抗端口扫描

    • 配置防火墙规则
    • 修改默认服务端口
    • 使用端口敲门技术

  2. WAF优化

    • 自定义规则
    • 隐藏WAF指纹
    • 多层防护策略

  3. 蜜罐部署

    • 选择合适类型
    • 合理分布位置
    • 有效日志分析

  4. 信息泄露防护

    • 最小化暴露信息
    • 定期安全审计
    • 及时更新补丁

七、工具推荐

  1. 综合扫描

    • Nmap
    • Masscan
    • Recon-ng

  2. WAF识别

    • WAFW00F
    • identYwaf

  3. 蜜罐检测

    • HoneyBadger
    • CanaryTokens

  4. 信息收集框架

    • SpiderFoot
    • Maltego
    • theHarvester

八、学习资源

  1. 在线平台

    • Hack The Box
    • TryHackMe
    • VulnHub

  2. 文档参考

    • Nmap官方文档
    • OWASP测试指南
    • MITRE ATT&CK矩阵

  3. 社区论坛

    • FreeBuf
    • 看雪学院
    • 安全客

通过系统掌握这些信息收集技术,安全人员可以更全面地评估目标系统的安全状况,为后续渗透测试或安全防护提供坚实基础。

网络安全信息收集技术详解 一、中间件与数据库识别 1.1 中间件概念与分类 中间件是位于操作系统和应用程序之间的软件层,主要分为两类: Web服务器 :如Apache、Nginx、IIS等,负责处理HTTP请求 应用服务器 :如Tomcat、JBoss、WebLogic等,运行业务逻辑代码 1.2 数据库类型识别 常见数据库类型包括: MySQL Oracle SQL Server PostgreSQL MongoDB等 1.3 识别方法 数据包分析 : 查看HTTP响应头中的 Server 字段 分析Cookie、X-Powered-By等头部信息 浏览器插件 : Wappalyzer BuiltWith 空间搜索引擎 : FOFA 360 Quake Shodan ZoomEye 自动化工具 : WhatWeb BlindElephant 二、端口扫描技术 2.1 端口扫描原理 端口扫描是通过向目标主机的TCP/UDP端口发送探测包,根据响应判断端口状态: 开放(Open) :服务正在监听 关闭(Closed) :无服务监听 过滤(Filtered) :防火墙阻止探测 2.2 常见端口与服务 | 端口 | 服务 | 常见漏洞 | |------|------|----------| | 21 | FTP | 匿名登录、暴力破解 | | 22 | SSH | 弱口令、版本漏洞 | | 80 | HTTP | Web应用漏洞 | | 443 | HTTPS| Web应用漏洞 | | 3306 | MySQL | 弱口令、注入 | | 3389 | RDP | 弱口令、漏洞 | 2.3 端口扫描工具 Nmap : 基本扫描: nmap -sS -p 1-65535 <target> 服务识别: nmap -sV <target> 操作系统识别: nmap -O <target> Masscan : 高速扫描: masscan -p1-65535 <target> --rate=10000 其他工具 : ZMap Unicornscan 2.4 扫描技巧 绕过防火墙 : 使用碎片扫描( -f ) 修改TTL值( --ttl ) 源端口欺骗( --source-port ) 隐蔽扫描 : SYN扫描( -sS ) NULL扫描( -sN ) FIN扫描( -sF ) 三、WAF识别技术 3.1 WAF分类 云WAF : 百度安全宝 阿里云盾 长亭雷池 华为云WAF 亚马逊AWS WAF 硬件WAF : 绿盟 安恒 深信服 知道创宇 软件WAF : 宝塔 安全狗 D盾 自定义WAF : 代码级防护规则 3.2 WAF识别方法 手动检测 : 发送恶意请求观察响应 检查HTTP头中的WAF标识 分析拦截页面特征 自动化工具 : identYwaf WAFW00F WhatWaf 空间搜索引擎 : 在FOFA、360 Quake等搜索目标域名 图片识别 : 截取拦截页面图片 使用Google图片搜索匹配 3.3 WAF指纹特征 拦截页面内容 HTTP响应头 Cookie特征 错误页面样式 四、蜜罐识别技术 4.1 蜜罐分类 按交互程度 : 低交互蜜罐:模拟有限服务 中交互蜜罐:模拟部分功能 高交互蜜罐:完整系统环境 按模拟目标 : Web蜜罐 数据库蜜罐 工控蜜罐 物联网蜜罐 4.2 蜜罐识别方法 行为特征分析 : 异常响应时间 不合理的服务组合 过于简单的系统 网络特征检测 : 异常流量模式 不合理的开放端口 蜜罐特有IP段 工具检测 : HoneyBadger CanaryTokens 浏览器插件检测 空间搜索引擎 : 查询已知蜜罐特征 分析历史记录 4.3 常见蜜罐项目 Web蜜罐 : Glastopf WebLabyrinth 数据库蜜罐 : ElasticPot MongoDB-HoneyProxy 综合蜜罐 : T-Pot Modern Honey Network 五、综合信息收集流程 目标识别 : 确定真实IP(绕过CDN) 识别ASN和网络范围 端口扫描 : 快速扫描常用端口 全面扫描所有端口 服务识别和版本检测 中间件识别 : Web服务器类型 应用框架识别 编程语言确定 WAF检测 : 确定防护产品 分析防护规则 制定绕过策略 蜜罐检测 : 识别可疑系统 评估风险程度 决定是否继续 六、防御对策 对抗端口扫描 : 配置防火墙规则 修改默认服务端口 使用端口敲门技术 WAF优化 : 自定义规则 隐藏WAF指纹 多层防护策略 蜜罐部署 : 选择合适类型 合理分布位置 有效日志分析 信息泄露防护 : 最小化暴露信息 定期安全审计 及时更新补丁 七、工具推荐 综合扫描 : Nmap Masscan Recon-ng WAF识别 : WAFW00F identYwaf 蜜罐检测 : HoneyBadger CanaryTokens 信息收集框架 : SpiderFoot Maltego theHarvester 八、学习资源 在线平台 : Hack The Box TryHackMe VulnHub 文档参考 : Nmap官方文档 OWASP测试指南 MITRE ATT&CK矩阵 社区论坛 : FreeBuf 看雪学院 安全客 通过系统掌握这些信息收集技术,安全人员可以更全面地评估目标系统的安全状况,为后续渗透测试或安全防护提供坚实基础。