Dấu chân và Trinh sát

Dấu chân đề cập đến quá trình thu thập thông tin về một hệ thống đích. Đây là bước đầu tiên của một cuộc tấn công, trong đó kẻ tấn công cố gắng tìm hiểu càng nhiều càng tốt về mục tiêu để tìm cách đột nhập vào hệ thống.



Các loại in chân

Có hai loại dấu chân:

  • Dấu chân thụ động
  • Dấu chân tích cực

Dấu chân thụ động có nghĩa là thu thập thông tin mà không cần tương tác trực tiếp với mục tiêu. Loại dấu chân này được sử dụng khi mục tiêu thu thập thông tin không được phát hiện.


Dấu chân tích cực có nghĩa là thu thập thông tin bằng cách tương tác trực tiếp với mục tiêu. Với loại dấu chân này, có khả năng mục tiêu nhận biết được việc thu thập thông tin.

Những kẻ tấn công sử dụng dấu chân để thu thập các thông tin sau:


  • Thông tin mạng

    • Miền

    • Tên miền phụ

    • Các địa chỉ IP

    • Bản ghi Whois và DNS

  • Thông tin hệ thống

    • Hệ điều hành máy chủ web

    • Vị trí máy chủ

    • Người dùng

    • Mật khẩu

  • Thông tin tổ chức

    • Thông tin nhân viên

    • Nền tảng của tổ chức

    • Số điện thoại

    • Địa điểm



Mục tiêu của In chân

Mục tiêu của việc in dấu chân là:


  • Tìm hiểu thế trận an ninh Phân tích thế trận an ninh của mục tiêu, tìm sơ hở và lập kế hoạch tấn công.


  • Xác định khu vực tập trung Sử dụng các công cụ và kỹ thuật khác nhau, thu hẹp phạm vi địa chỉ IP.


  • Tìm lỗ hổng Sử dụng thông tin thu thập được để xác định các điểm yếu trong bảo mật của mục tiêu.



  • Lập bản đồ mạng Thể hiện bằng hình ảnh mạng của mục tiêu và sử dụng nó làm hướng dẫn trong quá trình tấn công.



Thu thập thông tin như thế nào và ở đâu

Có rất nhiều công cụ và tài nguyên trực tuyến mà chúng tôi có thể sử dụng để thu thập thông tin về mục tiêu của mình.

Công cụ Tìm kiếm và Tài nguyên Trực tuyến

Công cụ tìm kiếm có thể được sử dụng để trích xuất thông tin về tổ chức mục tiêu. Kết quả tìm kiếm có thể bao gồm thông tin về nhân viên của tổ chức mục tiêu, mạng nội bộ, trang đăng nhập và các thông tin khác có thể hữu ích cho những kẻ tấn công.

Một cách để thu thập thông tin bằng cách sử dụng các công cụ tìm kiếm là sử dụng các kỹ thuật hack google.


Hack Google là một kỹ thuật mà những kẻ tấn công sử dụng để thực hiện một tìm kiếm phức tạp và trích xuất thông tin quan trọng về các mục tiêu của chúng. Nó liên quan đến việc sử dụng một tập hợp các toán tử tìm kiếm và xây dựng các truy vấn phức tạp. Các toán tử được sử dụng trong việc hack Google được gọi là dorks.

Whois, IP Geolocation và DNS Interrogation

Ai là

Whois đề cập đến một giao thức truy vấn và phản hồi được sử dụng để truy xuất thông tin về các tài nguyên Internet được chỉ định.

Cơ sở dữ liệu Whois chứa thông tin cá nhân của chủ sở hữu miền và được duy trì bởi Cơ quan đăng ký Internet khu vực.

Có hai loại mô hình dữ liệu tồn tại:


  • Whois dày
  • Whois mỏng

Whois dày chứa tất cả thông tin từ tất cả các nhà đăng ký cho tập dữ liệu được chỉ định. Whois mỏng chứa thông tin hạn chế về tập dữ liệu được chỉ định.

Kết quả truy vấn Whois thường bao gồm:

  • Chi tiết tên miền
  • Thông tin chi tiết về chủ sở hữu miền
  • Máy chủ tên miền
  • Phạm vi thực
  • Tên miền hết hạn
  • Ngày tạo và cập nhật lần cuối

Cơ quan đăng ký Internet khu vực, duy trì cơ sở dữ liệu whois, bao gồm:

  • ARIN (Cơ quan đăng ký số Internet của Hoa Kỳ)
  • AFRINIC (Trung tâm Thông tin Mạng Châu Phi)
  • APNIC (Trung tâm Thông tin Mạng Châu Á Thái Bình Dương)
  • RIPE (Trung tâm Điều phối Mạng Reseaux IP Europeens)
  • LACNIC (Trung tâm Thông tin Mạng Châu Mỹ Latinh và Caribe)

Vị trí địa lý IP

Vị trí địa lý IP giúp tìm thông tin vị trí về mục tiêu như quốc gia, thành phố, mã bưu điện, ISP, v.v. Với thông tin này, tin tặc có thể thực hiện các cuộc tấn công kỹ thuật xã hội vào mục tiêu.


Thẩm vấn DNS

Dấu chân DNS đề cập đến việc thu thập thông tin về dữ liệu vùng DNS, bao gồm thông tin về các máy chủ chính trong mạng.

Các công cụ thẩm vấn DNS giúp những kẻ tấn công thực hiện dấu chân DNS. Sử dụng các công cụ này, những kẻ tấn công có thể lấy thông tin về các loại máy chủ và vị trí của chúng.

Email Footprinting

Email footprinting đề cập đến việc thu thập thông tin từ email bằng cách giám sát việc gửi email và kiểm tra các tiêu đề.

Thông tin được thu thập thông qua email footprinting bao gồm:

  • Địa chỉ IP của người nhận
  • Vị trí địa lý của người nhận
  • Thông tin giao hàng
  • Các liên kết đã truy cập
  • Thông tin về trình duyệt và hệ điều hành
  • Thời gian đọc

Tiêu đề email chứa thông tin về người gửi, chủ đề và người nhận. Tất cả những thông tin này đều có giá trị đối với tin tặc khi lên kế hoạch tấn công mục tiêu của họ.

Thông tin có trong tiêu đề email bao gồm:

  • Tên người gửi
  • Địa chỉ IP / Email của người gửi
  • Máy chủ thư
  • Hệ thống xác thực máy chủ thư
  • Gửi và đóng dấu giao hàng
  • Số duy nhất của tin nhắn

Cũng có thể theo dõi email bằng các công cụ theo dõi khác nhau. Các công cụ theo dõi email có khả năng theo dõi email và kiểm tra tiêu đề của chúng để trích xuất thông tin hữu ích. Người gửi được thông báo về việc người nhận đã chuyển và mở email.

Dấu chân trang web

Dấu chân trang web là một kỹ thuật trong đó thông tin về mục tiêu được thu thập bằng cách theo dõi trang web của mục tiêu. Tin tặc có thể lập bản đồ toàn bộ trang web của mục tiêu mà không bị phát hiện.

Dấu chân trang web cung cấp thông tin về:

  • Phần mềm
  • Hệ điều hành
  • Thư mục con
  • Thông tin liên lạc
  • Nền tảng viết kịch bản
  • Chi tiết truy vấn

Bằng cách kiểm tra các tiêu đề trang web, có thể lấy thông tin về các tiêu đề sau:

  • Loại nội dung
  • Chấp nhận phạm vi
  • Tình trạng kết nối
  • Thông tin được sửa đổi lần cuối
  • Thông tin được hỗ trợ bởi X
  • Thông tin Máy chủ Web

Các cách bổ sung để thu thập thông tin là thông qua Mã nguồn HTML và kiểm tra cookie. Bằng cách kiểm tra mã nguồn HTML, có thể trích xuất thông tin từ các chú thích trong mã, cũng như có được cái nhìn sâu sắc về cấu trúc hệ thống tệp bằng cách quan sát các liên kết và thẻ hình ảnh.

Cookie cũng có thể tiết lộ thông tin quan trọng về phần mềm đang chạy trên máy chủ và hành vi của nó. Ngoài ra, bằng cách kiểm tra các phiên, có thể xác định các nền tảng tập lệnh.

Có những chương trình được thiết kế để giúp tạo dấu chân trang web. Các chương trình này được gọi là trình thu thập dữ liệu web và chúng duyệt một trang web một cách có phương pháp để tìm kiếm thông tin cụ thể. Thông tin được thu thập theo cách này có thể giúp những kẻ tấn công thực hiện các cuộc tấn công kỹ thuật xã hội.

Nhân bản trang web

Sao chép trang web hoặc sao chép trang web đề cập đến quá trình sao chép một trang web. Sao chép trang web giúp duyệt trang web ngoại tuyến, tìm kiếm trang web để tìm lỗ hổng bảo mật và khám phá thông tin có giá trị.

Các trang web có thể lưu trữ các tài liệu có định dạng khác nhau, do đó có thể chứa thông tin ẩn và siêu dữ liệu có thể được phân tích và sử dụng để thực hiện một cuộc tấn công. Siêu dữ liệu này có thể được trích xuất bằng các công cụ trích xuất siêu dữ liệu khác nhau cũng như giúp những kẻ tấn công thực hiện các cuộc tấn công kỹ thuật xã hội.

Dấu chân mạng

Dấu chân mạng đề cập đến quá trình thu thập thông tin về mạng của mục tiêu. Trong quá trình này, những kẻ tấn công thu thập thông tin phạm vi mạng và sử dụng thông tin này để lập bản đồ mạng của mục tiêu.

Phạm vi mạng cung cấp cho những kẻ tấn công cái nhìn sâu sắc về cách mạng được cấu trúc và những máy nào thuộc mạng.

Nmap

Nmap là một công cụ được sử dụng để khám phá mạng. Nó sử dụng các gói IP thô để xác định các máy chủ khả dụng trên mạng, các dịch vụ được cung cấp bởi các máy chủ đó, hệ điều hành chúng đang chạy, loại tường lửa đang được sử dụng và các đặc điểm quan trọng khác.

Các tính năng của Nmap bao gồm khả năng quét các mạng lớn cũng như lập bản đồ các mạng.

Traceroute

Các chương trình theo dõi được sử dụng để phát hiện các bộ định tuyến đang trên đường dẫn đến máy chủ đích. Thông tin này giúp thực hiện các cuộc tấn công man-in-the-middle và các cuộc tấn công liên quan khác.

Traceroute sử dụng giao thức ICMP và trường TTL trong tiêu đề IP để khám phá tuyến đường. Nó ghi lại địa chỉ IP và tên DNS của các bộ định tuyến được phát hiện.

Kết quả của quá trình theo dõi giúp những kẻ tấn công thu thập thông tin về cấu trúc liên kết mạng, bộ định tuyến đáng tin cậy, cũng như vị trí tường lửa. Họ có thể sử dụng điều này để tạo sơ đồ mạng và lập kế hoạch tấn công.



Các biện pháp đối phó với dấu chân

Một số biện pháp đối phó với dấu chân bao gồm:

  • Hạn chế quyền truy cập vào mạng xã hội
  • Thực thi các chính sách bảo mật
  • Giáo dục nhân viên về các mối đe dọa bảo mật
  • Mã hóa thông tin nhạy cảm
  • Tắt các giao thức không bắt buộc
  • Cấu hình dịch vụ phù hợp


Báo cáo in chân

Báo cáo in chân phải bao gồm chi tiết về các thử nghiệm đã thực hiện, các kỹ thuật đã sử dụng và kết quả thử nghiệm. Nó cũng nên bao gồm một danh sách các lỗ hổng và cách chúng có thể được sửa chữa. Các báo cáo này cần được giữ bí mật cao để không bị rơi vào tay kẻ xấu.