文档关联网络侦察技术

　　假如我们要实施一次军事作战行动，首先需要利用高空侦察机、侦察卫星或由侦察人员通过各种侦察方法确认敌方军事目标的位置，然后针对该军事目标进行各方面的情报收集，获取军事目标的防护措施和薄弱点等信息，并由此制定作战方案，接下来调动一系列的军事打击力量对敌方军事目标进行打击。军事侦察活动作为军事作战行动的第一步，对于成功完成军事作战行动的重要性不言而喻。
　　军事作战过程中的每个步骤都任务分工明确，层层递进。 次完整的网络攻击过程和一次实际的军事作战过程比较类似。尽管网络攻击的目标各有不同，攻击的方法也形形色色，但大多数网络攻击过程具有共同点，一般而言都遵循“五阶段法”，即网络侦察、网络扫描、获取权限、维持访问和掩盖踪迹五个阶段。
　　(1) 文档关联网络侦察。在网络中发现有价值的和可被攻击的组织的网点，即寻找和确认攻击目标，获取有关目标计算机网络和主机系统安全态势的信息，收集目标系统的资料，包括各种联系信息、IP地址范围、DNS以及各种服务器。
　　(2) 文档关联网络扫描。使用各种扫描技术检测目标系统是否同互联网相接、所提供的网络服务类型等，进而寻找系统中可攻击的薄弱环节，确定对系统的攻击点，探测进入目标系统的途径。网络扫描包括扫描系统运行的服务、系统的体系结构、互联网可访问的IP地址、名字或域、操作系统类型、用户名和组名信息、系统类型信息、路由表信息以及SNMP信息等。
　　(3) 文档关联获取权限。在收集足够信息的基础上，攻击者正式实施攻击来获取系统权限。一般在操作系统级别、应用程序级别和网络级别上使用各种手段获得系统访问权限，进入目标系统，具体采用的方法有缓冲区溢出漏洞攻击、口令攻击、恶意程序、网络监听等。其中利用缓冲区溢出漏洞进行攻击最为普遍，据统计80%以上成功的攻击都是利用缓冲区溢出漏洞来获得非法权限的。由于攻击获取的权限往往只是普通用户权限，需要以合法身份进入系统，进一步利用系统本地漏洞、解密口令文件、利用安全管理配置缺陷、猜测、窃听等手段获取系统的管理员或特权用户权限，从而得到权限的扩大和提升，进而可以做网络监听，清除痕迹、安装木马等工作。
　　(4) 文档关联维持访问。攻击者在成功攻占系统后，接下来要做的是维持访问权限的工作，为下次方便进入系统做好准备。一般利用特洛伊木马、后门程序和Rootkit等恶意程序或技术来达到目的，这个过程强调的是隐蔽性：
　　(5) 文档关联掩盖踪迹。攻击者在完成攻击后离开系统时需要设法掩盖攻击留下的痕迹，否则他的行踪将很快被发现。主要的工作是清除相关日志内容、隐藏相关的文件与进程、消除信息回送痕迹等。
　　从上面介绍的网络攻击“五阶段法”中可以看到，网络侦察是网络攻击的第一阶段，对于识别潜在的目标系统，确认目标系统适合哪种类型的攻击，能否成功和顺利实施网络攻击具有至关重要的作用。
　　一般需要文档关联侦察以下的内容：
　　1)主机或网络的IP地址（段）、名字和域。
　　2)各种联系信息，包括姓名、邮件地址、地理位置、电话号码等。
　　3)DNS、邮件、Web等服务器。
　　4)目标机构的业务信息。
　　5)网络拓扑结构。
　　6)其他一切对网络攻击产生作用的各种信息。
　　许多信息资料毫不起眼，却能对网络攻击起到至关重要的作用，比如某个网络管理员的爱人的姓名或生日，某位公司主管的车牌号码，某机构在某月某日购置过若干台IBM刀片服务器等，这些信息杂乱无规律，却常常能成为攻击目标系统的突破口，所以在以上总结的侦察内容中加上了一条“其他一切对网络攻击产生作用的各种信息”，攻击者往往需要凭借其经验或直觉来决定到底哪些信息能够产生作用。
　　可是要从浩如烟海的互联网中去定位并侦察一个攻击目标谈何容易！就好比是到一个陌生的城市寻找—个仅仅知道姓名的人那样难。但是找人总是有一些常用的方法的，比如可以去公安局调查户口信息，或者查阅电话黄页寻找联系方式，或者刊登寻人启事等。网络侦察同样有一套方法，这些方法往往不涉及高深的专业技术知识，却是成功实施第一阶段网络攻击的有力武器。