Footprinting - это процесс сбора информации о целевой системе. Это первый шаг атаки, при которой злоумышленник пытается узнать как можно больше о цели, чтобы найти способ проникнуть в систему.
Есть два типа следа:
Пассивный след означает сбор информации без прямого взаимодействия с целью. Этот тип следа используется, когда сбор информации не должен быть обнаружен целью.
Активный след означает сбор информации путем непосредственного взаимодействия с целью. С этим типом следа есть шанс, что цель узнает о сборе информации.
Злоумышленники используют следы для сбора следующей информации:
Цели следа:
Изучите состояние безопасности Проанализируйте состояние безопасности цели, найдите лазейки и создайте план атаки.
Определите область внимания Используя различные инструменты и методы, сузьте диапазон IP-адресов.
Найдите уязвимости Используйте собранную информацию, чтобы определить слабые места в безопасности цели.
Составьте карту сети. Графически представьте сеть цели и используйте ее в качестве ориентира во время атаки.
Существует множество инструментов и онлайн-ресурсов, которые мы можем использовать для сбора информации о нашей цели.
Поисковые системы могут использоваться для извлечения информации о целевой организации. Результаты поиска могут включать информацию о сотрудниках целевой организации, интрасети, страницах входа и другую информацию, которая может быть полезна злоумышленникам.
Одним из способов сбора информации с помощью поисковых систем является использование методов взлома Google.
Взлом Google - это метод, который злоумышленники используют для выполнения сложного поиска и извлечения важной информации о своих целях. Это предполагает использование набора поисковых операторов и построение сложных запросов. Операторы, которые используются при взломе Google, называются придурками.
Whois относится к протоколу запросов и ответов, который используется для получения информации о назначенных интернет-ресурсах.
Базы данных Whois содержат личную информацию владельцев доменов и обслуживаются региональными интернет-реестрами.
Существуют два типа моделей данных:
Толстый whois содержит всю информацию от всех регистраторов для указанного набора данных. Тонкий whois содержит ограниченную информацию об указанном наборе данных.
Результаты запроса Whois обычно включают:
Региональные интернет-реестры, которые поддерживают базы данных whois, включают:
Геолокация IP помогает найти информацию о местоположении цели, такую как страна, город, почтовый индекс, интернет-провайдер и т. Д. Обладая этой информацией, хакеры могут проводить атаки социальной инженерии на цель.
Отслеживание DNS относится к сбору информации о данных зоны DNS, которая включает информацию о ключевых узлах в сети.
Инструменты DNS-запроса помогают злоумышленникам выполнять отслеживание DNS. Используя эти инструменты, злоумышленники могут получить информацию о типах серверов и их местонахождении.
Следы электронной почты - это сбор информации из электронных писем путем отслеживания доставки электронной почты и проверки заголовков.
Информация, собранная с помощью следа электронной почты, включает:
Заголовки электронной почты содержат информацию об отправителе, теме и получателе. Вся эта информация важна для хакеров при планировании атаки на свою цель.
Информация, содержащаяся в заголовках электронной почты, включает:
Также можно отслеживать электронные письма с помощью различных инструментов отслеживания. Инструменты отслеживания электронной почты имеют возможность отслеживать электронные письма и проверять их заголовки для извлечения полезной информации. Отправитель уведомляется о доставке и открытии электронного письма получателем.
След веб-сайта - это метод, при котором информация о цели собирается путем мониторинга веб-сайта цели. Хакеры могут незаметно отобразить весь веб-сайт цели.
След веб-сайта дает информацию о:
Изучая заголовки веб-сайта, можно получить информацию о следующих заголовках:
Дополнительные способы сбора информации - использование исходного кода HTML и проверка файлов cookie. Изучая исходный код HTML, можно извлечь информацию из комментариев в коде, а также получить представление о структуре файловой системы, наблюдая за ссылками и тегами изображений.
Файлы cookie также могут раскрывать важную информацию о программном обеспечении, запущенном на сервере, и его поведении. Кроме того, просматривая сеансы, можно идентифицировать платформы сценариев.
Существуют программы, предназначенные для помощи в создании следа на веб-сайтах. Эти программы называются веб-пауками, и они методично просматривают веб-сайт в поисках конкретной информации. Собранная таким образом информация может помочь злоумышленникам в проведении атак социальной инженерии.
Зеркальное отображение веб-сайта или клонирование веб-сайта относится к процессу копирования веб-сайта. Зеркальное отображение веб-сайта помогает просматривать его в автономном режиме, искать на нем уязвимости и находить ценную информацию.
Веб-сайты могут хранить документы различного формата, которые, в свою очередь, могут содержать скрытую информацию и метаданные, которые могут быть проанализированы и использованы при выполнении атаки. Эти метаданные могут быть извлечены с помощью различных инструментов извлечения метаданных, а также могут помочь злоумышленникам в проведении атак социальной инженерии.
Сетевой след - это процесс сбора информации о целевой сети. Во время этого процесса злоумышленники собирают информацию о диапазоне сети и используют эту информацию для отображения сети цели.
Диапазон сети дает злоумышленникам представление о том, как устроена сеть и какие машины принадлежат к ней.
Nmap - это инструмент, используемый для обнаружения сети. Он использует необработанные IP-пакеты для определения доступных хостов в сети, услуг, предлагаемых этими хостами, операционных систем, которые они работают, типов используемых межсетевых экранов и других важных характеристик.
Возможности Nmap включают способность сканировать большие сети, а также составлять карты сетей.
Программы Traceroute используются для обнаружения маршрутизаторов, находящихся на пути к целевому хосту. Эта информация помогает при проведении атак типа 'злоумышленник посередине' и других связанных атак.
Traceroute использует протокол ICMP и поле TTL в заголовке IP для обнаружения маршрута. Он записывает IP-адреса и DNS-имена обнаруженных маршрутизаторов.
Результаты трассировки помогают злоумышленникам собирать информацию о топологии сети, доверенных маршрутизаторах, а также о расположении межсетевых экранов. Они могут использовать это для создания сетевых диаграмм и планирования своих атак.
Некоторые из мер борьбы со следами включают:
Отчеты Footprinting должны включать подробную информацию о проведенных тестах, использованных методах и результатах тестов. Он также должен включать список уязвимостей и способы их устранения. Эти отчеты должны быть строго конфиденциальными, чтобы они не попали в чужие руки.