OSI模型图

IP地址猜谜

Whatsup

二、全面了解域名服务DNS

1、什么是DNS？

计算机间需要使用数字信息即IP地址来相互通信，但由于数字信息不易记、不易读以及不易输入的明显缺点，人们更期望使用名字来识别沟通，域名服务DNS由此应运而生开发出来。

Internet DNS是一个很大的全球数据库，它将通俗易懂的名字如http://www.yahoo.com/映射为一个相应的数字IP地址，Internet上的任何结点都可以使用它。这个映射过程被称为域名解析。

2、DNS分配机构及作用范围

域名及相关IP地址范围的分配由ICANN（Internet Corporation for Assigned Names and Numbers）通过公证注册管理控制，每个域名的所有者负责将其拥有的所有主机名字和相应的IP地址放到一个名字服务器（name server）上，以便使外界能够解析这些名字。大多数名字服务器还支持反向查找（reverse lookups），即从IP地址映射到域名。反向查找可以当做一个简单但却有效的安全措施来实施，因为通过确定一个试图侵入连接的相关IP地址就可以查询到它的注册域名，而注册域名带有明显的含义。

实际上，支持某个特定域的域名服务器能够解析任何IP地址，这个IP地址可以不在分配给该组织的IP地址范围内。例如，一个域的所有者可以将别人的设备作为其Web站点的主机，这时，这个特定的机器就不会具有与所在域的其它机器相近的IP地址。这么处理有很大的灵活性，使得机器可在网络之间挪动，使得改变ISP的IP地址而无需改变其域名。

3、DNS实用工具

在域名方面的一个有用的网络工具是nslookup，它可用来手工解析域名或反向查找，在Unix、WinNT和Win2K系统上都能使用。以下是在Win2K操作系统中的执行情况：

无论是向ISP或在线服务商申请注册域名还是变更域名时，域的所有者都需要上报域管理员的名字、Email等联系方式。要获取这些信息，可以在由Internet命名权威机构所维护的服务器上执行whois命令。但是请记住，whois信息是经提供注册信息的人粉饰过的，其准确性并没有经过验证，所以请谨慎对待这些信息。

执行whois的方式有很多，许多站点都能实现在Web上执行whois，例如http://www.samspade.org/和http://www.netsol.com/cgi-bin/whois/whois：

执行了whois之后，可以紧接着进行反向域名查找工作，看看它能提供些什么信息，并与whois输出的结果进行比较。在Unix或Linux机器上完成反向查找的命令是nslookup或dig -x，在Windows上可以使用诸如NetScanTools Pro这样网络工具包：
 
三、熟悉应用程序中的地址

接下来讨论一下有关应用程序地址的问题。Email、Web浏览器、OICQ以及IRC等Internet软件都拥有属于自己的专用地址信息。例如，当发送Email时，就需要知道用户名和域名两部分地址，比如god@heaven.com。还有就是天天都露脸的URL地址，它包含了域名和专用程序信息两部分内容，例如http://www.mynet.com/myservices，它提供了三类信息：“http://”表示了应用程序使用的协议，即超文本传输协议HTTP；“http://www.mynet.com/”表示一个特定的IP地址；而“services”表示指向某个特定的页面。
四、探测最好悄悄进行

当使用ping和一般扫描工具执行探测工作时，有一点要牢记：哪怕是刚刚入门的计算机黑客也能意识到他的机器在受到调查。聪明的攻击者总会试图掩盖自己的足迹，并会反过来查看是否有人在跟踪他们。而且，他们会认真监控他们所控制的系统，观测是否有不速之客到来。如果目的是跟踪并抓获猎物，那么就不要拼命地轰炸嫌疑犯的设备，尤其是不能在那些能被轻易解析出公司名称的机器上进行。

一般而言，监视技术分为主动和被动两种。ping和tracert属于主动型，无法对扫描对象隐瞒。但即使如此，我们还是可以采取间接的方式来实现隐蔽目的，例如从与本公司无明显联系的系统上实施探测。一个具体的例子就是：在调查时，设置PC机网络配置为DHCP，然后拨号登录到ISP，这样就与本公司网络脱离了。

五、详细揭示拨号上网

当前，拨号上网还是主要的Internet访问手段，但很少有人能真正理解从开始拨号到连接成功的过程中都发生了什么。因此，了解拨号上网的具体细节对于管理、探测工作十分必要。下面是一个典型的Internet拨号上网流程图：

当使用Modem拨号到一个ISP时，一般使用到第3层协议，即点对点协议PPP。和本文开始的图对照一下，可以看出在拨号连接的情况下，PPP代替了IP。连通不是自动进行的，当发生一个连接企图时，首先是用户端的Modem与ISP POP（本地拨号设备）中的一个Modem建立连接，接着后者直接连接到一个拨号路由器，拨号路由器提示用户输入登录名及口令，正确后，由这个路由器分配一个PPP连接及一个IP地址。这个IP地址几乎总是与一个DNS名字相联系如ppp188.mycity.myisp.com，从而允许反向查找。

一个ISP可能有上百个POP分布在全世界，要求每个拨号路由器都维护一个所有用户及其加密口令的列表是不现实的。因此必须有一个集中的目录包含这个列表，这个列表所在的服务器一般被称为RADIUS服务器，鉴别拨号路由器和集中用户目录之间的协议就叫做RADIUS协议。

除了鉴别功能，RADIUS还可用于记账。通常，RADIUS服务器所保持的记录可以用来跟踪入侵者，而且它是唯一这样的ISP设备，因此对于调查工作非常重要！记录的内容包括：

*每次的登录尝试，无论是成功的登录还是失败的登录 *每次logoff或会话结束的相关信息。这些信息有助于ISP跟踪用户的连接时间

每次会话中分配的IP地址以及登录者的ID名、电话号码。这样ISP就可以确定在某个特定时间，是哪个登录用户名在使用哪个IP地址。但是请注意，这里的登录用户名信息也只能仅作参考，因为计算机罪犯窃取用户名和口令的事件并不少见。

RADIUS的记账功能是不是强大得超乎你的想像！而且，ISP一般会将RADIUS记录信息保留至少一个月甚至一年，所以，除非手段非常高超，任何人都不要以身试法！
六、Email内幕细曝光

Email最早是从Internet之前的Unix系统中起源的，它具有以下基本特征：

*具有使用文本命令的简单Internet应用程序协议 *“存储－转发”机制允许信息在一系列媒介间往返传输 *信息主体完全由可打印字符组成，而且是7位非8位 *信息头可读，显示了发送者和接收者之间的路径

现在，不仅正常的Email应用越来越广泛，而且垃圾邮件、恶意邮件也泛滥成灾。因此，了解Email的每个细节对于追踪攻击者非常重要。

1、Email的几种实现协议及工作流程

Email客户端软件如Outlook Express、Eudora或者The_bat！在工作时通常要与两个不同的服务器打交道，一个用于发送邮件叫做STMP服务器，另一个用于收取邮件叫做POP服务器。当收取Email时，客户端软件通常使用以下三种协议中的一种与邮件服务器联系：

*邮局协议POP（Post Office Protocol） *Internet邮件访问协议IMAP（Internet Mail Access Protocol） *MAPI（Microsoft's Mail API）

对于网络侦探者来说，知道使用哪种协议从服务器收集信息不重要，重要的是理解这些协议各是如何控制邮件信息的存储的。来看看下表：

通常，所有接收邮件最初都存储在一个邮件服务器上，然后邮件服务器根据邮件地址分类到各个邮箱中。使用POP协议的用户可以选择从服务器下载邮件副本，或者选择下载后自动删除原件，这样，已经阅读过的或保存下来以备将来使用的Email就都存储在Email客户软件所在计算机上。而使用IMAP协议和MAPI协议的用户可以选择将所有邮件都保留在邮件服务器上，由此也带来两大好处：管理员可以从一个中心位置对整个组织的全部Email进行备份；用户可以从多个PC机访问自己的邮箱。

2、SMTP和MTAs

发送Email时要使用到简单邮件传输协议SMTP。起初，使用SMTP服务不需要额外的身份验证，但随着垃圾邮件成风，现在的SMTP服务向接收Email的POP服务看齐了，同样需要身份验证，从而拒绝非本地地址的邮件转发。请看邮件客户软件The_Bat！的有关SMTP验证设置图示：

接收邮件并将其转到其它邮件服务器的服务器叫做邮件传输代理MTAs，它们也使用SMTP协议。一般来说，我们可以从ISP的公开信息中得知其SMTP服务器的名字，这个名字类似于smtp.mynet.com。SMTP服务器负责将邮件传递到目的地，如果邮件是发往本地用户的，就直接放置到该用户邮箱中，否则，就根据一套规则继续转发邮件。

SMTP是一个非常简单的协议，同许多Internet协议如HTTP一样，它包含了一些简单的基于文本的命令。因此，初级攻击者只需通过Telnet命令登录到SMTP服务器默认端口25，在Email信息头中伪造虚假的来源和返回地址，就可以简单地生产恶意Email了。

而且更方便的是，现在已经有了许多现成的工具来实现隐藏真实地址发送垃圾邮件。

另外，通过SMTP协议发送的邮件不具备较强的鉴别功能，如果不使用PGP或S/MIME（Secure Multipurpose Internet Mail Extensions，安全多用途Internet邮件扩展）技术来增加一个数字签名的话，一个邮件的可信程度将大打折扣！

3、伪造邮件举例

下面举例说明在一个Internet邮件信息中伪造返回地址是多么的简单，假设的前提条件是在一个Unix机器上安装SMTP服务，我们使用Telnet方式生成邮件。请注意下列步骤中的黑体字表示实际的输出结果：

执行完上述命令后，会得到如下的邮件：

可以看到，虚假的From信息teswt@test.com大言不惭地显在那里！

与伪造发送地址（From）相比，与邮件头相关的识别信息相对难以做假。例如下面的邮件头信息就真实地表明了发信人是从208.164.95.173登录发送的邮件：

当邮件被中继主机转发时，该主机的IP地址也会增加到信息头中。如果想了解邮件来源于哪些计算机，最好的方法就是察看邮件扩充信息头中出现的所有路径。

基于Web的Email收发越来越普及，在具有随时随地完整收发的便利外，它也使计算机罪犯可以轻易隐藏其身份，因为一般情况下，以这种方式发送的Email并没有特殊的个人信息。但有一个好消息，有些免费Web Mail服务商开始在邮件信息头中包含发送者的IP地址了。

4、邮件啊邮件，你到底从哪里来？

要调查一个涉及Email的案件时，首先必须破译Email信息头中的“秘密”。信息头初看起来显得杂乱无章，但是一旦掌握并理解了SMTP的工作原理，就能很快明白其中的含义。

怎样查看文件头呢？以我一直使用的客户端邮件程序The_bat!为例，打开一封邮件，然后在View菜单中选择“RFC-822 headers”就可以显示邮件的文件头内容了：

信息头的内容非常丰富，简直就是“地下宝库”！从中我们可以看到发送者、接收者、发送时间、接收时间、发送地点、接收地点以及经由的服务器地址等等信息：

文件头中最重要的线索位于开始位置的一行，也就是“Received：from ...”，它表明该邮件最初源自哪个计算机。另外，多个“Received：from ...”信息行表明了此邮件经过了多个中继服务器，因为每次SMTP服务器接收到一个邮件，都会在信息头部添加一个“Received”信息后再转发邮件到下一个地址。

请注意：在文件头的众多内容中，除了第一个“Received：from ...”的内容外，其他的都可以伪造，验证它们真实与否只能靠我们的火眼金睛了！

下面再看看一个邮件文件头信息，这是从Microsoft Outlook Express邮件程序中截取的：

请注意上图中2个箭头所指向的信息头内容，我们看到最后一个“Received”中的域名“monmouth.com”与“From”中的域名“test.org”不一致，由此就可以推测出要么是用户错误地配置了From信息，要么是想隐藏其真实身份。这时候，我们可以对每个域都执行一个nslookup操作，尤其是名义上的初始域，也就是最后一个“Received”中的域，目的即是看看它们是否真正存在。然后再对这些域执行whois工作，看看它的管理员是谁以进一步与之联系。但是请留个心眼，如果管理员就是那个假冒或非法邮件的始作俑者，那么他不会愿意合作的。

5、保留案发现场

关于邮件的内幕，还有一个必须提及的事情。如果需要你帮助邮件受害者，但又不能走访受害者以亲自获取原始信息，可以让受害者将受害邮件的原始信息副本以邮件附件形式发送给你。记住，一定得是附件形式，如果仅仅是简单的转发，那么就会掺杂进许多不必要的内容。而且，要告诉受害者，再次遇到莫明邮件侵犯时，不要惊慌，更不要贸然删除，保留现场最最重要！

6、SMTP服务器日志

ISP的电子邮件服务器都具有日志功能，这些日志要比从客户端邮件程序看到的邮件信息头内容更可靠，再加上RADIUS日志以及电话记录，可以这么说：有了ISP的帮助，侦破有关Email的犯罪案件非常简单！

七、宝刀不老NetBIOS

1、NetBIOS的概念及作用

由于历史原因，运行Windows操作系统的计算机经常使用NetBIOS协议进行通信。NetBIOS协议最初只适用于局域网LAN，但现在已经得到了扩展使之能在TCP/IP上运行，从而允许一个组织在广域网WAN上提供Windows文件和打印共享服务。可以这么说，NetBIOS本是宝刀一把，在“新社会”中又焕发了青春。

2、NetBIOS实用工具nbtstat

对于管理员来说，一个经常的工作就是判断网络上是否存在使用NetBIOS协议的用户，从而进一步探测其机器名称、IP地址等等信息。这时候，nbtstat命令最适合也最简单。该命令主要是使用NBT（即TCP/IP上的NetBIOS）显示协议统计和当前TCP/IP连接，并且只有在安装了TCP/IP协议之后才可用。现在，nbtstat已成为Windows平台的一个标准内置组件，系统安装后就可以在命令行状态直接运行。另外，nbtstat还扩展到了Linux世界，以下就是Linux系统下的nbtstat程序包：http://razor.bindview.com/tools/files/nbtstat.tar.gz。

因为nbtstat是如此重要，网络侦探们就应将它的各种功能熟记在心。下面我们以Windows系统为例，列举nbtstat命令的主要功能：

* Nbtstat -A ipaddress：根据IP地址获知PC的名称表（name table） * Nbtstat -a pcname：根据计算机名称获知其名称表 * Nbtstat -c：列举NetBIOS名称缓冲区内容，包含IP地址信息

* Nbtstat -n：列举本机NetBIOS名称表 * Nbtstat -r：列举NetBIOS名字解析和注册的状态

* Nbtstat -R：清除和重新加载NetBIOS名字高速缓存 * Nbtstat -S ipaddress：列举本机与目标IP地址的会话信息

* Nbtstat -s：列举和本机连接的会话信息，并尝试将远程计算机的IP 地址转换成主机名称。 * Nbtstat -a pcname interval：按照interval时间间隔（单位为秒）刷新显示统计信息，按CTRL+C停止显示退出程序。

如果省略此参数，nbtstat只打印一次相关统计信息。

3、Nbtstat应用实例

如果有用户登录到一个Windows系统域上，当我们对他的PC执行Nbtstat命令时，可以得到类似下图的输出信息：

正如你看到的，nbtstat的输出信息非常丰富，包括机器名、计算机登录的域名、登录用户名甚至机器的MAC地址。由于MAC地址一般是唯一的，所以在怀疑一个计算机后，它的MAC地址就是一个非常好的证据。

另外，因为nbtstat命令执行时发出的是UDP（用户数据报协议）请求，而默认状态下的多数防火墙产品都对UDP请求拒之门外，因此，nbtstat通常应用于内部网络。当再发现ping某个地址ok，nbtstat同样地址却返回“未发现主机”时，你大概就不会感到困惑了吧！（ping使用的是ICMP协议）
八、更多商用软件

对于前面提到的许多需要手工执行的命令，都有非常好的商业软件可用。下面分类介绍。

1、网络搜索及定位工具

这类工具很多，例如Neotrace以及前面提到过的Netscan，二者都包含许多跟踪功能，完全胜任追踪罪犯。而且，Neotrace还会根据输入的IP地址或者域名信息自动在一张世界地图上显示其地理位置及本机到目的地的路由信息：

建议网络侦探好好玩味一下NeoTrace这个程序，很实用、很有趣。

2、NetBIOS工具Essential NetTools

在以Microsoft Windows操作系统组建的网络上，不可或缺支持NetBIOS协议的工具。Essential NetTools就是一款符合条件的非常优秀之网络工具包，它通过图形化接口取代原来文字模式的操作方式，用于分析及监控计算机上的网络联机状况：

Essential NetTools的主要功能包括：

* NBScan：对一段ip地址范围顺序执行nbtstat -a ipaddress命令，以搜索网络上共享资源的计算机。

* NATShell：就是拥有良好用户界面的NAT（NetBIOS审计工具）。

* NetStat：显示与计算机相连的所有网络连接，并监控与使用计算机共享资源的外部连接。

3、Whois工具SmartWhois

Whois工具中比较著名的是SmartWhois10，它自动查询多个whois数据库，从遍布全球的20多个服务器中取回信息。SmartWhois主要是帮助没有经验的研究人员发现指定的IP地址在Internet上注册了什么信息，有经验的用户则可以按照需要自己定义配置。

九、更多实用Web资源

最后，让我们看看网络侦探们还必须认识哪些Web“友人”，俗话说，多个朋友多条路吗！

1、国际注册机构

有三个国际组织负责地区内的IP地址管理，他们通常被视为权威性组织。这些组织都有一个Web站点提供whois服务以及根据IP地址查找其所有者的功能。它们是：

* ARIN（American Registry for Internet Numbers）－－位于西半球，URL地址为：http://www.arin.net/whois/arinwhois.html * APNIC（Asia Pacific Network Information Centre）－－位于亚太区，URL地址为http://www.apnic.net * RIPE（Reseaux IP Europeens）－－位于欧洲，URL地址为http://www.ripe.net

2、网络诊断和研究站点

* Adhoc IP工具集：这个站点是Internet工具中真正的瑞士军刀，很多实用的网络工具如whois、nslookup、ping、DNS dig等等都可以从http://tatumweb.com/iptools.htm所在页面选择执行。

* Sam Spade：另一个同样提供多种研究工具的好站点，在前面已经提到它实现了Web方式的Whois功能，地址是http://www.samspade.org/。

* Internet服务供应商查找站点：这类站点允许使用名字来搜索ISP，查看ISP的业务特点，例如http://www.webisplist.com/。

3、Email安全站点

* 处理恶意Email的顾问：这类站点对如何追踪Email、如何在许多不同的邮件客户程序中阅读信息头、如何联系权责部门都有详细的指导信息。但它们一般都没有时髦的外表，于朴实的文字中蕴含了丰富的智慧。希望网络侦探们能从中得到锦囊妙计。站点举例：http://ddi.digital.net/~gandalf/spamfaq.html或http://www.stopspam.org/email/headers/headers.html。 * 对付垃圾邮件：这类站点现在很实用，比如http://eddie.cis.uoguelph.ca/tburgess/local/spam.html或http://spam.abuse.net/。

十、结语

要成为一名出色的网络安全案件“侦探员”，除了理解并精通这些协议的原理和软件的应用，更重要的是不断地将之应用于实践。好了，还犹豫什么，大胆地开始你的网络“侦破”旅程吧，做一名Internet上的福尔摩斯！

Unix系统下dig命令的使用例子如下：

dig -x @123.456.789.000或dig -x %domainname.com

dig是nslookup的替代品，通常再次运行nslookup的目的是与前面所有查询的结果进行比较。

另一个实用工具是tracert，即跟踪路由信息，它可以查看信息包经由哪条路线最终达到目的地。象ping一样，tracert将信息包发送到目标机器，因此如果不想被监视，最好别轻易使用它。

通常，我们用tracert得到的结果来帮助确认或置疑whois的结果。例如，如果某主机H是在A处注册的，但是执行“tracert H”经过几次跳跃后，却停在B处的一个ISP位置，那么就可以怀疑出现了些问题。但是也要注意，许多公司Web站点的主机都设置在一个ISP上，而不一定是在他们本地的ISP处，甚至不一定是在他们的国家。