足跡識別（footprinting），又稱為“網(wǎng)絡(luò)踩點(diǎn)”，是網(wǎng)絡(luò)安全運(yùn)營人員、滲透測試人員甚至攻擊者都會經(jīng)常采用的一種方法，主要用于收集有關(guān)目標(biāo)企業(yè)的網(wǎng)絡(luò)活動信息，以識別潛在的安全漏洞。

在實(shí)際安全運(yùn)營工作中，足跡識別往往作為收集組織威脅態(tài)勢情報(bào)的第一步，通過掃描開放端口、繪制網(wǎng)絡(luò)拓?fù)鋱D以及收集有關(guān)主機(jī)、操作系統(tǒng)、IP地址和用戶賬戶等信息，可以深入了解組織的目標(biāo)系統(tǒng)。使用足跡識別，網(wǎng)絡(luò)安全研究人員可以定位現(xiàn)有漏洞并評估組織的安全狀況，而攻擊者則會根據(jù)新發(fā)現(xiàn)的漏洞制定相關(guān)攻擊活動計(jì)劃。

足跡識別的類型

根據(jù)不同的方法和技術(shù)組合以及與目標(biāo)系統(tǒng)的交互程度，可以對網(wǎng)絡(luò)安全足跡識別進(jìn)行以下分類：

• 被動足跡識別：這種方法使用搜索引擎和社交網(wǎng)站收集信息，而不與目標(biāo)系統(tǒng)直接交互。這種方法在技術(shù)上具有挑戰(zhàn)性，因?yàn)樗簧婕盎钴S的網(wǎng)絡(luò)流量，而是從存儲和歸檔的數(shù)據(jù)源收集數(shù)據(jù)。
• 主動足跡識別：這種方法涉及直接與目標(biāo)系統(tǒng)進(jìn)行交互，通過使用各種技術(shù)和工具來主動探測和獲取信息。例如，通過端口掃描、網(wǎng)絡(luò)映射、操作系統(tǒng)識別、漏洞掃描等手段，主動足跡識別可以獲得更詳細(xì)和準(zhǔn)確的目標(biāo)組織信息。

足跡識別的方法

網(wǎng)絡(luò)安全專業(yè)人員可以采用以下足跡識別方法，收集目標(biāo)組織的詳細(xì)足跡信息：

• 搜索引擎——使用主流搜索引擎中的高級搜索運(yùn)算符以及視頻、FTP和物聯(lián)網(wǎng)搜索引擎，收集關(guān)于企業(yè)組織的公開可用信息，防止社會工程攻擊。還可以使用高級的搜索黑客技術(shù)，并參考Google等黑客數(shù)據(jù)庫（GHDB）來探測敏感信息和潛在的服務(wù)器漏洞。
• Web服務(wù)——可以利用許多在線平臺進(jìn)行足跡識別，例如人員搜索引擎、金融服務(wù)、商業(yè)概述網(wǎng)站、職位網(wǎng)站和公開源代碼存儲庫。這些平臺提供了豐富的數(shù)據(jù)，可以用于分析用戶行為、推薦個(gè)性化內(nèi)容和服務(wù)，并為企業(yè)和組織提供更精確的目標(biāo)定位和廣告投放。
• 社交網(wǎng)站——可以通過員工在社交網(wǎng)站上公開發(fā)布的信息收集到有價(jià)值的個(gè)人和組織信息。這些信息可以用于社交工程、市場調(diào)研、競爭情報(bào)等方面，能夠整合和分析社交媒體數(shù)據(jù)，揭示用戶的興趣、偏好、社交關(guān)系等，從而提供更準(zhǔn)確的用戶畫像和目標(biāo)定向。很多企業(yè)和組織也會通過這種方式來更好地了解其目標(biāo)受眾，并制定針對性的營銷和策略。
• 網(wǎng)站收集——該技術(shù)監(jiān)視和分析目標(biāo)網(wǎng)站的信息，包括IP地址、域所有者、域名、子目錄、參數(shù)、站點(diǎn)主機(jī)、腳本平臺和操作系統(tǒng)詳細(xì)信息。這類技術(shù)使用多種工具，比如網(wǎng)站爬蟲、網(wǎng)站鏡像、監(jiān)視工具和網(wǎng)絡(luò)數(shù)據(jù)提取工具。通過對目標(biāo)網(wǎng)站的信息進(jìn)行監(jiān)控和分析，能夠獲取有關(guān)網(wǎng)站結(jié)構(gòu)、技術(shù)架構(gòu)和運(yùn)行環(huán)境的詳細(xì)了解。
• 電子郵件——使用電子郵件跟蹤工具和分析電子郵件頭部，可以獲取發(fā)件人和收件人的IP地址、地理位置、路由路徑、代理、鏈接、操作系統(tǒng)和瀏覽器信息。這類足跡識別技術(shù)可以幫助企業(yè)識別可疑的郵件來源，檢測釣魚郵件和惡意鏈接，并提供更準(zhǔn)確的郵件過濾和安全防護(hù)。還可以幫助企業(yè)了解郵件的傳播路徑和接收者的行為習(xí)慣，從而改進(jìn)郵件營銷策略、提高郵件交付率和用戶參與度。
• WHOIS—— WHOIS提供當(dāng)前的域名和所有者詳細(xì)信息，提供諸如域名、所有者聯(lián)系信息、創(chuàng)建日期和公共網(wǎng)絡(luò)范圍之類的信息，可以為企業(yè)組織開展市場調(diào)研、品牌保護(hù)和網(wǎng)絡(luò)安全預(yù)防提供支持。
• 域名系統(tǒng)（DNS）——DNS記錄提供了所選擇網(wǎng)絡(luò)的區(qū)域數(shù)據(jù)，比如IP地址、域的郵件服務(wù)器、CPU類型和操作系統(tǒng)等?？梢酝ㄟ^DNS詢問和反向DNS查找方法獲取DNS信息。通過分析DNS信息，足跡識別技術(shù)可以提供更詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D、服務(wù)器配置信息和網(wǎng)絡(luò)架構(gòu)視圖，從而有助于網(wǎng)絡(luò)安全評估、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)調(diào)查等領(lǐng)域的工作。
• 網(wǎng)絡(luò)足跡識別——通過分析網(wǎng)絡(luò)IP范圍，有助于了解目標(biāo)網(wǎng)絡(luò)的大小、分布和組織結(jié)構(gòu)。利用路由跟蹤數(shù)據(jù)，可以追蹤數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸路徑，從而獲取目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。包括了解該網(wǎng)絡(luò)中的路由器、交換機(jī)和其他網(wǎng)絡(luò)設(shè)備的布局和連接方式。
• 社會工程——一些攻擊者也會通過竊聽、背后偷窺和冒充等社會工程伎倆獲得敏感數(shù)據(jù)。

實(shí)施足跡識別的步驟

通過了解目標(biāo)組織的技術(shù)架構(gòu)和潛在安全風(fēng)險(xiǎn)，可以采取相應(yīng)的措施，從而提高信息化系統(tǒng)的安全性。在足跡識別過程中一般會遵循四個(gè)關(guān)鍵步驟，以收集重要信息。

1. 目標(biāo)識別。第一步是識別目標(biāo)組織和其系統(tǒng)，以便進(jìn)行足跡識別。這可以通過掃描網(wǎng)絡(luò)以查找開放端口，或使用像Shodan和Censys這樣的物聯(lián)網(wǎng)搜索引擎來完成。在這個(gè)階段，主要目標(biāo)是識別出目標(biāo)系統(tǒng)的關(guān)鍵信息和網(wǎng)絡(luò)架構(gòu)。
2. 信息收集。在此階段，主要收集與目標(biāo)組織相關(guān)的重要信息，包括獲取目標(biāo)的IP地址、開放端口和服務(wù)、用戶名和密碼等敏感數(shù)據(jù)。企業(yè)可以利用各種技術(shù)和工具，如網(wǎng)絡(luò)掃描、漏洞掃描、社交工程等，來完成這些信息的收集工作。
3. 結(jié)果分析。在此階段主要是分析提取的數(shù)據(jù)，以尋找潛在的漏洞和安全弱點(diǎn)，或者將結(jié)果與已知漏洞進(jìn)行比對，以確定可能的攻擊路徑。
4. 模擬進(jìn)攻規(guī)劃。足跡識別的最后一個(gè)階段，就是根據(jù)之前收集到的數(shù)據(jù)，模擬定制一些可用的攻擊利用或選擇合適的攻擊向量，以侵入易受攻擊的系統(tǒng)。攻擊規(guī)劃可能包括制定攻擊策略、選擇合適的工具和技術(shù)，并考慮如何最大限度地利用發(fā)現(xiàn)的漏洞。

防御足跡識別攻擊的建議

網(wǎng)絡(luò)安全是一個(gè)持續(xù)的過程，需要定期檢查和改進(jìn)安全措施，以適應(yīng)不斷變化的威脅環(huán)境。為增強(qiáng)系統(tǒng)的安全性，企業(yè)可以參考以下防御建議，來減少足跡識別攻擊的風(fēng)險(xiǎn)：

• 使用防火墻限制不必要的網(wǎng)絡(luò)流量，包括設(shè)置規(guī)則，以防止未經(jīng)授權(quán)的DNS流量，以及限制ICMP ping請求。
• 監(jiān)控安全事件和日志文件，以查找可疑流量、畸形的DNS查詢和所使用的高級搜索參數(shù)。
• 使用代理服務(wù)器阻止碎片化或畸形的數(shù)據(jù)包，這類數(shù)據(jù)包常用于足跡識別活動。
• 對IP地址空間進(jìn)行TCP、UDP和ICMP掃描，以評估網(wǎng)絡(luò)漏洞，提前發(fā)現(xiàn)敞開的端口。
• 設(shè)置DNS記錄，確保日志信息是私密的。
• 確保只有獲得授權(quán)的用戶才能訪問系統(tǒng)上的重要端口和服務(wù)。
• 聘請信譽(yù)良好的滲透測試人員幫助識別安全缺口。
• 定期監(jiān)測和更新漏洞，以保護(hù)系統(tǒng)免受攻擊。

參考鏈接：

https://www.tripwire.com/state-of-security/understanding-cybersecurity-footprinting-techniques-and-strategies