足跡識別（footprinting），又稱為“網絡踩點”，是網絡安全運營人員、滲透測試人員甚至攻擊者都會經常采用的一種方法，主要用于收集有關目標企業的網絡活動信息，以識別潛在的安全漏洞。

在實際安全運營工作中，足跡識別往往作為收集組織威脅態勢情報的第一步，通過掃描開放端口、繪制網絡拓撲圖以及收集有關主機、操作系統、IP地址和用戶賬戶等信息，可以深入了解組織的目標系統。使用足跡識別，網絡安全研究人員可以定位現有漏洞并評估組織的安全狀況，而攻擊者則會根據新發現的漏洞制定相關攻擊活動計劃。

足跡識別的類型

根據不同的方法和技術組合以及與目標系統的交互程度，可以對網絡安全足跡識別進行以下分類：

• 被動足跡識別：這種方法使用搜索引擎和社交網站收集信息，而不與目標系統直接交互。這種方法在技術上具有挑戰性，因為它不涉及活躍的網絡流量，而是從存儲和歸檔的數據源收集數據。
• 主動足跡識別：這種方法涉及直接與目標系統進行交互，通過使用各種技術和工具來主動探測和獲取信息。例如，通過端口掃描、網絡映射、操作系統識別、漏洞掃描等手段，主動足跡識別可以獲得更詳細和準確的目標組織信息。

足跡識別的方法

網絡安全專業人員可以采用以下足跡識別方法，收集目標組織的詳細足跡信息：

• 搜索引擎——使用主流搜索引擎中的高級搜索運算符以及視頻、FTP和物聯網搜索引擎，收集關于企業組織的公開可用信息，防止社會工程攻擊。還可以使用高級的搜索黑客技術，并參考Google等黑客數據庫（GHDB）來探測敏感信息和潛在的服務器漏洞。
• Web服務——可以利用許多在線平臺進行足跡識別，例如人員搜索引擎、金融服務、商業概述網站、職位網站和公開源代碼存儲庫。這些平臺提供了豐富的數據，可以用于分析用戶行為、推薦個性化內容和服務，并為企業和組織提供更精確的目標定位和廣告投放。
• 社交網站——可以通過員工在社交網站上公開發布的信息收集到有價值的個人和組織信息。這些信息可以用于社交工程、市場調研、競爭情報等方面，能夠整合和分析社交媒體數據，揭示用戶的興趣、偏好、社交關系等，從而提供更準確的用戶畫像和目標定向。很多企業和組織也會通過這種方式來更好地了解其目標受眾，并制定針對性的營銷和策略。
• 網站收集——該技術監視和分析目標網站的信息，包括IP地址、域所有者、域名、子目錄、參數、站點主機、腳本平臺和操作系統詳細信息。這類技術使用多種工具，比如網站爬蟲、網站鏡像、監視工具和網絡數據提取工具。通過對目標網站的信息進行監控和分析，能夠獲取有關網站結構、技術架構和運行環境的詳細了解。
• 電子郵件——使用電子郵件跟蹤工具和分析電子郵件頭部，可以獲取發件人和收件人的IP地址、地理位置、路由路徑、代理、鏈接、操作系統和瀏覽器信息。這類足跡識別技術可以幫助企業識別可疑的郵件來源，檢測釣魚郵件和惡意鏈接，并提供更準確的郵件過濾和安全防護。還可以幫助企業了解郵件的傳播路徑和接收者的行為習慣，從而改進郵件營銷策略、提高郵件交付率和用戶參與度。
• WHOIS—— WHOIS提供當前的域名和所有者詳細信息，提供諸如域名、所有者聯系信息、創建日期和公共網絡范圍之類的信息，可以為企業組織開展市場調研、品牌保護和網絡安全預防提供支持。
• 域名系統（DNS）——DNS記錄提供了所選擇網絡的區域數據，比如IP地址、域的郵件服務器、CPU類型和操作系統等。可以通過DNS詢問和反向DNS查找方法獲取DNS信息。通過分析DNS信息，足跡識別技術可以提供更詳細的網絡拓撲圖、服務器配置信息和網絡架構視圖，從而有助于網絡安全評估、系統優化和網絡調查等領域的工作。
• 網絡足跡識別——通過分析網絡IP范圍，有助于了解目標網絡的大小、分布和組織結構。利用路由跟蹤數據，可以追蹤數據包在網絡中的傳輸路徑，從而獲取目標網絡的拓撲結構。包括了解該網絡中的路由器、交換機和其他網絡設備的布局和連接方式。
• 社會工程——一些攻擊者也會通過竊聽、背后偷窺和冒充等社會工程伎倆獲得敏感數據。

實施足跡識別的步驟

通過了解目標組織的技術架構和潛在安全風險，可以采取相應的措施，從而提高信息化系統的安全性。在足跡識別過程中一般會遵循四個關鍵步驟，以收集重要信息。

1. 目標識別。第一步是識別目標組織和其系統，以便進行足跡識別。這可以通過掃描網絡以查找開放端口，或使用像Shodan和Censys這樣的物聯網搜索引擎來完成。在這個階段，主要目標是識別出目標系統的關鍵信息和網絡架構。
2. 信息收集。在此階段，主要收集與目標組織相關的重要信息，包括獲取目標的IP地址、開放端口和服務、用戶名和密碼等敏感數據。企業可以利用各種技術和工具，如網絡掃描、漏洞掃描、社交工程等，來完成這些信息的收集工作。
3. 結果分析。在此階段主要是分析提取的數據，以尋找潛在的漏洞和安全弱點，或者將結果與已知漏洞進行比對，以確定可能的攻擊路徑。
4. 模擬進攻規劃。足跡識別的最后一個階段，就是根據之前收集到的數據，模擬定制一些可用的攻擊利用或選擇合適的攻擊向量，以侵入易受攻擊的系統。攻擊規劃可能包括制定攻擊策略、選擇合適的工具和技術，并考慮如何最大限度地利用發現的漏洞。

防御足跡識別攻擊的建議

網絡安全是一個持續的過程，需要定期檢查和改進安全措施，以適應不斷變化的威脅環境。為增強系統的安全性，企業可以參考以下防御建議，來減少足跡識別攻擊的風險：

• 使用防火墻限制不必要的網絡流量，包括設置規則，以防止未經授權的DNS流量，以及限制ICMP ping請求。
• 監控安全事件和日志文件，以查找可疑流量、畸形的DNS查詢和所使用的高級搜索參數。
• 使用代理服務器阻止碎片化或畸形的數據包，這類數據包常用于足跡識別活動。
• 對IP地址空間進行TCP、UDP和ICMP掃描，以評估網絡漏洞，提前發現敞開的端口。
• 設置DNS記錄，確保日志信息是私密的。
• 確保只有獲得授權的用戶才能訪問系統上的重要端口和服務。
• 聘請信譽良好的滲透測試人員幫助識別安全缺口。
• 定期監測和更新漏洞，以保護系統免受攻擊。

參考鏈接：

https://www.tripwire.com/state-of-security/understanding-cybersecurity-footprinting-techniques-and-strategies