信息收集

一.被动信息收集

a.获取IP地址/DNS:
1.ping 【域名】 =》获取目标的服务器公网ip地址;
2.nslookup 【域名】=》获取DNS服务器地址（也就是网关iP）；
3.dig 【选项】【域名】=》获取服务器IP地址。选项：*@指定域名解析的DNS服务器地址；
*any查看所有的DNS解析；
*-x[ip]反向查询，由IP=》域名；
*txt chaos VERSION.BIND @[DNS服务器的域名]===》查询DNS服务器的版本。

查询域名注册信息与备案信息：whois 【域名】
1.阿里云：https://whois.aliyun.com/
2.站长之家：http://whois.chinaz.com/

收集子域名：
1.Maltego 子域名挖掘机
2.谷歌搜索：site:【域名】
3.第三方网站查询：
* http://tool.chinaz.com/subdomain
*https://dnsdumpster.com/
4.证书透明度公开日志枚举：https://crt.sh/、http://censys.io/
5.其他途径：https://phpinfo.me/domain、http://dns.aizhan.com

二.主动信息收集

a.tcp/ip五层模型，基于OSI模型进行扫描的优缺点：
二层扫描的优缺点
优点：扫描速度快、可靠
缺点：不可路由
三层扫描的优缺点
优点：可路由，速度较快
缺点：速度比二层慢，经常被边界防火墙过滤使用IP、icmp 协议
四层扫描的优缺点
优点：可路由且结果可靠不太可能被防火墙过滤、可以发现所有端口都被过滤的主机
缺点：基于状态过滤的防火墙可能过滤扫描、全端口扫描速度慢

b.路由跟踪：traceroute 【域名】

c.查看IP对应的MAC地址：
arping 【选项】【ip】
-C指定ping的次数
| grep 要筛选的项目名
| cut -d 截取吗命令

d.扫描、嗅探局域网中存活的主机：
netdiscover -i 【网卡名】-r 【网段】/24 ---主动发数据包的嗅探（更易抓取)
netdiscover -p ---不主动发数据包的嗅探

e.压力测试，DOS攻击：
hping3 [参数] [域名]
-c 发送次数 # 例子：1000
-d 数据包大小，单位字节 # 例子：120
-S 这个是大写的S只发送SYN数据表包
-w 指定TCP窗口的大小=流量 # 例子：64
-p 指定端口 # 例子：80
--flood 洪水攻击，加速发包 # 属于UDP行为，只管发，不管你收没收到
--rand-source 局域网内伪造地址

f.检测网段内存活的主机：
fping -g 【网段】/24 【参数】
-c 一个地址只ping几次才跳过
> xxx.txt 输出的结果到一个文件中