收集初始信息

　　黑客首先要收集的初始信息主要包括：开放信息源（open source information）、公司新闻信息、目标公司员工信息和新闻组等。这些信息虽然对最终实施功能用处并不大，但它在决定是否对该目标实施后在贩攻击行为取到非常重要的作用。在这一步骤中所采用的工具主要是Whois和Nslookup程序。

　　黑客首先会对目标攻击域名执行Whois程序，以找到附加的信息。UNIX系统的大多数版本装有Whois程序，所以攻击者只需在终端窗口，或者命令提示行中输入"Whois要攻击的域名"命令就可以了。对于Windows操作系统，要执行Whois查找，需要借助第三方工具，如Sam Spade。

　　Sam Spade提供了一个友好的GUI（图形用户接口）界面（如图3-1所示），能方便地完成多种网络查询任务，如Ping、DNS、Whois、Trace、Finger。

图3-1  Sam Spade查询界面

　　它开发的本意是用于追查垃圾邮件制造者，但也能用于其他大量的网络探测、网络管理和与安全有关的任务，包括Ping、nslookup、Whois、Dig、Traceroute、Finger、raw HTTP web browser、DNS zone transfer、SMTP relay check、website search等工具，所以它最终还是广泛应用于黑客攻击。在这一软件开发者的网站还有包括大多数查询工具的一个在线版本（http://samspade.org/，如图3-2所示）。在华军软件园或其他网站中可以下载到该款免费软件：http://www.onlinedown.net/soft/11453.htm。

图3-2  Sam Spade在线查询界面

　　通过查看Whois的输出，攻击者会得到一些非常有用的信息，如物理地址、域服务器、IP地址和电话（传真）号码（可利用来发起一次社交工程攻击）。另外，通过Whois可获得攻击域的服务器IP地址。要找到攻击域IP地址的方法是对一个特定域询问DNS服务器。这些域名服务器包括了特定域的所有信息和链接到网络上所需的全部数据。任何网络都需要的一条信息，如果是邮件服务器域，则那是MX记录。在这条MX记录中包含邮件服务器的IP地址。在大多数UNIX和Windows NT核心系统中，可直接使用nslookup命令，或者第三方工具，如前面介绍的Sam Spade工具软件来实现查看以上信息的目的。

　　另一个得到IP地址的简单方法是Ping域名。Ping一个域名时，程序做的第一件事情是设法把主机名解析为IP地址并输出到屏幕。攻击者得到网络的地址，能够把此网络当做初始攻击点。如Ping网易网站域名（163.com），就会在下面显示网易网站的一些基本信息，包括IP地址（220.181.29.154），如图3-3所示。当然有的网站禁止了外部用户的Ping操作，这样就显示了相应的信息。

图3-3  Ping网易域名后的结果显示