Bagaimana Peta Rangkaian untuk Ujian Keselamatan - patung

Sebagai sebahagian daripada pemetaan rangkaian anda sebelum melakukan ujian keselamatan atau hack etika, anda boleh mencari pangkalan data dan sumber awam untuk melihat apa yang diketahui oleh orang lain tentang sistem anda.

WHOIS lookup

Titik permulaan yang terbaik adalah melakukan pemeriksaan WHOIS dengan menggunakan salah satu alat yang tersedia di Internet. Sekiranya anda tidak biasa, WHOIS adalah protokol yang boleh anda gunakan untuk mencari pangkalan data dalam talian seperti pendaftaran DNS untuk mengetahui lebih lanjut mengenai nama domain dan alamat IP blok. Anda mungkin menggunakan WHOIS untuk memeriksa sama ada nama domain Internet tertentu tersedia.

Untuk ujian keselamatan, WHOIS menyediakan maklumat berikut yang boleh memberikan seorang hacker satu kaki untuk memulakan serangan kejuruteraan sosial atau mengimbas rangkaian:

• Maklumat pendaftaran nama domain internet, seperti kenalan nama, nombor telefon, dan alamat surat

• DNS server yang bertanggungjawab untuk domain anda

Anda boleh melihat maklumat WHOIS di salah satu tempat berikut:

• WHOIS. bersih

• Laman pendaftar domain, seperti www. godaddy. com

• Laman sokongan teknikal ISP Anda

Dua laman web alat WHOIS kegemaran adalah DNSstuff dan MXToolBox. Sebagai contoh, anda boleh menjalankan pertanyaan DNS secara langsung dari MXToolBox untuk melakukan perkara berikut:

• Paparkan maklumat pendaftaran domain umum

• Tunjukkan host yang mengendalikan e-mel untuk domain (Mail Exchanger atau rekod MX)

  < ! --3 ->

• Peta lokasi tuan rumah tertentu

• Tentukan sama ada tuan rumah disenaraikan dalam senarai hitam spam tertentu

Tapak percuma yang boleh anda gunakan untuk pertanyaan domain Internet yang lebih asas adalah alat DNS. Satu lagi produk komersil yang dipanggil NetScanTools Prois sangat baik untuk mengumpulkan maklumat tersebut.

Senarai berikut menunjukkan pelbagai laman carian untuk kategori lain:

• U.

• AFRINIC (Registry Internet Regional untuk Afrika)

• APNIC (Registry Internet Regional untuk Wilayah Asia Pasifik)

• ARIN (Registry Internet Regional untuk Amerika Utara, bahagian Caribbean dan subequatorial Afrika)

• LACNIC (Registry Alamat Internet Amerika Latin dan Caribbean)

• Pusat Penyelarasan Rangkaian RIPE (Eropah, Asia Tengah, negara Afrika utara khatulistiwa, dan Timur Tengah)

Sekiranya anda tidak pasti di mana untuk mencari negara tertentu, The Number Resource Organization mempunyai panduan rujukan.

Dasar privasi

Semak dasar privasi laman web anda. Amalan yang baik adalah untuk membolehkan pengguna laman web anda mengetahui maklumat yang dikumpulkan dan bagaimana ia dilindungi, tetapi tidak ada lagi. Saya telah melihat banyak dasar privasi yang membentangkan banyak butiran teknikal mengenai keselamatan dan sistem yang berkaitan yang tidak boleh diumumkan kepada umum.

Pastikan orang yang menulis dasar privasi anda (biasanya peguam nontechnical) tidak mendedahkan butiran mengenai infrastruktur keselamatan maklumat anda. Berhati-hati untuk mengelakkan contoh ahli perniagaan Internet yang pernah membual tentang sistem keselamatan syarikatnya yang memastikan privasi maklumat klien (atau yang dia fikir). Jika anda pergi ke laman webnya untuk menyemak dasar privasinya, anda dapati dia telah mencatatkan jenama dan model firewall yang dia gunakan, bersama-sama dengan maklumat teknikal lain tentang rangkaian dan senibina sistemnya. Maklumat jenis ini pastinya boleh digunakan terhadapnya oleh orang jahat. Bukan idea yang baik.