網絡掃描：Maltego之IP地址分析

1. IP地址實體

如果要進行IP地址分析，首先需要選擇一個IP地址實體，從前期掃描出的IP地址中選擇將要分析的IP地址。然后，通過使用IP地址實體來指定分析的IP地址。在Maltego的實體面板中提供有IP地址實體，其名稱為IPv4 Address。在實體面板中選擇該實體并將其拖放到Maltego的圖表中，效果如圖1所示。也可以使用Netblock生成的IP地址實體進行分析。

圖1 IP地址實體

從圖1中可以看到，成功選擇了一個IP地址實體，即默認指定的IP地址74.207.243.85。將其設置為要分析的IP地址。例如，分析域名www.baidu.com的IP地址61.135.169.121，如圖2所示。

圖2 指定分析的IP地址

從圖2中可以看到，IP地址實體已修改為要分析的IP地址61.135.169.121。接下來，可以使用Maltego中的Transform集獲取該地址相關的信息并進行分析。

2. 分析IP地址所有者信息

對于一個固定的公網IP地址，將會有對應的WHOIS信息。通過查詢WHOIS信息，即可獲取到該IP地址的所有者信息。下面介紹獲取IP地址所有者信息的方法。

這里將以百度的IP地址61.135.169.121為例，來獲取該地址的所有者信息。在Maltego的圖表中選擇IP地址實體，并右擊，將顯示所有的Transform列表，如圖3所示。

圖3 選擇Transform

選擇名為To Entities From WHOIS[IBM Watson]的Transform，即可獲取其所有者信息，如圖4所示。

圖4 獲取的結果

從圖4中可以看到，通過查詢WHOIS信息，成功獲取到了IP地址61.135.169.121的所有者信息，包括所有者的公司地址、郵件地址和電話號碼。

3. 分析IP地址網絡信息

當我們整理出掃描的IP地址后，還可以分析該IP地址的網絡信息、物理信息和歷史信息。下面介紹分析IP地址網絡信息的方法。

這里仍然以IP地址61.135.169.121為例，分析IP網絡信息。首先在Maltego的圖表中選擇IP地址實體并右擊，將彈出所有可用的Transform列表。選擇名稱為[DNSDB]To DN SNames with this IP的Transform獲取該IP的相關域名，如圖5所示。

圖5 選擇Transform

此時將顯示如圖6所示的界面。

圖6 獲取到的相關域名

從圖6中可以看到，成功獲取到了IP地址61.135.169.121的相關域名，如www.kenpian.cc、baidu.zhaiyao.info和kenpian.cc等。另外，還可以使用Shodan的Transform來獲取IP網絡信息。在Maltego的Transform集中提供了Shodan的Transform，只需要安裝即可使用。此時，在Transform的列表中選擇名為To All Details[shodan]的Transform，如圖7所示。

圖7 選擇Transform

之后即可獲取到該IP地址的所有詳細信息，如圖8所示。

圖8 詳細信息

從圖8中可以看到獲取到的IP地址的所有詳細信息，包括該IP地址的AS號碼、開放服務、短語及哈希值等。例如，該IP地址的AS號碼為4808、開放了端口為80和443的服務等。

此外，還可以選擇名為ZETAlytics Massive Passive的Transform集來獲取IP的相關網絡信息。該Transform集中可用的Transform列表，如圖9所示。

圖9 選擇Transform

在該Transform列表中，[Z]開頭的Transform都是由名為ZETAlytics Massive Passive的Transform集提供的。此時可以獲取該IP地址的域名、主機名、NS主機名和DNS反向記錄。當運行這些Transform后，即可獲取到相關的信息，如圖10所示。

圖10 獲取到的信息

從圖10顯示的結果中可以看到IP地址61.135.169.121的相關網絡信息，如域名、NS主機名及反向DNS記錄等。其中，該IP地址的NS主機名為LOVE.PANMISHA.TOP、主機名為localhost、對應的域名有liutongyue.com、jl.lieju.com等。

4. 分析IP地址物理信息

對于一個IP地址已經準確到一臺主機了，此時如果能夠確定該IP地址的位置，則可以更近距離地接近目標來實施滲透。下面介紹分析IP地址物理信息的方法。

下面將選擇分析IP地址61.135.169.121的物理信息。首先，選擇并右擊該IP地址實體，將顯示可使用的Transform列表，如圖11所示。

圖11 選擇實體

我們可以選擇使用To GPS[shodan]和To Location[city,country]的Transform，來獲取該IP地址的經緯度、城市和國家位置信息。當對IP地址實體運行這兩個Transform后，將顯示如圖12所示的界面。

圖12 執行結果

從圖12中可以看到獲取到IP地址的物理位置信息。其中，經度緯度值為39.9288,116.3889；城市和國家地址為Beijing,Beijing(China)。

5. 獲取IP地址過往歷史信息

為了方便記憶和書寫，一個網站主機通常會使用域名來代替IP地址。但是，該域名是固定的，IP地址用戶可以隨時進行修改。如果將該地址修改后，則原有的IP地址將成為歷史信息。所以，當我們掃描到一個主機的IP地址后，有可能是剛修改過的新IP地址。為了能夠更深入地了解該主機，我們可以獲取IP地址過往的歷史信息。

下面將以前面的IP地址及獲取的網絡信息為例，獲取該IP地址的過往歷史信息，如圖13所示。

圖13 IP網絡信息

這里將選擇獲取域名liutongyue.com的IP地址歷史信息。選擇該實體并右擊，即可顯示Transform列表，如圖14所示。

圖14 選擇Transform

在該列表中可以選擇用于獲取歷史信息的Transform來獲取信息。其中，可以獲取歷史信息的Transform有[Securitytrails]WHOIS History和[Z]Domain to IPV4 Address History，分別用來獲取WHOIS歷史信息和IP地址歷史信息。例如，這里將獲取該域名的IP地址歷史信息。當獲取到結果后，顯示界面如圖15所示。

圖15 獲取的結果

從顯示結果中可以看到，獲取到域名liutongyue.com的IP歷史地址為98.126.6.83。

當我們獲取到一個IP歷史地址后，還可以使用其他的Transform獲取該地址的一些信息，如惡意軟件的Hash值，使用過的URL或在哪個文件中出現過等。下面將獲取IP歷史地址98.126.6.83的過往信息。具體步驟如下：

（1）在Maltego中選擇IP歷史地址98.126.6.83實體并右擊，將顯示所有的Transform，如圖16所示。

圖16 Transform列表

（2）可以使用名為Threat Miner的Transform集中的所有Transform來獲取IP過往信息，包括域名、組織、病毒的Hash值和SSL證書等。運行一個Transform，即可獲取對應的信息。這里為了能夠更快速地獲取到所有信息，可以直接運行Transform集。在該Transform集中，單擊左上角的按鈕，即可看到Transform集的分類，如圖17所示。

圖17 Transform集列表

ThreatMiner Transform是由第三方ThreatMiner提供的，所以需要在Thransform集的界面，手動安裝該Transform集。

（3）這里將使用ThreatMiner的Transform集來獲取IP地址的過往歷史信息。單擊ThreatMiner Transform集的圖標，即可同時執行所有的Transform集。執行完成后，將顯示如圖18所示的界面。

圖18 獲取的結果

（4）從圖18中可以看到獲取的IP地址的過往歷史信息，包括域名、URL和惡意軟件的哈希值。我們還可以進一步獲取該惡意軟件存在的文件。在圖18中選擇哈希實體并右擊，將彈出可以使用的Transform列表，如圖19所示。

圖19 選擇Transform

（5）選擇名為[Threat Miner]Malware to Filename的Transform，即可獲取該惡意程序的文件，如圖20所示。

圖20 獲取的文件名

（6）從圖20中可以看到獲取到的惡意文件，該文件名為inst_ops_d21_1.exe。