一、操作系统判断

1、Web大小写：windows不区分大小写，Linux区分大小写；

2、端口服务特征：

22端口->ssh远程服务->linux

3389端口->远程桌面服务->windows

3、TTL值判断返回

通过ping的返回TTL值，值越大越可能是Windows，值越小越可能是Linux

二、针对IP资产的信息收集

1、归属地查询->在哪个省哪个市->通过ip地归属与公司所在地的远近->可粗略判断此ip的重要性

2、归属云厂商

3、IP反查机构->查ip属于的公司、机构等；再去查公司、机构的信息资产，可以进一步扩大信息收集范围

4、IP反查域名->有了域名，可以进一步收集子域名，从而获得更多信息；

4、IP-C段查询->有的目标较大，会出现买整段IP作为服务器的情况；可能112.77.123.1提供web服务、112.77.123.4做邮件服务器、112.77.123.8用作数据库服务器都有可能->进一步扩大信息收集范围；

三、端口资产扫描收集

1、使用网络资产引擎：直接使用网络测绘引擎(Fofa、Hunter、Quake、00信安等搜索IP；此类网络资产测绘引擎都是每隔一段时间会对全网的网络资产去做一个轮询，那可能每个引擎的轮询周期、扫描精准度都不同，故建议可使用不同的搜索引擎以获取更多资产。

引擎搜索可能存在的问题：

同一个IP可能被多个个人或机构使用过，在空间引擎上就会留存历史记录信息，我们用引擎查端口的时候，历史信息与当下信息混杂一起，使得端口检查不准确

地址导航：https://dh.aabyss.cn/

参考：https://mp.weixin.qq.com/s/FRgPQKJDj2xRCduwPfZrTw（十大空间引擎对比）

2、在线端口扫描（价值不大）：百度或google直接搜索在线端口扫描就会有一些网站，同理很多功能都可以直接搜索在线xxx；例如在线正则提取解析、在线编码转换等。

3、本地离线工具（推荐使用）：推荐使用Nmap、Masscan、Fscan、KScan，其中Nmap最为准确，但最慢；Masscan最快，误报相对更高；Fscan（体积小）适合传输到内网主机中，做内网端口扫描；->本地离线工具扫描的是实时数据，不存在历史记录，准确性高；

端口扫描：https://xz.aliyun.com/t/15753（多款离线扫描工具测评）

Fscan使用：

端口扫描：出现扫描不到的情况->两个原因：

数据库端口开放，但进行端口扫描，发现数据库端口没有开放（排除防火墙）*注意：扫描中选择扫描协议是绕过安全组防火墙设置的一种手法，具体成功需看出网入网配置

1、防火墙：防火墙配置了入站规则，利用离线工具发起端口探测，就会出现探测不到的情况；有时防火墙入站规则设置了白名单策略，只有被允许的IP才能访问探测端口

解决：更换扫描协议；防火墙配置时，可能有的协议没有做规则限制，那么就有机可乘，有一定几率探测成功；而nmap可以换协议进行端口扫描且准确，所以推荐使用

2、内网环境：提供网站的服务器位于内网，网站映射到外网转发机器，用工具扫描端口，实际扫描的是外网转发机器，所以扫不到端口；

四、应用服务

见上图端口协议对应服务应用

五、角色定性判定

不同的服务器类型有不同的测试思路，需灵活转换

1、网站服务器

2、数据库服务器

3、邮件系统服务器

4、文件存储服务器

5、网络通信服务器

6、安全系统服务器->如各厂商的防火墙，企业里面主要提供防火墙服务

以上是一款安全厂商的防火墙，这些防火墙一般有默认的账号密码或者历年护网时爆出的漏洞；若在信息收集的时候，发现目标有使用这款防火墙，操作起来将会更方便；