文章总结： 文章介绍了渗透测试中的信息收集技术，包括IP信息收集、IP反查域名、端口扫描和C段存活主机探测。作者通过实例演示了如何使用nmap等工具进行信息收集，并强调了在渗透测试中信息收集的重要性。文章还提醒了扫描云服务商IP段的法律风险，建议在合法环境下进行测试。 综合评分： 87 文章分类： 渗透测试,网络安全,WEB安全,实战经验

侦察艺术：信息收集进阶指南——IP反查，端口信息收集

原创

武文学网安

武文学网安

2025年12月14日 17:43 西藏

一 IP信息收集：从域名到主机

*信息收集是渗透测试的眼睛，看得越清，后续步骤才能走得越准。 而一切往往从一个域名或一个IP开始。*

(1) IP信息收集

要实现成功的渗透，尽量详尽地查询到目标的IP和域名地址是必不可少的工作。IP地址和域名是绑定关系，要使用域名必须要和IP地址进行绑定，这样才可以通过域名访问到目标主机。

我们访问百度网站，www.baidu.com解析过程如下

1、浏览器向 DNS 服务器查询该域名2、DNS 服务器返回对应的 IP 地址3、计算机通过该 IP 地址建立连接

要注意的是IP和域名并不是单一对应关系：

1、常见于负载均衡或CDN（内容分发网络）。当网站流量巨大时，单台服务器难以承载，通过多地部署服务器并共用域名，可分散压力并提升访问速度。这也是查询douyin.com等大型网站会发现多个不同城市IP的原因。

2、一个IP地址可以绑定多个域名：常见于虚拟主机。服务商在一台物理服务器上为多个网站提供托管服务，它们共享同一个IP，但通过域名进行区分。

以查询tryhackme.com为例，使用ipchaxun.com等工具，我们通常会得到类似104.20.29.66和172.66.164.239这样的IP地址。

（2）IP反查域名

如果渗透目标为虚拟主机，那么通过IP反查到的域名信息很有价值，因为一台物理服务器上面可能运行多个虚拟主机。这些虚拟主机有不同的域名，但通常共用一个IP地址。如果你知道有哪些网站共用这台服务器，就有可能通过此台服务器上其他网站的漏洞获取服务器控制权，进而迂回获取渗透目标的权限，这种技术也称为“旁注”。

下面介绍一些IP反查的工具：

http://stool.chinaz.com/same

https://www.dnsgrep.cn/ （查询到的资源数据有点老旧）

https://site.ip138.com/

https://dnsdblookup.com/

https://ipchaxun.com/(推荐，数据较新)

根据域名查询IP，我们以站长工具和ipchaxun.com为检索引擎，对TryHackMe进行查询为例：

| | | | — | — | | | |

两个检索方式查到的IPv4一致，为104.20.29.66和172.66.164.239

根据查询到的IP进行反查域名：

对103.20.29.66进行反查

| | | | — | — | | | |

对172.66.164.239进行反查

| | | | — | — | | | |

左边是用ipchaxun.com，右边是站长工具。可以看出查询结果略有不同，ipchaxun.com查到的域名要稍微多一些。

我们有时候会发现，当年查询一个网址的适合，会出现很多个ip，如：查询douyin.com

在许多城市都有服务器，这一般是采用了CDN技术。在下一篇文章对CDN有简单的介绍。

知道一个站点的域名需要得到它的IP以便之后获取端口信息或扫描等后续工作。

二、端口信息收集：敲开服务的大门

拿到目标IP，如同知道了目标的住址。端口信息收集则是要摸清这栋建筑开了哪些“门”（端口）和“窗户”（服务），以及哪些门可以尝试沟通，这是渗透测试中最具技术性的侦察环节之一。

端口扫描的核心原理

简单来说，扫描器向目标主机的特定端口发送数据包，根据响应判断端口状态：

• 开放：有服务监听，并给予了预期响应。
• 关闭：有主机，但无服务监听。
• 被过滤：防火墙等设备拦截了探测，无响应。

常见的扫描类型有TCP SYN扫描（半开放扫描，较隐蔽）、TCP Connect扫描（完全连接）和UDP扫描。

扫描端口我们最常用的工具就是nmap。Kali系统自带这些扫描工具。

我们以nmap，对tryhackme的一个ip为例进行实验：

#-sS 半开放扫描 -O 操作系统  -sV全面扫描（检测服务版本、操作系统）nmap -sS -O -sV 104.20.29.66

可以看出有四个端口,80\443\8080\8443打开。

这里有黑客常用的端口漏洞利用总结：

https://zhuanlan.zhihu.com/p/674654600

三、C段存活主机探测：扩大战场视野

在攻防演练中，攻陷目标所在网段的其他薄弱主机，常常是迂回突破核心目标的关键跳板。C段探测就是绘制“战场全景图”的过程。

为什么要探测C段？

假设目标IP是192.168.1.100，那么192.168.1.0/24（即192.168.1.1到192.168.1.254）就是它的C段网络。这个网段内可能存在：

1. 开发/测试服务器（安全配置较低）。
2. 网络设备（路由器、交换机，可能存在默认口令）。
3. 其他业务系统（运维不完善）。 拿下其中任一，都可能通过内网横向移动，最终抵达目标。

常用探测方法

1. 使用Nmap进行C段存活扫描

## 基础存活探测（Ping扫描）nmap -sn 104.20.29.66

两百多个IP都状态都是Host is up。这是因为我们扫描的IP是属于Cloudflare（一家全球最大的CDN和安全服务商）。当你扫描 104.20.29.0/24 这个C段时，你扫描的是Cloudflare全球边缘网络中的一个小型切片。

所以我们进行扫描的并非一个普通的公司内网，而是一个由云服务商或CDN提供商管理的公共网络段。

⚠️ 重要警示：法律与风险

扫描这类云服务商的IP段极其危险：

1. 触发安全警报：Cloudflare等顶级服务商拥有全球最先进的威胁检测系统。我们的扫描行为会立即被标记为恶意扫描，源IP会被记录并可能进入黑名单。
2. 法律风险：未经授权扫描他人的网络基础设施，在绝大多数国家和地区都涉嫌违法（可能违反《网络安全法》、《计算机欺诈与滥用法案》等）。云服务商会保留追究法律责任的权利。
3. 无实际意义：即使发现所有主机在线，这些IP对我们寻找某个特定网站（如tryhackme.com）的“真实服务器”也毫无帮助。它们只是流量中转站，也无法通过它们穿透到背后的客户源站。

我们可以自己搭建网络环境进行测试。我自己搭建了几台虚拟机

然后知道其中一台机子的ip为192.168.41.129

用nmap对其进行C段探测：

nmap -sn 192.168.51.129

可以看到该C段开机的ip有，192.168.41.1、192.168.41.2、

192.168.41.129、192.168.41.130、192.168.41.128、192.168.41.254

TxPortMap

有个工具推荐：TxPortMap，为天象渗透测试平台后端使用的端口扫描和指纹识别模块，采用Golang编写。目前有666颗星。下载地址：选择适合自己系统的文件：

https://github.com/4dogs-cn/TXPortMap/releases

如果github无法访问，也有人将其放到了gitee上。地址为：

https://gitee.com/yijingsec/TXPortMap/releases/tag/v1.1.2

#修改工具名称mv TxPortMap_linux_x64 TxPortMap#授可执行权限chmod +x TxPortMap#实验./TxPortMap -i www.yijinglab.com/24 -p 80

可以通过./TxPortMap -h查看使用帮助。使用TxPortMap对自己搭建的环境进行扫描：

从扫描的结果可以清晰看出该C段下哪些ip开放了哪些端口。

小结

一次成功的渗透始于最基础却至关重要的信息：从域名到IP，再到端口，最终扩展至整个网络段。

通过技术原理学习与实践工具（如Nmap、TxPortMap及各类在线查询平台）相结合，我们掌握了如何一步步揭开目标网络的面纱：从解析域名的多重绑定关系、利用IP反查发现“旁注”机会，到探测开放端口以寻找服务入口，最后通过C段扫描绘制攻击者可能横向移动的战场全景。

查看原文：《侦察艺术：信息收集进阶指南——IP反查，端口信息收集》