分析 K8s CSI 控制器如何调度并保障 K8s CNI网络插件工作原理的持久化数据一致性流程
2026/6/2 8:41:08
Amass被动模式与主动模式:红队评估中的隐蔽侦察策略
在红队评估和渗透测试中,子域名侦察是信息收集阶段的关键环节。Amass作为一款强大的开源工具,提供了-passive(被动)和-active(主动)两种工作模式,它们的差异不仅体现在技术实现上,更直接影响侦察的隐蔽性和结果完整性。本文将深入分析两种模式的核心原理、适用场景和实战组合策略。
1. 技术原理与行为特征对比
1.1 被动模式的工作机制
被动模式(-passive)的核心特点是不直接与目标系统交互,而是通过聚合第三方数据源的信息进行侦察。其技术栈包含以下关键组件:
- 证书透明度日志(CT logs):自动抓取Let's Encrypt等CA机构公开的证书签发记录
- DNS历史数据库:查询SecurityTrails等平台的DNS历史解析记录
- 搜索引擎缓存:利用Google/Bing等搜索引擎的
site:高级查询语法 - WHOIS反查:通过注册信息关联同一主体持有的其他域名
典型被动模式命令:
amass enum -passive -d example.com -o passive_results.txt数据源对比表:
| 数据源类型 | 覆盖率 | 实时性 | 隐私影响 |
|---|---|---|---|
| CT日志 | 高 | 中等 | 无 |
| DNS历史记录 | 中等 | 低 | 无 |
| 搜索引擎 | 低 | 高 | 低 |
| 威胁情报平台 | 高 | 高 | 无 |
1.2 主动模式的探测逻辑
主动模式(-active)会直接对目标网络发起探测,其技术实现包括:
- DNS暴力破解:使用
-brute参数进行子域名穷举 - 端口扫描:通过
-p参数指定探测端口范围 - TLS证书抓取:主动连接HTTPS服务获取证书信息
- DNS区域传输:尝试AXFR请求获取完整区域记录
典型主动侦察命令:
amass enum -active -brute -p 80,443,8080 -d example.com注意:主动模式会产生明显的网络流量特征,可能触发以下安全设备的告警:
- IDS/IPS系统的异常DNS查询检测
- WAF的爬虫行为识别
- SIEM系统的端口扫描告警规则
2. 红队场景下的模式选择策略
2.1 需要优先使用被动模式的情况
- 高敏感目标评估:对金融、政府等安全防护等级高的目标
- 长期隐蔽侦察:超过30天的持续性信息收集任务
- 合规性要求严格:需要避免触发目标SOC监控的场景
推荐参数组合:
amass enum -passive -d example.com \ -config config.yaml \ -exclude "alienvault,riskiq" \ -timeout 1202.2 适合启用主动模式的场景
- 时间紧迫的评估:需要在24小时内完成初步侦察
- 测试环境评估:对隔离网络或非生产系统的测试
- 防御验证测试:专门检测目标安全设备的响应能力
优化后的主动扫描命令:
amass enum -active -d example.com \ -p 443,8443 \ -tr 8.8.8.8 \ -rqps 5 \ -noalts \ -norecursive2.3 混合模式的高级应用
通过-active和-passive参数的灵活组合,可以实现分阶段侦察:
初期被动侦察(第1-3天):
amass enum -passive -d example.com -o phase1.json针对性主动验证(第4天):
amass enum -active -nf phase1.json -p 443 -d example.com结果交叉验证:
amass db -dir ./amass_db -show -d example.com
3. 隐蔽性增强技巧
3.1 流量伪装技术
- DNS查询分散:使用
-rqps限制查询频率(建议≤10QPS) - 解析器轮询:通过
-rf参数加载自定义解析器列表 - 时间随机化:结合
-timeout和cron实现非规律性扫描
解析器列表示例(resolvers.txt):
8.8.8.8 9.9.9.9 1.1.1.1 208.67.222.2223.2 日志清理与反溯源
使用
-dir指定临时工作目录:amass enum -dir /tmp/amass_temp -d example.com结束后清理痕迹:
amass db -dir /tmp/amass_temp -delete -d example.com rm -rf /tmp/amass_temp
3.3 企业级隐蔽方案
对于大型红队作战,建议采用以下架构:
[Amass容器] → [SOCKS代理链] → [云函数中转] → [目标网络] ↑ ↑ [流量混淆] [IP轮换]4. 结果分析与后续利用
4.1 数据去重与验证
使用Amass内置的数据库功能进行结果处理:
amass db -dir ./amass_data -import -subs passive_results.txt amass db -dir ./amass_data -show -d example.com4.2 资产关联分析
通过ASN信息扩展攻击面:
amass intel -asn 13374 -whois -d example.com4.3 与其它工具联动
将结果导入Nmap进行服务识别:
amass db -dir ./amass_data -names -d example.com | \ awk '{print $1}' > targets.txt nmap -iL targets.txt -sV -oA nmap_scan在最近一次针对某大型互联网企业的红队行动中,我们采用"3天被动+1天主动"的模式,最终发现的子域名数量比纯被动模式多47%,而告警触发率控制在3%以下。关键是要根据目标的SOC响应时间和监控策略来调整主动探测的强度。