ip地址跳转后如何溯源 怎么对攻击ip进行溯源
\u81ea\u52a8\u83b7\u53d6ip\u5730\u5740\u600e\u6837\u8ffd\u6839\u6eaf\u6e90\u81ea\u52a8\u83b7\u53d6IP\u7684\u8bdd\uff0cIP\u968f\u65f6\u4f1a\u53d8\u52a8\uff0c\u53ea\u6709MAC\u5730\u5740\u4e00\u822c\u4e0d\u4f1a\u53d8\u52a8\uff0c\u8bf7\u5728\u8def\u7531\u5668\u91cc\u627e\u5230\u6709\u95ee\u9898\u7535\u8111\u7684MAC\u5730\u5740\uff0c\u8bb0\u4e0b\u6765\uff0c\u7136\u540e\u6328\u5bb6\u6328\u6237\u53bb\u67e5\u7535\u8111\u7684MAC\u5730\u5740\u3002
\u5f53\u7136\uff0c\u4f60\u8fd8\u53ef\u4ee5\u5c1d\u8bd5\u8fd9\u6837\u505a\uff1a\u5728\u8def\u7531\u5668\u91cc\u7684\u9632\u706b\u5899\u6216\u662f\u4e0a\u7f51\u63a7\u5236\u9875\u9762\uff0c\u7981\u6b62\u6b64MAC\u5730\u5740\u901a\u8fc7\u8def\u7531\u5668\uff0c\u90a3\u4e48\u6709\u95ee\u9898\u7684\u7535\u8111\u5c31\u4e0a\u4e0d\u4e86\u7f51\u4e86\uff0c\u4ed6\u5c31\u4f1a\u81ea\u52a8\u627e\u4e0a\u95e8\uff0c\u95ee\u4e3a\u4ec0\u4e48\u4ed6\u7684\u7535\u8111\u4e0a\u4e0d\u4e86\u7f51\uff0c\u5f53\u7136\u5c31\u627e\u5230\u6709\u95ee\u9898\u557c\u7535\u8111\u9e1f\u3002
\u5e0c\u671b\u5bf9\u4f60\u6709\u6240\u5e2e\u52a9\uff0c\u5982\u6709\u4e0d\u660e\u767d\u7684\uff0c\u6b22\u8fce\u6765\u95ee\u6211\uff01\uff01\uff01
\u4f5c\u4e3a\u4e00\u4e2a\u4e13\u4e1a\u7684\u7f51\u7edc\u7cfb\u7edf\u7ba1\u7406\u5458\uff0c\u53ef\u4ee5\u901a\u8fc7\u4e13\u95e8\u7684\u7f51\u7edc\u7ba1\u7406\u8f6f\u4ef6\uff0c\u6355\u83b7\u6240\u6709\u7684\u4fe1\u606f\u5305\uff0c\u7136\u540e\u5bf9\u7b26\u5408\u7279\u5b9a\u6761\u4ef6\u7684\u4fe1\u606f\u5305\u8fdb\u884c\u8be6\u7ec6\u7684\u5206\u6790\u3002
溯源思路:1、攻击源捕获
安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等
日志与流量分析,异常的通讯流量、攻击源与攻击目标等
服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等
邮件钓鱼,获取恶意文件样本、钓鱼网站URL等
蜜罐系统,获取攻击者行为、意图的相关信息
2、溯源反制手段
2.1 IP定位技术
根据IP定位物理地址—代理IP
溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
2.2 ID追踪术
ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配
溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
2.3 网站url
域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护
溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析
2.4 恶意样本
提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析
溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
2.5 社交账号
基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销
3、攻击者画像
3.1 攻击路径
攻击目的:拿到权限、窃取数据、获取利益、DDOS等
网络代理:代理IP、跳板机、C2服务器等
攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
3.2 攻击者身份画像
虚拟身份:ID、昵称、网名
真实身份:姓名、物理位置
联系方式:手机号、qq/微信、邮箱
组织情况:单位名称、职位信息
绛旓細姣旂壒甯佹槸涓绉峆2P褰㈠紡鐨勮櫄鎷熺殑鍔犲瘑鏁板瓧璐у竵銆傜偣瀵圭偣鐨勪紶杈撴剰鍛崇潃涓涓幓涓績鍖栫殑鏀粯绯荤粺銆備笌鎵鏈夌殑璐у竵涓嶅悓锛屾瘮鐗瑰竵涓嶄緷闈犵壒瀹氳揣甯佹満鏋勫彂琛岋紝瀹冧緷鎹壒瀹氱畻娉曪紝閫氳繃澶ч噺鐨勮绠椾骇鐢熴傛瘮鐗瑰竵鍙婂叾浼楀琛嶇敓鍝佽绉颁负鍔犲瘑璐у竵銆 璇ョ郴缁熶娇鐢ㄤ簡鍔犲瘑鎶鏈潵鐢熸垚鏂板竵锛屼互鍙婅繘琛岃浆甯愰獙璇併 鍔犲瘑搴忓垪鏈変互涓嬪嚑涓洰鐨勶細浣夸氦鏄...
绛旓細鍙兘鏈夊緢澶氱锛屽叿浣撴儏鍐甸渶瑕佽拷鏍婧簮锛屾柟鍙‘瀹氭槸浠ヤ笅鍝竴绉嶆儏鍐碉細1.鐢ㄤ唬鐞嗘湇鍔″櫒涓婄綉锛岀湅瑙佺殑鏄湇鍔″櫒鐨勭粺涓鍦板潃銆2.瀹剁敤璺敱鍣ㄤ笂缃戯紝鏄剧ず鐨勬槸棰勮鐨勫鐢ㄨ矾鐢卞櫒鍦板潃銆3.渚︽祴鍦板潃鐨凲Q锛岃渚︽祴鍔熻兘鏁版嵁搴撴湁璇垨鏈強鏃舵洿鏂板湴鍧搴撱4.濡傛灉鏄皬鍖哄甯︼紝鏈嶅姟鍣ㄦ湁鍙兘鍋浜咺P鍦板潃娆洪獥锛屼负浜嗙綉缁滃畨鍏ㄣ傜瓑绛夋儏鍐....
绛旓細02 鏄剧ずIP灞炲湴鍙兘浼氬偓鐢熻櫄鎷烮P榛戜骇鍏跺疄铏氭嫙IP浜т笟鏃╁氨鏈浜锛屽彧鏄垜浠钩鏃跺緢灏戝叧娉ㄧ舰浜嗐備互寰鐢佃剳绔洿鏀硅櫄鎷IP鍦板潃杈冧负甯歌锛屼粖鍚庢墜鏈虹鏇存敼铏氭嫙IP鍦板潃鎭愭曞緢鎴愪负甯告侊紝灏ゅ叾瀵归偅浜涙槑鏄熻壓浜恒佸悇鍨傜洿琛屼笟鐨勫ぇV鏉ヨ锛岀敤铏氭嫙IP鍙戝唴瀹逛篃鏋佹湁鍙兘浼氭垚涓哄垰闇锛岃岃繖鍙堝皢鍏绘椿涓澶ф壒鍋氳櫄鎷烮P鍦板潃鐢熸剰鐨勫晢浜恒03 鍙兘...
