溯源与反制

溯源

在安全事件确认后,我们要对对方的攻击进行定位和查找。溯源的关键在于取证,获取到攻击机的相关信息

所以溯源分为了三步骤

1.找到对方的攻击痕迹。

这就和安全事件的确定有关系。比如说领导告诉你我的主机有点卡或者web页面被篡改了等等。这时候就要去判断对方的攻击手段。然后去找攻击的痕迹。痕迹的寻找就是三个点,日志,网路痕迹,进程信息。这三点进行结合查看。

2.找到可识别的网络资产。

比如说我在日志里找到了对应的攻击者IP,那么我们就要对ip进行识别他的网络资产,比如站长之家识别一下,查看一下有无域名,对域名进行反查一下,看是否可以搜索到攻击者相关信息。

还有就是如果这些信息无法获取,只知道了对方的ip,那就直接对对方进行反向渗透。进行取证,取证的主要是对方的office文件,各种第三方社交软件,比如说微信有个缓存文件db后缀结尾的,里面有聊天记录,拿去破解一下。

3.从资产找到对应的人

取证,想尽办法搜索到和他相关的所有信息。

反制

反制分为技术手段和非技术手段

技术手段

1.分析对方工具的漏洞

2.蜜罐

非技术手段

1.钓鱼和反钓鱼

2.从攻击者目的思考反向获取对方信息

反制还分为直接反制和钓鱼反制

直接反制就是对对方主机进行攻击。

钓鱼反制就是引诱对方进入。这里要说一下,让我们做蜜罐时候,一定要做的像内网的真实主机,不能让对方一眼识别。比如说网卡啊,虚拟机可以用别人测试的游戏虚拟机,相关文件,敏感文件,各种服务。OA啊,等等,做的真实一点点。

你可能感兴趣的:(hvv,网络)