溯源与反制

溯源

在安全事件确认后，我们要对对方的攻击进行定位和查找。溯源的关键在于取证，获取到攻击机的相关信息

所以溯源分为了三步骤

1.找到对方的攻击痕迹。

这就和安全事件的确定有关系。比如说领导告诉你我的主机有点卡或者web页面被篡改了等等。这时候就要去判断对方的攻击手段。然后去找攻击的痕迹。痕迹的寻找就是三个点，日志，网路痕迹，进程信息。这三点进行结合查看。

2.找到可识别的网络资产。

比如说我在日志里找到了对应的攻击者IP，那么我们就要对ip进行识别他的网络资产，比如站长之家识别一下，查看一下有无域名，对域名进行反查一下，看是否可以搜索到攻击者相关信息。

还有就是如果这些信息无法获取，只知道了对方的ip，那就直接对对方进行反向渗透。进行取证，取证的主要是对方的office文件，各种第三方社交软件，比如说微信有个缓存文件db后缀结尾的，里面有聊天记录，拿去破解一下。

3.从资产找到对应的人

取证，想尽办法搜索到和他相关的所有信息。

反制

反制分为技术手段和非技术手段

技术手段

1.分析对方工具的漏洞

2.蜜罐

非技术手段

1.钓鱼和反钓鱼

2.从攻击者目的思考反向获取对方信息

反制还分为直接反制和钓鱼反制

直接反制就是对对方主机进行攻击。

钓鱼反制就是引诱对方进入。这里要说一下，让我们做蜜罐时候，一定要做的像内网的真实主机，不能让对方一眼识别。比如说网卡啊，虚拟机可以用别人测试的游戏虚拟机，相关文件，敏感文件，各种服务。OA啊，等等，做的真实一点点。