(网络安全)你所不知道的攻防演练之溯源分析!

前言

攻防演练中防守方少不了要做的一件事就是溯源分析。在发现有入侵者后，快速由守转攻。接下来就来看看如何根据不同的场景去做溯源分析，最后生成攻击者的身份画像。

攻击方式

在攻防演练中攻击方主要通过下面的方式进行攻击：web网站，服务漏洞，钓鱼，还有近几年来比较流行的近源攻击。这些攻击方式都不是无迹可寻，会在各种设备上留下痕迹。溯源就是根据留下的痕迹去反向找到攻击者。

攻击源

再来看看我们能够获取到的攻击源都有哪些，这些就是我们进行溯源分析的原始数据。最常见的攻击源就是IP地址，域名，恶意样本，社交账号ID，邮箱/手机号。

溯源方式

从上面可以看到，我们获取到的攻击源可以分为三种：IP，域名，个人ID信息（手机号，社交名称，邮箱等）

IP方式溯源

得到攻击者的IP，可以通过下面的方式进行溯源

1）先判断IP的类型，看IP是代理IP，IDC机房/云主机，肉鸡，CDN IP。查看IP的类型可以通过威胁情报网站或者ipip.net这种类型的网站进行判断。

2）代理IP/CDN：如果攻击IP是代理IP或者CDN IP地址，那么一般是没有办法进行有效溯源的，可以先放弃。

3）肉鸡IP：这种IP一般是由于存在漏洞被攻击者拿到权限，进而用作跳板进行攻击，这种只能去攻击这台主机拿到权限以后，上去查找连接记录，进而获取真实IP，在进行溯源。这种方式比较难。

4）IDC机房或者云主机：这种有可能是攻击者自己的服务器，可以查看该IP的历史域名解析记录，根据域名信息去做whois查询，看是否能够获取到注册人信息，如姓名，邮箱，手机号等。如果可以拿到这些信息，可以去查社工库，或者各种论坛去完善攻击者画像。

5）真实IP：如果是真实IP，那么可以通过网站对攻击者的位置进行大概定位，在结合其它信息进行判断。

查询IP信息的常用网站

https://www.cz88.net/iplab

https://www.ipip.net/

https://www.ipuu.net/query/ip?search=

https://tool.lu/ip/

https://x.threatbook.com/

域名方式溯源

从恶意样本或者钓鱼邮件中可以提取到域名，可以根据域名去查找攻击者的相关信息。

ID方式溯源

通过下面的方式进行查询

1）如果有邮箱，手机号等信息，可以查找社工库去获取信息

2）进行ID同名搜索，在各个不同的社交网站进行查询，如淘宝，qq等

3）ID是手机号，可以通过手机号搜索相关信息，以及手机号使用者的姓名等

总结

溯源的关键还是你能获取到信息的多少，要通过蜜罐这类技术去尽可能的捕获攻击者的特征，然后再去进行反查。

觉得看完本文章觉得有收获的话请三连评论一波 找我私信拿黑客资料哦!