(网络安全)你所不知道的攻防演练之溯源分析!

前言

攻防演练中防守方少不了要做的一件事就是溯源分析。在发现有入侵者后,快速由守转攻。接下来就来看看如何根据不同的场景去做溯源分析,最后生成攻击者的身份画像。

(网络安全)你所不知道的攻防演练之溯源分析!_第1张图片

攻击方式

在攻防演练中攻击方主要通过下面的方式进行攻击:web网站,服务漏洞,钓鱼,还有近几年来比较流行的近源攻击。这些攻击方式都不是无迹可寻,会在各种设备上留下痕迹。溯源就是根据留下的痕迹去反向找到攻击者。

(网络安全)你所不知道的攻防演练之溯源分析!_第2张图片

攻击源

再来看看我们能够获取到的攻击源都有哪些,这些就是我们进行溯源分析的原始数据。最常见的攻击源就是IP地址,域名,恶意样本,社交账号ID,邮箱/手机号。

(网络安全)你所不知道的攻防演练之溯源分析!_第3张图片

溯源方式

从上面可以看到,我们获取到的攻击源可以分为三种:IP,域名,个人ID信息(手机号,社交名称,邮箱等)

IP方式溯源

(网络安全)你所不知道的攻防演练之溯源分析!_第4张图片

得到攻击者的IP,可以通过下面的方式进行溯源

1)先判断IP的类型,看IP是代理IP,IDC机房/云主机,肉鸡,CDN IP。查看IP的类型可以通过威胁情报网站或者ipip.net这种类型的网站进行判断。

2)代理IP/CDN:如果攻击IP是代理IP或者CDN IP地址,那么一般是没有办法进行有效溯源的,可以先放弃。

3)肉鸡IP:这种IP一般是由于存在漏洞被攻击者拿到权限,进而用作跳板进行攻击,这种只能去攻击这台主机拿到权限以后,上去查找连接记录,进而获取真实IP,在进行溯源。这种方式比较难。

4)IDC机房或者云主机:这种有可能是攻击者自己的服务器,可以查看该IP的历史域名解析记录,根据域名信息去做whois查询,看是否能够获取到注册人信息,如姓名,邮箱,手机号等。如果可以拿到这些信息,可以去查社工库,或者各种论坛去完善攻击者画像。

5)真实IP:如果是真实IP,那么可以通过网站对攻击者的位置进行大概定位,在结合其它信息进行判断。

查询IP信息的常用网站

https://www.cz88.net/iplab

https://www.ipip.net/

https://www.ipuu.net/query/ip?search=

https://tool.lu/ip/

https://x.threatbook.com/

域名方式溯源

从恶意样本或者钓鱼邮件中可以提取到域名,可以根据域名去查找攻击者的相关信息。

1691400741_64d0ba25aced7beb35392.png!small?1691400742194

ID方式溯源

通过下面的方式进行查询

1)如果有邮箱,手机号等信息,可以查找社工库去获取信息

2)进行ID同名搜索,在各个不同的社交网站进行查询,如淘宝,qq等

3)ID是手机号,可以通过手机号搜索相关信息,以及手机号使用者的姓名等

(网络安全)你所不知道的攻防演练之溯源分析!_第5张图片

总结

溯源的关键还是你能获取到信息的多少,要通过蜜罐这类技术去尽可能的捕获攻击者的特征,然后再去进行反查。

觉得看完本文章觉得有收获的话请三连评论一波 找我私信拿黑客资料哦!

你可能感兴趣的:(web安全,安全,网络)