【网络安全】浅谈IP溯源的原理及方法

导读

  • 没有进攻和威胁的被动防守,是注定失败的
  • 关注全球威胁情报和学会网络攻击溯源是特别重要的
  • 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。

溯源思路

1、攻击源捕获

  • 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等
  • 日志与流量分析,异常的通讯流量、攻击源与攻击目标等
  • 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等
  • 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等
  • 蜜罐系统,获取攻击者行为、意图的相关信息

2、溯源反制手段

2.1 IP定位技术

根据IP定位物理地址---代理IP

​溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息

2.2 ID追踪术

​ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配

​溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息

2.3 网站url

域名Whois查询---注册人姓名、地址、电话和邮箱。---域名隐私保护

​溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析

2.4 恶意样本

​提取样本特征、用户名、ID、邮箱、C2服务器等信息---同源分析

​溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。

2.5 社交账号

基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等

​利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销

3、攻击者画像

3.1 攻击路径

攻击目的:拿到权限、窃取数据、获取利益、DDOS等

​网络代理:代理IP、跳板机、C2服务器等

​攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

3.2 攻击者身份画像

​ 虚拟身份:ID、昵称、网名

​ 真实身份:姓名、物理位置

​ 联系方式:手机号、qq/微信、邮箱

​ 组织情况:单位名称、职位信息

4、安全攻击溯源篇

4.1 案例一:邮件钓鱼攻击溯源

攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。

信息收集: 通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。

溯源方式:第一种,可以通过相关联的域名/IP进行追踪;第二种,对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息;第三种,通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。

4.2 案例二:Web入侵溯源

攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。

溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址。

在入侵过程中,使用反弹shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。

4.3 案例三:蜜罐溯源

攻防场景:在企业内网部署蜜罐去模拟各种常见的应用服务,诱导攻击者攻击。

溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

更多网络安全知识点,欢迎关注我

相关推荐
网络安全指导员1 小时前
kali linux 漏洞扫描
linux·运维·开发语言·网络·安全·web安全
Yan-英杰1 小时前
使用阿里云操作系统控制台排查内存溢出
开发语言·python·tcp/ip·阿里云·云计算·deepseek
写完这行代码打球去2 小时前
为什么大模型网站使用 SSE 而不是 WebSocket?
网络·websocket·网络协议
起床学FPGA2 小时前
wireshark点击快捷无法打开
网络·测试工具·wireshark
Wlq04153 小时前
计算机网络概述
网络·计算机网络
book01213 小时前
简单以太网配置
网络·智能路由器
煲冬瓜的程序猿3 小时前
BGP实验(一)IBGP全互联配置
网络·网络协议
搬码红绿灯3 小时前
计算机网络——路由器
网络·计算机网络·智能路由器
book01213 小时前
静态路由实验
网络·智能路由器
zhglhy4 小时前
MAC查看自己真实IP命令
网络协议·tcp/ip·macos