溯源简单入门——如何提升溯源技巧与溯源的方法的多样性

最新推荐文章于 2024-03-09 11:25:19 发布
最新推荐文章于 2024-03-09 11:25:19 发布
阅读量4.7k 收藏 44
点赞数 2
分类专栏: 信息泄露 溯源 经济犯罪侦查 文章标签: 安全 其他 经验分享 https 数据挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hilllle/article/details/116293848
版权

今天收到老师发来的一个文件《溯源手册》能快速上手在实战中运用,也可以充当字典使用。

技巧篇

通常情况下,接到溯源任务时,获得的信息如下

  • 列表项目
  • 攻击时间
  • 攻击 IP
  • 预警平台
  • 攻击类型
  • 恶意文件
  • 受攻击域名/IP
    其中攻击 IP、攻击类型、恶意文件、攻击详情是溯源入手的点。

通过攻击类型分析攻击详情的请求包,看有没有攻击者特征,通过获取到的 IP地址进行威胁情报查询来判断所用的 IP 具体是代理 IP 还是真实 IP 地址。

  • 如端口扫描大概率为个人 vps 或空间搜索引擎,在接到大量溯源任务时可优先溯源。
  • 如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡,在接到大量溯源任务时可优先溯源。
  • 如爬虫大概率为空间搜索引擎,可放到最后溯源。
  • 如恶意文件可获得 c2 地址、未删除的带有敏感信息的代码(如常用 ID、组织信息)、持续化控制代码(C2 地址指在 APT 攻击里的命令与控制,若获取到 C2地址可以使我们的溯源目标更有针对性)
  • 持续化控制代码需要详细分析,如采用 DGA 域名上线的方法,分析出域名算法,预测之后的域名可有效减少损失,增加溯源面。

溯源结果框架

在受到攻击、扫描之后,进行一系列溯源操作后,理想情况下想要获得如下数据,来刻画攻击者画像。姓名/ID:

  1. 攻击 IP:
  2. 地理位置:
  3. QQ:
  4. 微信:
  5. 邮箱:
  6. 手机号:
  7. 支付宝:
  8. IP 地址所属公司:
  9. IP 地址关联域名:
  10. 其他社交账号信息(如微博/src/id 证明):
  11. 人物照片:
  12. 跳板机(可选):

(ps:以上为最理想结果情况,溯源到名字公司加分最高)

在写溯源报告时,应避免单一面石锤,需要反复验证,避免中途溯源错人,各个溯源线索可以串起来,要具有逻辑性。

溯源常用手法

本节将按照获取到的数据展开分来来讲,最后可能融会贯通,互相适用。

威胁情报平台:

  1. https://x.threatbook.cn/
  2. https://x.threatbook.cn/
  3. https://ti.360.cn/
  4. https://www.venuseye.com.cn/

      (不要过于依赖威胁情报,仅供参考 平台大多为社区维护,存在误报以及时效性问题,可能最后跟真正攻击者毫无关系。)

已知域名获取信息历史 whois

通过威胁情报平台我们可以获取域名解析记录、历史 whois、子域名、SSL 证书等如图:

可获得:

  • ID
  • 姓名
  • 邮箱

SSL 证书

  • 可获得:
  • ID
  • 邮箱

解析记录

  1. 通过解析记录可以获得域名 A 记录从而获取到域名后的 IP 地址。
  2. A 记录 —— 映射域 bai 名到一个或多个 IP
  3. CNAME—— 映射域名到另一个域名(子域名)
  4. 域名解析记录:http://www.jsons.cn/nslookup/
  5. 全球 ping,查看现绑定 ip,看是否域名使用了 CDN 技术。
  6. http://ping.chinaz.com/

已知 IP 获取信息

反查域名
威胁情报平台:
https://www.ipip.net/ip.html
https://www.aizhan.com/
https://www.whois.com/

IP 信息
威胁情报平台:
https://www.ipip.net/
http://ipwhois.cnnic.net.cn/index.jsp
可获得:
是否为移动网络、IDC 等
IP 段所属公司

IP 定位
https://chaipip.com/
https://www.opengps.cn/Data/IP/ipplus.aspx                                                      

 

                                                                                                                                                                                                                                                                                                                                                                             部分内容参考《溯源手册》

1-1i111e
关注
  • 2
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于Python爬虫技术的虚假数据溯源与过滤.pdf
06-28
基于Python爬虫技术的虚假数据溯源与过滤.pdf
安全运营 -- 100个蓝队溯源技巧(逐步更新)
热门推荐
leeezp的博客
12-08 4万+
100个蓝队溯源技巧(逐步更新) 记录一些常用的入侵排查命令和日常运维思路分享。(排名不分先后,逐步更新ing)
【网络安全】浅谈IP溯源的原理及方法
weixin_72368685的博客
03-30 3140
导读 没有进攻和威胁的被动防守,是注定失败的 关注全球威胁情报和学会网络攻击溯源是特别重要的 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 溯源思路 1、攻击源捕获 ​安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​蜜罐系统,获取攻击者行为、意图的相关信
站长必备溯源教程-绕过CDN查找背后IP的方法手段
qq787387207的博客
03-09 964
一般邮件服务器在内部,没有CDN解析,邮件返回的域名IP可能是真实IP,比如邮箱注册、邮箱找回密码、RSS邮件订阅等功能场景,通过网站给自己发送邮件,从而让目标主动暴露他们的真实的IP,查看邮件头信息,从而获取到网站的真实IP。很多时候,一些重要的站点会做CDN,而一些子域名站点并没有加入CDN,而且跟主站在同一个C段内,这时候,就可以通过查找子域名来查找网站的真实IP。大部分 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的DNS查询,很可能获取到真实IP。
算法为王--正本溯源系列之一
kevin的专栏
07-11 7100
 以前曾旁观过一些软件工程师们争论, 当然也包括很多大学里的学生和朋友, 常见的一种是为谁的技术高, 谁懂的技术深刻较劲, 用C++的朋友很看不起用VB的, 精通操作系统的人看不起精通Excel的人, 精通编译原理的人看不起培训Dot Net的, 用UNIX的看不起Windows编程的人, 程序员相轻, 比文人更甚, 这样歧视的话语和语调流行很广. 可能有老师或者所谓资深专家对一个初学者这样说,你
流量分析与日志溯源的个人理解
Azjj
12-09 3799
下面是我结合网上论坛以及个人的一些想法针对日志分析溯源的个人理解 现阶段大部分企业都会上日志审计设备,在配上流量分光,还有各类IDS、WAF等设备日志,对安全溯源分析十分方便,但在日常工作中,免不了要直接看服务器相关请求日志的情况,这个时候就需要我们自身具备日志分析的能力了。 一、日志分析流程 1、统计 首先需要对数据进行处理,如请求IP统计,访问地址统计,HTTP状态码统计等,这些数据统计可以使用excel或者python脚本,如果手头有各类工具那就更容易统计了。2、威胁发现 关键字过...
溯源技巧(邮箱、域名、电话、qq)
ZeroDay001的博客
02-04 619
正常来说,他们都会做代理来发邮箱的,但是有些人没做,看到IP其实没什么大的用处,因为这是当时发的IP地址,打个比方,我在甘肃的某个地方边走边发的邮件,然后发完我就走到了其他地方,IP再发一次也会随着变化。再说另一种情况,就是用服务器来发送邮件信息,如果找到服务器的IP地址,万一他是用国内的IP,再绑定国内的域名,然后他还实名了,这不就溯源到了吗(哪里有那么完美的场景,也不排除可能有)有些whois查询能带来意想不到的惊喜,比如可以看到这里有他绑定的qq邮箱而且是没有隐藏的那种。直接点击箭头所指的地方。
网络安全篇:IP溯源的原理及方法
m0_59162248的博客
07-04 3819
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
某期间用到的溯源技巧
Vdieoo的博客
12-24 2384
0x00 前言 HVV期间负责的有溯源这块的工作,整理一下用到的技巧。通常情况下,溯源需要获取到目标攻击者的一部分社会信息,比如手机号,邮箱,QQ号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源。 --Keefe 0x01 技巧 没有外网高交互的探针蜜罐提供收集到的攻击者信息的话,如果只是单单知道一个域名、一个ip,以个人的力量其实很难针对性的去做溯源。 不过还是有些办法可以应付一些工作,前提当然是拿到了一些信息的情况。 1.域名、ip反查目标个人信息 通过
六边形溯源追踪算法编程思想与代码
PaniniGu的博客
05-18 3464
六边形算法简介 基于浓度梯度的六边形化学源追踪算法是Russell[8]在2003年提出了。该追踪算法的主要思路如下:     While(循环停止条件){       If(        Then 在n点处逆时针旋转60°,前进固定步长m;      Else          在n点处顺时针旋转60°,前进固定步长m;      End if } 其中,为在第n个点处所测化
追根溯源——回溯算法
如切如磋,如琢如磨
08-12 2991
最近几天在leetcode上刷到排列组合这一类的问题多了起来. .基本的解决思路就是“回溯算法”,乍一看感觉非常高大上,其实也就是披着多叉树遍历外套的暴力破解法,做多了就会发现这就像循环遍历数组一样,套路固定,故准备总结在此,以供交流探讨。 模板 举个例子:输出一串数字[1,2,3]的全排列[1,2,3],[1,3,2],[2,1,3,],[2,3,1],[3,1,2],[3,2,1]。 这个问题交给人类来解决的话肯定是先固定第一位为 1,然后第二位可以是 2,那么第三位只能是 3;然后可以把.
Linux溯源技巧
zizizizizi_的博客
03-15 3621
一.溯源的思路 看对方的目标,最终的目的是什么,根据自己的能力看实现这个目标需要哪些操作,看这些操作过程中存在着那些日志 入手点 1.网站源码 2.日志分析 3.系统存储信息分析 4.分析进程端口 二.网站源码分析 分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。 1.查杀后门 可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息。 找到 webshell 后,就可以根据该文件的路径,在日志
SSR在猪个体识别及肉产品溯源中的应用 (2014年)
05-08
在试验群体中(11个品种,192个体)检测了24个SSR标记的遗传多样性.通过杂合度和多态信息含量计算筛选出11个SSR标记可用于猪肉产品的DNA溯源。在此基础上进一步在屠宰场采样进行了溯源模拟实验,结果表明筛选的11个...
大数据安全与隐私保护.pptx
12-24
二、大数据研究概述 大数据 大规模 高速性 多样性 人 机 物 特点 来源 大数据安全与隐私保护全文共24页,当前为第4页。 大数据分析目标 1 获得知识与推测趋势 由于大数据包含大量原始、真实信息,大数据分析能够...
大数据与威胁感知.pdf
08-07
安全威胁的多样性与指向性 威胁感知的拼图 拼图 究竟什么是我们要的拼图 业务流程就是将不同的“线索”拼成“全貌“ 威胁感知的过程是本质是完成拼图 威胁感知的误区 技术思路的变化 威胁感知的第一个难点 威胁感知...
花样跳绳运动研究* (2014年)
04-27
目的 通过对跳绳运动历史溯源及文化底蕴的研究,揭示其运动特点、审视价值,促使花样跳绳能得以很好的传承与发展...结论花样跳绳运动有着浓厚的历史文化底蕴,具有简便易行、动作花式多样且安全性高等特点和优点,具有
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
最新发布
04-18
兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您
python爬虫(四)爬虫的溯源(爬取mooc某个系列课程)
meteor的博客
02-24 2325
前言 ​ 这次是针对需要网页分析的爬虫,分析过后往往会获得你需要的每节视频源地址,但是假如一节视频课是有很多节课你就必须要去一个个的去搜寻每个视频的源地址,这样一来非常浪费时间而且也没有打到我们的对于爬虫自动化的需求,于是我们就需要去对整个页面进行分析试图把它连根拔起。 这次我们准备爬取的是mooc里的猴博士电路系列。 初次尝试 打开我们的mooc找到猴博士的电路系列课程点进去第一课,F12后刷新...
基于农作物生长监视的产品溯源系统的设计与实现
04-17
基于农作物生长监视的产品溯源系统是一种利用现代技术手段对农作物生长过程进行监测和记录,并通过溯源技术实现对产品的追溯和管理的系统。下面是该系统的设计与实现的一般步骤: 1. 传感器数据采集:通过安装传感器设备,如温度传感器、湿度传感器、光照传感器等,对农作物生长环境的关键参数进行实时监测和采集。 2. 数据存储与处理:将采集到的传感器数据存储到数据库中,并进行数据处理和分析,如数据清洗、异常检测等,以获取准确的农作物生长信息。 3. 数据可视化:将处理后的数据通过图表、地图等形式进行可视化展示,方便用户直观地了解农作物生长情况,如温度曲线、湿度热力图等。 4. 溯源信息记录:在农作物生长过程中,记录关键环节的信息,如种植时间、施肥情况、农药使用等,以便后续追溯产品的生产过程。 5. 产品追溯与溯源查询:通过溯源码或二维码等方式,将产品与其生产过程关联起来,用户可以通过扫码或输入溯源码查询产品的生产信息,如种植地点、生长环境、生产过程等。 6. 安全与隐私保护:在系统设计与实现过程中,要考虑数据的安全性和隐私保护,采取合适的加密和权限控制措施,确保数据不被非法获取和篡改。 7. 数据分析与决策支持:通过对采集到的数据进行分析和挖掘,提供决策支持,如优化种植方案、预测产量等,帮助农民提高农作物的产量和质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1-1i111e

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值