书接上文,对与扫描、未授权渗透测试和攻击这块,有的时候只有个IP,这就很让人难绷了,具体下面讲,对于未授权渗透测试有一种方式,可以看下甲方这边有没有需要登录or注册的地方,这种要溯源的话,一般能找到攻击者注册的账号,根据userid之类的能找到个人信息,然后再继续溯源,成功率会高一些。
一、溯源反制-IP定位法
对IP溯源来说,这个方法其实也比较难实现,仅凭ip的话,只能刻画出攻击者攻击画像中间的攻击路径,对于攻击者的身份画像基本没办法,因为ip和身份没有强关联性,攻击队的ip一般也不会上面挂个域名让你反查,再加上是个攻击队基本都知道挂个代理或者用肉鸡干,基本白扯,只能卡能不能找到真实IP,通过反制拿下肉鸡之后翻肉鸡的链接记录,看有没有国区的ip,这种成功率可以高一些,因为攻击者能打进的肉鸡,其实你也可以打进,扫一扫别人的webshell找找框架的历史漏洞,除非他进去之后做了一波加固,给历史漏洞修复了,或者他在连肉鸡的时候还挂了一级代理找不到源ip,这种的话得找其他的溯源点了。
- 需要获取到真实的IP地址,再通过IP定位法溯源
- 获取真实IP地址的几种可能
- 一种是人家用的家庭网络,你获取到了住户小区的出口IP地址
- 一种是热点,你获取到了当地基站的出口IP
- 一种是人家用了云服务器,你获取到了云服务器的公网IP
- 其实,你拿到了这三种IP地址也没用
- 除非警方介入,否则你抓不到人
- 还有成本太高
- 如果云服务厂商要是国内的,能帮你提供一下人员信息
- 但是这个云不是跳板机,要是国外的匿名服务器就呜呼了
- 大多数攻击者都会用代理攻击,专业些的会用很多的跳板机打你
- 不专业的也知道挂个代理或者上个人多的VPN,再加个TOR
- 如果设备功能很拉跨,或者没有设备,你基本没戏,洗洗睡吧。(仅适用于个人溯源)
- 当然技术实力硬的可以直接尝试拿TOR的权限,然后根据时间节点直接筛使用者IP,耗费成本一样能把你揪出来。
- 如何获取真实IP一直是一个难题
- 一般用设备,在骨干网络上,上设备去抓,但是效果微乎其微。
- 通过日志服务器相应日志,依靠全流量设备镜像半年内的流量。
- 攻击者在探测的时候,喜欢ping一下,扫端口,或直接访问,一不注意可能用了自己的真实IP物理机去访问
- 有时候通过筛选此类访问记录也是有机会找到的
- 特别是ping日志、telnet日志这些比较特殊的地方需要格外的主意
- 如果成功拿到了真实的IP地址,可以直接通过IP查询物理地址
- IP溯源网上案例:
https://www.freebuf.com/articles/network/339461.html
- IP溯源网上案例:
二、蜜罐捕获法
蜜罐是一个较为靠谱的方式,高交互型的蜜罐可以迷惑攻击者,获取攻击样本的同时部分蜜罐还有直接反制上线的手段,预算充足的话建议每个厂商都常备一个。
- 蜜罐,是指在计算机网络安全中使用虚假系统来诱导攻击者试图攻击或侵入它
- 可以帮助安全团队识别和追踪攻击者,并为未来的安全预防提供信息
- 就是弄一个完全仿真的系统,里面有真实存在的漏洞,但是其实所有数据都是假的,连环境都是假的
- 当攻击者攻击蜜罐系统时,蜜罐可能会利用jsonp跨域劫持获取到攻击者的ID信息
- 例如
- 攻击者使用的IP地址信息包括跳板机
- 设备指纹包括操作系统版本
- 浏览器信息
- 甚至是若是使用手机热点可能直接被运营商接口直接泄露手机号、邮箱账户等
- 溯源人员直接就可以找到人,非常的可怕。
- 例如
- 蜜罐作为溯源反制好帮手,在作战中起着很重要的作用
- 但是要是蜜罐自身存在安全问题,那就芭比Q了
- 要注意,蜜罐自身网络也需要与办公网生产网隔离开,以免作茧自缚,直接穿
- 现阶段识别蜜罐最简单粗暴的方法
- 查看网站源代码,关闭JS特效甚至是查看域名信息、IP端口信息或者一些工具去识别蜜罐
- 一年到头也没几个倒霉的踩蜜罐的
- 蜜罐案例请移步Freebuf
https://www.freebuf.com/articles/web/246060.html