溯源与反制

最新推荐文章于 2024-05-20 20:42:03 发布
最新推荐文章于 2024-05-20 20:42:03 发布
阅读量873 收藏 1
点赞数
分类专栏: hvv 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65096687/article/details/131285124
版权

溯源

在安全事件确认后,我们要对对方的攻击进行定位和查找。溯源的关键在于取证,获取到攻击机的相关信息

所以溯源分为了三步骤

1.找到对方的攻击痕迹。

这就和安全事件的确定有关系。比如说领导告诉你我的主机有点卡或者web页面被篡改了等等。这时候就要去判断对方的攻击手段。然后去找攻击的痕迹。痕迹的寻找就是三个点,日志,网路痕迹,进程信息。这三点进行结合查看。

2.找到可识别的网络资产。

比如说我在日志里找到了对应的攻击者IP,那么我们就要对ip进行识别他的网络资产,比如站长之家识别一下,查看一下有无域名,对域名进行反查一下,看是否可以搜索到攻击者相关信息。

还有就是如果这些信息无法获取,只知道了对方的ip,那就直接对对方进行反向渗透。进行取证,取证的主要是对方的office文件,各种第三方社交软件,比如说微信有个缓存文件db后缀结尾的,里面有聊天记录,拿去破解一下。

3.从资产找到对应的人

取证,想尽办法搜索到和他相关的所有信息。

反制

反制分为技术手段和非技术手段

技术手段

1.分析对方工具的漏洞

2.蜜罐

非技术手段

1.钓鱼和反钓鱼

2.从攻击者目的思考反向获取对方信息

反制还分为直接反制和钓鱼反制

直接反制就是对对方主机进行攻击。

钓鱼反制就是引诱对方进入。这里要说一下,让我们做蜜罐时候,一定要做的像内网的真实主机,不能让对方一眼识别。比如说网卡啊,虚拟机可以用别人测试的游戏虚拟机,相关文件,敏感文件,各种服务。OA啊,等等,做的真实一点点。

不过是三年五载
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文彻底说明白溯源反制以及对抗
xxx
05-28 2597
感觉很多人都对溯源反制这个事情,感觉很神奇。今天就讲一下我所知道的目前的溯源反制的手段,以及技术原理1.ip层面这个维度主要就是对攻击者的ip进行威胁情报查询,微步在线跑一遍,重点关注历史绑定域名、绑定域名的备案等等。或者可以扫一下攻击ip开发的端口等等,可能有一些脆弱服务什么的。2.浏览器层面也就是目前蜜罐主流的手段,2.1 jsonp浏览器层面主要发力点是在JSONP漏洞上,jsonp是早期浏览器对跨域支持不完善,开发人员想到的一种绕过机制。大家都知道在HTML页面中,我a站直接ajax b站,如果没有
2021HW参考 _ 溯源反制终极手册(精选版).pdf
03-30
适合于2021参加hw的人。
工作中对溯源反制有帮助的两个小脚本
qq_53058639的博客
03-19 270
介绍两个小脚本,在溯源的工作中,使用频繁,根据客户的需求来,我在项目上客户要求,不管啥IP,只要有攻击行为就开始溯源。一下子工作量就上来了,每天都拿到大量的IP,项目快结束的时候,直接过来了全部的IP。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。如果IP很少的话,就最后一天导入GOBY,进行批量扫描,找到web服务,或者其他的一些漏洞,你别不信,做安全的机子上还有漏洞?
红蓝对抗系列之浅谈蓝队反制红队的手法一二
Websec
12-10 3193
红蓝对抗系列之浅谈蓝队反制红队的手法一二 取证反查 针对ip 溯源一二 一般来说,红队大部分都是使用代理节点进行测试,假如我们捕获或者从样本里面分析拿到了真实ip ,那么以下操作场景就有用了,或者使用钓鱼反钓的方式获取到了真实ip。 1: ip > 来自创宇盾等节点流量ip ip,假如前面还有一层云waf 、cdn厂商等,那么需要协调到提供服务的厂商,快速获取到云waf 或者cdn 之前的节点real_ip , 然后拿到了真实ip 就是下面的常规溯源操作。 2: ip> whois
浅谈溯源反制与防溯源
weixin_48421613的博客
02-06 4066
溯源反制与防溯源的小谈
溯源反制思路整合
风炫的博客
07-27 2198
溯源反制思路整合 文章目录溯源反制思路整合0x01反制的整体思路0x02 反制具体思路0x0201 反制主机0x0202 反制后门附件0x0203 反制攻击工具0x03 拿下傀儡机之后如何进行源IP的查找0x0301 日志分析01 Web日志分析02 系统日志分析0x0302 进程分析WindowsLinux0x0303 流量分析通用Windowslinux0x0304 服务查询WindowsLInux0x0305 其他技巧通用查询在线登陆者0x04 溯源相关思路根据IP进行溯源根据域名进行溯源根据ID溯源
蓝队溯源反制
zhangge3663的博客
05-06 3570
本文简单写下红蓝对抗过程中蓝队的一些溯源反制方法。 一、蜜罐反制 (1)商用型 近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者,衡量蜜罐好坏的关键因素为诱捕能力,即为诱惑捕捉能力。 利用蜜罐可以做到:获取攻击者的P(真实IP,代理IP等)、ID、操作系统、设备信息等,也可通过诱饵进行钓鱼反制。 蜜罐常见形式可以直观的分为web页面型,命令行型,windows型等。 web页面例如weblogic、phpmyadmin、crm等,攻击者可进行弱口令登陆,暴力破解,历史漏洞,后台shell等,蜜罐页面中会
2021HW溯源反制终极手册.zip
04-27
溯源反制思想; 威慑反制能力建设; 红蓝对抗中的溯源反制实战; 溯源反制战术讲解; APT攻击检测与反制技术体系; 溯源反制中常见技术; 红蓝对抗中的溯源反制实战案例讲解; 溯源反制产品; 蜜罐诱捕市场指南; ...
红蓝对抗中的溯源反制实战.pdf
03-12
红蓝对抗中的溯源反制实战.pdf
攻击者溯源反制思维导图
12-20
攻击者溯源反制思维导图攻击者溯源反制思维导图攻击者溯源反制思维导图攻击者溯源反制思维导图攻击者溯源反制思维导图攻击者溯源反制思维导图攻击者溯源反制思维导图
HW多人运动溯源反制指北1
08-03
2. 服务端返回个header插xss引远程js件 3. 远程js件插完整的执代码 4. 攻击队成员点击详情触发xss,最后rce
溯源反制-SQLMAP反制
m0_62172162的博客
04-25 613
溯源反制-SQLMAP反制
溯源(七)之利用AntSword RCE进行溯源反制黑客
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-03 1162
在之前文章中我们学习了如何通过Web日志,系统日志,安全设备去获取攻击源,然后再通过获取的攻击源的信息再去寻找攻击者的身份,这些方式都是被动的去寻找攻击者的身份 但这些方法不是万能的,实际入侵中,攻击者都会挂一个代理,或者是对自己的流量进行一个加密,所以如果攻击者在攻击过程中进行了以上的行为,那我们通过Web日志或者安全设备得到的攻击源很大概率上都不是真实的 所以,我们要化被动为主动,去主动获取攻击者的身份,主动去寻找攻击者是一个什么样的思路呢?
python判断服务器是否开启443端口_HW防守溯源反制攻击方的服务器
weixin_39645306的博客
11-27 394
0x00 序言之前答应说分享一篇真实案例,来兑现一下承诺,分享一个攻击队不注意细节被反制溯源加分的故事。故事发生在一个多月前的行业小hw,我和我的小伙伴在研判组发呆......0x01 巧借设备定来源现在大环境在防守的时候都会有各种各样的设备来监控,层层防守,叮叮叮~,忽然监控组上报了一个可疑ip进行很多恶意行为,报警图(由于保密性,灵魂画师登场)如下:除了流量监控设备,小伙伴的蜜罐设...
Linux网络编程:网络基础
最新发布
weixin_73234157的博客
05-20 604
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 232
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
计算机网络
zengkui198513的博客
05-15 307
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
云服务器遇到攻击怎么办,有哪些安全措施
dexunyun的博客
05-18 549
DDoS攻击对云服务器安全构成了严重威胁,但通过采取合适的防护策略,我们可以有效地降低攻击的影响。选择可靠的云服务提供商、部署DDoS防护服务是保护云服务器免受DDoS攻击的有效措施。德迅云安全提供了多种防护解决方案,可以帮助企业有效防止DDoS攻击,保护云服务器的安全,保障业务稳定。
利用蜜罐怎么进行溯源反制
07-14
利用蜜罐进行溯源反制是一种追踪攻击者并采取相应措施的方法。以下是一些常见的步骤和技术: 1. 日志记录:蜜罐系统应该详细记录所有与其交互的攻击行为,包括攻击者的IP地址、使用的工具和技术、攻击流量等。这些日志可以用于后续的分析和溯源。 2. IP 追踪:通过蜜罐系统收集到的攻击者IP地址,可以使用反向DNS查询、Whois 查询等技术来获取更多关于攻击者的信息。这些信息可能包括攻击者所在的国家或地区、使用的互联网服务提供商等。 3. 链接分析:通过分析攻击者与蜜罐系统之间的链接和连接模式,可以发现攻击者可能使用的代理服务器、跳板主机以及其他关联的网络节点。通过追踪这些链路,可以进一步获得有关攻击者身份和位置的线索。 4. 恶意代码分析:如果攻击者在蜜罐系统上留下了恶意代码或文件,可以对其进行分析以获取更多关于攻击者的信息。这包括恶意代码的特征、使用的漏洞利用等。 5. 合作与报告:将获得的攻击者信息与相关的安全组织、执法机构或其他合作伙伴共享,以促进进一步的调查和应对措施。 虽然蜜罐系统可以提供有关攻击者的信息,但请注意合法性和隐私问题。在进行溯源反制时,请确保依法操作,并遵循适用的法律法规和隐私政策。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值