攻击溯源思路

在攻防的视角里，进攻方会占据比较多的主动性，而防守方则略显被动，因为作为防守方，你永远也不知道攻击会在什么时候发生。你所能做的是，做好自己该做的一切，准备好自己该准备的一切，耐心等待对手犯错的机会。
在发现有入侵者后，快速由守转攻，进行精准地溯源反制，收集攻击路径和攻击者身份信息，勾勒出完整的攻击者画像。
 

攻击溯源手段

攻击溯源的技术手段，主要包括ip定位、ID定位与攻击者定位。

通过ip可定位攻击者所在位置，以及通过ip反查域名等手段，查询域名的注册信息，域名注册人及邮箱等信息。

通过ID定位可获取攻击者常用的网络ID，查询攻击者使用同类ID注册过的微博或者博客、论坛等网站，通过对网络ID注册以及使用情况的查询，定位攻击者所在公司、手机号、邮箱、QQ等信息。

或通过其他手段定位攻击者，如反制攻击者vps，获取攻击者vps中的敏感信息、反钓鱼、恶意程序分析溯源等手段。

一、ip定位技术

通过安全设备或其他技术手段抓取攻击者的IP，对IP进行定位，查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP，通过IP反查可能会查询到攻击者使用的web域名、注册人、邮箱等信息。一般常用的IP查询工具有：

高精度IP定位：https://www.opengps.cn/Data/IP/LocHighAcc.aspx
rtbasia（IP查询）：https://ip.rtbasia.com/
ipplus360（IP查询）：http://www.ipplus360.com/ip/
IP信息查询：https://www.ipip.net/ip.html/
IP地址查询在线工具：https://tool.lu/ip/
当发现某些IP的攻击后，可以尝试通过此IP去溯源攻击者，具体实现过程如下：

首先通过ipip.net网站或者其他接口，查询此IP为IDC的IP、CDN的IP还是普通运营商的出口IP。
如果IP反查到域名就可以去站长之家或者whois.domaintools.com等网站去查询域名的注册信息。
通过收集到的这些信息，就比较容易定位到人。

在通过IP定位技术溯源过程，应注意以下情况：

假如IP反查到的域名过多，考虑就是CDN了，就没必要继续去查了。
假如是普通运营商的出口IP只能使用一些高精度IP定位工具粗略估计攻击者的地址，如果需要具体定位到人，则需要更多的信息。

二、ID追踪技术

在通过IP定位后技术追踪攻击者，可通过指纹库、社工库等或其他技术手段抓取到攻击者的微博账号、百度ID等信息，一般通过以下技术手段实现：

进行QQ等同名方式去搜索、进行论坛等同名方式搜索、社工库匹配等。
如ID是邮箱，则通过社工库匹配密码、以往注册信息等。
如ID是手机号，则通过手机号搜索相关注册信息，以及手机号使用者姓名等。
例如，当通过ID追踪技术手段定位到某攻击者的QQ号、QQ网名等信息，通过专业社工库可以进一步追踪攻击者使用的QQ号注册过的其它网络ID，从而获取更多攻击者信息，从而确定攻击者的真实身份。

三、攻击程序分析

攻击者如果在攻击过程中对攻击目标上传攻击程序（如钓鱼软件），可通过对攻击者上传的恶意程序进行分析，并结合IP定位、ID追踪等技术手段对攻击进行分析溯源，常用的恶意程序分析网站有：

Ø 微步在线云沙箱：https://s.threatbook.cn/

Ø Virustotal：https://www.virustotal.com/gui/home/upload

Ø 火眼（https://fireeye.ijinshan.com）

Ø Anubis（http://anubis.iseclab.org）

Ø joe（http://www.joesecurity.org）

例如，当发现某攻击者利用263邮箱系统0DAY(xss漏洞)进行钓鱼攻击，通过以下方式可追踪攻击者身份：

1)对恶意程序分析

通过上传文件到https://s.threatbook.cn进行代码分析，可得到以下信息，攻击者在攻击过程使用了以下三个域名:

wvwvw.aaaa.com 用来接收cookies
baidu-jaaaa.com 用来存放js恶意代码,伪造图片
flashaaaa.cn 用来存放木马病毒
然后对域名进行反查。