护网(HVV)溯源

20 篇文章 2 订阅
2 篇文章 0 订阅

一、概念

​   护网溯源是指通过各种技术手段,追溯和识别网络中恶意攻击、违法犯罪等活动的来源和行为轨迹,以便及时采取措施保障网络安全。具体来说,护网溯源包括网络攻击溯源、垃圾邮件溯源、网络诈骗溯源等。

​   在实际应用中,护网溯源通常需要依靠网络监控、网络日志分析、数据包捕获等技术手段,对网络中的数据流进行分析和监控,以便发现和追踪恶意行为。护网溯源也是网络安全工作中的一个重要环节,可以帮助保护网络安全和用户隐私。

二、蜜罐的概念

​   模拟各种常见的应用服务,诱导攻击者攻击,从而记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

蜜罐溯源的常见两种方式:

  • 1、网站上插入特定的js文件
  • 2、网站上显示需要下载某插件

蜜罐类型

低交互蜜罐中交互蜜罐高交互蜜罐
真实操作系统
威胁性
信息收集连接请求所有
运行所需要环境
部署所需环境很高

国内的一些蜜罐产品:

  • 谛听(长亭科技)
  • 幻盾、幻阵(默安)
  • 蜃景(360)
  • 春秋云阵(永信至诚)
  • 幻云(锦行科技)
  • 明鉴迷网(安恒)
  • 御阵(腾讯)
  • 潜听(天融信)
  • 幻影(非凡安全)
  • 天燕(启明星辰)

 

三、溯源思路

1、捕获攻击源

(1)安全设备报警

(2)日志和流量分析

(3)服务器资源异常

(4)钓鱼邮件

(5)蜜罐系统

2、溯源反制手段

(1)IP定位(判断物理地址)

(2)ID追踪

(3)网站url

(4)恶意样本

(5)社交账号

3、攻击者画像

姓名、攻击IP地址、地理位置、QQ、IP地址所属公司、IP地址关联域名、邮箱、手机号、微信、微博、人物照片、博客

四、IP地址溯源

通过IP地址获得信息:

(1)判断是不是肉鸡,如果是肉鸡,尝试入侵肉鸡,如果可以成功入侵,可以查询登录日志、账号信息、昵称、黑客是否上传工具、历史操作记录、后门文件、进程、外连ip

(2)情报收集,判断是百度云、阿里云、腾讯云等厂商的ip,通过ip可以查到域名信息、邮箱和手机号等。如果查不到手机号,可以通过百度云、阿里云等平台上的账号找回功能,判断手机号的前几位或者后几位。通过手机号看能否加到微信号、QQ号等社交平台。

肉鸡
1、登录日志、新建账号、昵称
2、传工具、界面上面
3、历史操作记录、文件后门
4、进程、外连ip、真实ip
发现更多攻击者的痕迹

情报收集
1、cdn、百度云、阿里云、腾讯云
2、域名信息
3、邮箱和手机号
4、找手机号:
5、账号找回功能:

ip定位
1、安全公司所在位置
2、安全公司的网关

五、钓鱼邮件溯源

发件人账号(xxxx@qq.com )
发送的邮件服务器 ip
发件人
邮件的内容

钓鱼网站/木马附件
exe 开发人员终端
doc 最后编辑的谁(昵称)

昵称怎么去关联

蜜罐

百度id--->百度贴吧--->qq

六、威胁情报平台

七、ip反查

八、在线云沙箱

  • 1
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值