蜜罐指纹--开源情报溯源技术

前言

攻击者基本会使用一系列手段，隐藏自己的真实信息进行攻击，比如使用代理服务器，修改UA，注册匿名的域名等。攻击请求可能会来自四面八方，而我们如何识别攻击者是否为同一伙人。甚至找到攻击者的真实身份呢？ 区分攻击者的东西，必须是唯一的，或者几乎唯一的，而且最好是要不可变的。今天分享几种不太常见的获取攻击者指纹的方法。并且给了指纹测试用的网站https://browserleaks.com/

Canvas Fingerprinting（帆布指纹）

帆布指纹，我的理解就是显示器渲染的指纹。不同的设备，浏览器不同，显示器，驱动，显卡不同，都会产生不同的帆布指纹，且人们常常忽视这个问题，就算一些浏览器，比如TOR 自带帆布指纹混淆工具，
CanvasBlocker，其有效性也很难保证。
测试/实验原理：https://browserleaks.com/canvas#how-does-it-work

这种常见的应用在广告投放，不需要cookie也可有精确识别用户，所以其实应用很广泛，但是因为帆布指纹不能精确到设备，所以其实并不精确，可能会有很多不同的设备拥有同样的帆布指纹。因为帆布指纹不是常见的溯源手段，除了TOR有个工具可以混淆，其实效果也不怎样，很多浏览器都支持，到目前为止还是很有效的。由于已经有能用的混淆手段的了，而且帆布指纹是客户端发给服务端的，抓包就可以去掉一些，本身伪造是比较容易的。

DNS LEAK（DNS泄露）

DNS泄露，攻击者使用了代理，但是他的DNS还是选择了最近的那个，于是当网站识别到了攻击者的IP是代理IP的时候，就可以尝试寻找DNS泄露，得到攻击者的真实位置信息。
测试：https://browserleaks.com/ip

DNS泄漏是一种较常见的溯源手段，但是局限性很大，大部分代理都修改了DNS服务器，并且用户可以很容易修改自己的DNS服务提供者，所以有效性和对抗难度都很低，很多代理软件都是默认DNS修改或者会有相关选项的，攻击者使用代理时很可能就已经修改了。但是如果他自己通过自己的跳板或者肉鸡代理，可能就会没有配置DNS服务，导致了DNS泄漏，从而得到攻击者的大致位置信息。很多网站都能检测DNS泄漏，但是这似乎不是主流的溯源手段，只是一种依据。

Font Fingerprinting（字体指纹）

字体指纹，其实这也是一个泄漏来源，个人认为是比较容易忽略的地方。网站请求字体不需要任何权限，而不同的平台拥有的字体都是有差异的，类似的还有UNICODE预留编码，比如苹果的logo就只有其相关平台下能够显示。唯一不好的就是，这种检测速度可能比较慢。
测试：https://browserleaks.com/fonts

中归中据的一种指纹，其实并不常见，多数网站只会记录你请求的语言，有的还会收集客户端的字体编码方式啥的，因为不怎么常见，多数黑客的操作系统顶多修改过常用语言，改成别的国家的或者怎样，并没有修改字体库，所以还是有可能作为判定依据，分析出大致的操作系统，或者国家，语言等等，相对还是有效的。修改字体库并不难，但是可能会导致一些问题，通常也是被忽视的，所以两项指标都是中归中据。准确度，至少能够识别到系统版本。我认为还是很高的。

WebRTC LEAK（网页多媒体泄漏）

网页多媒体泄漏，网站就算没有多媒体设备使用权限，也是能读取到设备信息的，这些信息也会有唯一标识，通常人们是不知道如何禁止 WebRTC的，而且也不知道如何修改这些唯一ID，所以这是一个非常优秀的指纹来源。
测试：https://browserleaks.com/webrtc
强调文本 强调文本

非常推荐！！这种指纹是和驱动绑定的，而且几乎唯一和不可变的，修改方式需要动驱动，非常有效，单纯的禁止权限不能阻止网站获取这些指纹，所以对抗难度也不小，而且很少有人提到，笔者碰到的也很少。不过因为毕竟还是要通过数据包发给服务端，有效性和对抗难度都不能给满分，毕竟改包能解决，那就是能解决。

其他

别的大都比较常见而且有很多文章了，不需要单独提到，接下来，看一些在密罐捕获到的一些比较难溯源的东西的分析。比如用户/邮箱。拿到一个邮箱时，首先进行简单的研判，是否可以利用开源情报技术溯源。思维导图如下：
用户也一样，只要不是非常高熵的，或者非常常见的例如admin…可以采用谷歌语法，intext关键字寻找简历、博客、自述等。或者是使用SET社工库

结束语

一次小小的溯源工作结束后的总结与思考，希望自己能继续写下去。
You will do foolish things, but do them with enthusiasm