web追踪与溯源——课堂笔记整理
追踪溯源就转换为如下一些问题的求解∶
1.攻击技术手段、战术方法与人员的关系(手法是否相似);
2.攻击资源之间、同时与人员的相似性(电脑、工具、Payload、后门、服务器等);
3.攻击人员的社交网络画像(昵称、邮箱、手机号、IP等);
4.不同网络资源中挖掘不同线索的相似性;
5.个人与团队成员、归属等方面关系挖掘;
Web追踪溯源技术:
Cookie 追踪
浏览器指纹
跨浏览器追踪
跨设备追踪
Ip追踪
域名/dns追踪
GPS/GIS追踪
匿名网络追踪
攻击手法等方面溯源
开源情报分析
网络攻击追踪溯源:确定攻击者的账号、身份、IP、MAC等虚拟地址和地理位置、攻击中间环节、还原攻击路径等
追踪溯源按深度分为:
1.攻击主机追踪 (IP追踪traceback)
IP/域名地址的物理定位GPS
IP、域名的归属者
攻击主机的指纹
网络中的主机
2.控制主机追踪
3.攻击者追踪
4.攻击组织
域内追踪;跨域追踪
难点
1.攻击前通常渗透控制多台计算机作为跳板
2.借助匿名通知系统
暗网追踪
特点:使用Tor协议,每个终端没有确定IP地址
数据经过三次随机跳转