简单溯源
整体思路为,溯源虚拟身份->个人身份->团体身份
-
已知ip。微步在线可以获取很多情报,ip反查得绑定域名,whois反查邮箱等等,或许可以得到与攻击者相关的qq或是电话之类的有用信息。电话可以查查是否绑定支付宝,有支付宝的话可以转账查看对方更详细的信息(真实姓名)。qq电话有可能关联到他的微信微博什么的,qq空间,微信朋友圈,微博,都可以获取有用信息。
-
获取ip也不一定非要从攻击源处获取,有些攻击日志捕获的数据包中也可能出现相关ip或是域名以及dnslog服务器(有可能不是攻击者自己的),并且这个更具时效性。
-
钓鱼邮件。 攻击者一般不会用自己邮箱地址来进行钓鱼(可能真的有例外吧)。查看邮件头,也许会有X-Originating-IP(实际使用ip),通过什么邮箱来进行恶意邮件投递,和是什么邮件服务器发送钓鱼邮件。