溯源（一）之溯源的概念与意义

溯源的概念与意义

攻击溯源作为安全事故中事后响应的重要组成部分，通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，还原攻击路径有助于修复漏洞与风险避免二次事件的发生，并且通过反制手段溯源攻击者的身份。溯源分析在安全岗位中应用的很广，将攻击知识转换成防御优势,如果能够做到积极主动且有预见性，就能更好地控制后果。

溯源的概念

我们大家都知道护网，攻防演练，每年的护网在招聘的时候都分初级，中级和高级，初级负责看监控设备，上报攻击流量，中级是负责研判，通俗一点就是确定攻击是不是恶意的或者这个警告是不是误报，那高级就是负责溯源攻击的IP是来自哪里的

溯源就是根据已有的线索，攻击方式以及攻击特征等通过技术手段反查攻击者身份或是组织信息，在我们日常接触的项目中，也都需要我们去掌握这一项技能，比如客户的服务器出现了，我们需要去排查，去溯源漏洞或者病毒文件的位置，去保障客户的网络安全，是学安全方向上的人才必须掌握的一项技能

我们常常需要溯源的信息有这些:

攻击者的姓名/ID,攻击IP,地理位置，QQ，IP地址所属公司，IP地址关联域名，邮箱，手机号，微信/微博/src/id证明，人物照片，跳板机（可选），关联攻击事件

溯源应用的场景

1、护网蓝队

在HW过程中，蓝队的防守和反制是一个重点，在发现资产受到攻击之后，防守方需要及时进行排查和溯源，通常情况下，溯源需要获取到目标攻击者的一部分个人信息，蓝队需要完整还原攻击链条，溯源到黑客的虚拟身份、真实身份，溯源到攻击队员，反控攻击方主机 根据程度阶梯给分，描述详细/思路清晰，提交确凿证据报告，根据溯源攻击者虚拟身份、真实身份的程度，500-3000分，反控攻击方主机，再增加500分/次

2 、应急溯源

服务器受到黑客的攻击，需要进行攻击事件的溯源，也就是说找到木马病毒在哪，是什么时候植入的，攻击者是通过什么方式植入的，攻击者进行了哪些操作，有没有窃取我们的文件

溯源分析的意义

溯源分析有以下几个意义：

1、为警民联动奠定基础

我们做溯源要为网警去奠定一个基础，每年世界上都会发生大量的网络安全犯罪的案件，如果我们的企业能够提供攻击者更全面，更细致的犯罪信息，就能够更有利于侦破我们的案件

2、对攻击者造成威慑

如果说我们具备了溯源和反制的能力，就能够对攻击者造成心理上的威慑，尤其是对一些所谓技术不那么好的“脚本小子”，迫使他们放弃对我们的攻击的想法

3、提升安全实战化防护水平

第三点也是最重要的一点，提升我们的安全实战化防护水平，所谓攻防相长，防守方需要不断去提升自己的攻防水平