追踪溯源--抓住隐藏在NAT后面的罪犯

最新推荐文章于 2024-04-14 16:56:06 发布
最新推荐文章于 2024-04-14 16:56:06 发布
阅读量2.3k 收藏 10
点赞数 1
文章标签: python 区块链 运维
原文链接:http://www.cnblogs.com/KevinGeorge/p/8387331.html
版权
在IPv4资源稀缺的时代,NAT技术成为普遍现象,但也带来了追踪溯源的难题。本文探讨了如何在NAT环境下进行IP追踪,包括直接证据如NAT设备日志,以及间接证据如访问行为分析和反向证据链构建,为网络安全应急响应提供策略。
摘要由CSDN通过智能技术生成

零、绪论:

  水一篇,很小,只是一点思路记录,在工作中经常遇到的一类小问题。NAT后面的地址如何追查下去,推动网络整改不现实,总还要有一些手段来确认。

一、背景:

  全球IPv4地址越来越少,也越来越贵,因此大到一个组织,小到一个家庭一个人都很难获得公网IP地址,所以只能使用内网地址,从而和别人共享一个公网IP地址。在这种情况下,NAT技术诞生,传统NAT将内网发其的请求报文原地址转换成自己发往远端服务器,对回来的响应报文做反向处理,看起来有点类似于一个网络层的代理。当然也有把内网服务端口映射在公网出口地址上的,称作DNAT。这类技术在方便我们使用,节约成本,网络互联互通方面做了很多贡献。但是也带来一个严重的问题,就是追踪溯源难度变大,一旦藏在NAT后面,就是一个大的黑洞。

二、追踪溯源:

  一般的溯源思路是,收到了监控告警或设备服务异常引发应急排查。首先确定攻击IP,一般Linux系统日志和WEB日志都能查到尝试攻击的IP。如果日志没有,也可以通过netstat或者抓包异常进程连接,确定对端IP(当然这个IP很可能经过多次NAT)。以上内容一般属于应急响应的范畴,主要目的是保障业务损失最小(定损止损),保留证据以便于后续进一步溯源。根据IP、域名等信息查询对端物理地址或具体攻击者、攻击组织是溯源的目标。除了使用威胁情报、DNS记录等手段做安全分析之外,对IP追踪就是一个大的问题。这里主要讲解如何查询NAT后面的真实IP。

三、技术手段:

1、直

最低0.47元/天 解锁文章
weixin_30776273
关注
最全Linux 应急响应-溯源-系统日志排查
Cwillchris的博客
08-04 1042
黑客入侵系统后一般会将系统日志清空,以达到清理痕迹的作用,如果日志被黑客清空我们就无法通过日志来分析黑客入侵系统后都做了哪些事情,在很多情况下黑客在清理日志的时候都会忽略内存中的日志。将本次登录的命令写入命令历史文件中,命令不是使用了就立即写入到文件中的,会现在缓存中,用户退出登录时会自动写入文件,-w 命令可以立即写入,-c 命令可以清除当前缓存中的命令。创建),但若失败(例如在系统启动早期"/var"尚未挂载),则转而保存在 /run/log/journal 目录中(将会被自动按需创建)。...
网络技术NAT 网络地址转换及原理
Linuxhus的博客
09-03 7063
NAT 网络地址转换(NAT)技术的理论部分可以看博客——网络层——NATNAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。NAT 通常工作在末节网络的边界。 在 NAT 术语中,NAT 转换后的地址称之为全局地址,NAT 转换前的地址为本地地址。内部本地地址是需要进行 NAT 转换的主机的私有地址,外部本地地址是与 ISP 相连的路由器接口的地址
NAT溯源问题解析
weixin_34290352的博客
03-27 621
NAT在企业网乃至家庭用户已经应用很多年,防火墙和路由器通常是兼做NAT的主要设备。随着IPv4地址耗尽,运营商在完全过渡到IPv6之前不得不开始使用NAT设备,随之而来的是更加标准化的适用于运营商的大规模NAT规范和标准,即LSN(Large Scale NAT)或CGN(Carrier Grade NAT)。专业的LSN设备也应运而生,不再是使用防火墙或者路由器兼差。 但...
在经过NAT之后查自己的公网ip
AAAtang
12-16 1475
可以通过访问站点`ifconfig.me`获得 linux curl ifconfig.me
wireshark抓包心得,桥接和NAT模式详解
最新发布
Djdjjdjdll的博客
04-14 855
3.桥接模式的虚拟机相当于和物理机同处一个局域网的物理机,当然防火墙会对它有作用,但防火墙有两种模式,专用网络和公用网络,这边要注意只有公用网络对桥接模式的虚拟机起作用,如果你把公用网络设置为。1.物理机的防火墙是允许nat模式虚拟机的任何方式的请求包,就算你把防火墙设置为阻止所有连接(如下图)物理机也是会做出回应的,也就是说此时此刻防火墙对nat模式的虚拟机不起作用。,而且这条通道只用来虚拟机和物理机之间建立连接,通过这条通道可以实现物理机和虚拟机的通信。1.物理机,因为物理机和虚拟机之间。
关于局域网中的攻击溯源问题
AIwenIPgeolocation的博客
01-10 471
由于目前NAT技术的大量使用,若攻击者主机位于NAT后面,使用私网IP地址,对于攻击源的追踪只能到攻击者的NAT网关,而无法穿透NAT网关。因此, 假设已知攻击者来自于某个 NAT网关保护的私有网络, 如何定位攻击者主机在私网中的位置?
溯源取证-流量分析 中级难度的资源
05-30
通过学习和实践这些材料,用户可以提升其在复杂网络环境中追踪和识别恶意活动的能力。 【标签】:“溯源取证-流量分析资源包”表明了这个压缩包包含的相关工具和数据,主要聚焦于通过流量分析来追查网络事件的来源...
基于大数据的WEB攻击溯源-下一代安全防御体系.pdf
09-11
4. 价值挖掘:通过数据挖掘和机器学习算法,大数据能够发现隐藏在海量数据中的攻击模式和潜在威胁。 WEB攻击溯源是基于大数据的安全防御核心,它主要包括以下步骤: 1. 攻击定位:确定攻击的切入点,比如Web应用...
二维码农产品溯源-技术沈.zip
05-04
二维码农产品溯源技术是一种利用现代信息技术对农产品生产、加工、流通等环节进行全程记录和追踪的系统。它结合了二维码、数据库、云计算等先进技术,为消费者提供透明、安全的农产品信息,提升食品安全保障,增强...
使用NAT技术转化IP地址
Ora_G的博客
05-26 2291
实验案列:使用三种NAT技术将私有ip转化为公有IP 实验环境 某公司刚刚建成,因资金雄厚,申请了多个公有IP,根据不同的部门划分不同的vlan,使用不同的IP网段转为不同的公有网段实现与外网连接,并且前端部门的服务器上线网页,允许外网访问。 需求描述 使eNSP模拟该公司环境,根据不同的部门划分不同vlan。 将使用VM虚拟机访问该公司网址 推荐步骤 1.为公司构建拓扑图。 2.根部不同vlan分配不同公有网段。 3.网页服务器放在前端部门中 Vlan10 前端部门 Vlan20 财务部 Vla
网络地址转换——NAT
sunboy_guo的博客
05-18 5420
1.NAT简介 IPv4地址的长度为32比特,针对于目前全世界人口来说,IPv4地址的数量非常有限,因此在进行IP划分的时候,分为了私网地址和公网地址。同时,在互联网环境中,为了保证内网数据的安全性,公网中不能有私网路由。当内网访问互联网时,就需要将内网地址转换成公网地址进行访问,这个技术就是NAT(网络地址转换)技术。 2.静态NAT 静态NAT是通过手工指定,将一个公网地址和一个私网地址映射,是一对一的关系。 由于公网中不能有私网的路由,因此当...
【网络安全】浅谈IP溯源的原理及方法
weixin_72368685的博客
03-30 3815
导读 没有进攻和威胁的被动防守,是注定失败的 关注全球威胁情报和学会网络攻击溯源是特别重要的 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 溯源思路 1、攻击源捕获 ​安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​蜜罐系统,获取攻击者行为、意图的相关信
网络安全篇:IP溯源的原理及方法
m0_59162248的博客
07-04 5884
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
NAT地址转换(又称为网络地址转换,用于实现私有网络和共有网络之间的互相访问)
a_b_e_l_的博客
06-17 1万+
目录地址类型NAT地址转换工作过程:NAT的好处:静态NATNAT配置命令动态nat配置:ACL:应用规则私有地址和公有地址:公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。2019年11月26日,是人类互联网时代值得纪念的一-天,全球近43亿个IPv4地址已正式耗尽。私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址,不在Internet(互联网).上被分配,可在一个单位或公司内部使用。RFC1918中规定私
运维之思科篇 -----5. NAT及静态转换 、 动态转换及PAT
热门推荐
爱死亡机器人
10-11 1万+
FIVE DAY 总结笔记: DOD:ARPA高级研究项目署 ARPAnet——》TCP/IP 一、 NAT(网络地址转换) 1、 作用:通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。 2、 优点: 节省公有合法IP地址 处理地址重叠 增强灵活性 安全性 3、NAT的缺点 延迟增大 配置和维护的复杂性 不支持某些应
NAT的原理
weixin_53585291的博客
11-16 577
NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址,出口设备部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址),而对于“从外到内的”流量,则对数据包的目的地址进行转换。同时,外部网络访问内部网路时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。通过私有地址的使用结合NAT技术,可以有效节约公网ipv4地址。
你安全吗?丨通过IP地址如何查到实际地址?
m0_64973256的博客
11-10 4051
终于在第四集中,给出了答案。至此,大家应该对IP地址有一个较为清晰的认知,同时,我们也应该知道IP溯源的关键点,拿到对方IP,即攻击源捕获,方法有很多,像扫描IP,日志与流量分析,钓鱼邮件等手段获取敌方IP。以上知识手段只是简单介绍,他属于网络安全方向中的渗透方向,如果对网络安全渗透方向有了深入的学习,不单可以做到很多很酷的黑客事情,也可以应聘像安全服务工程师,安全研究等网络安全岗位,拿到及其可观的薪资。地址就像是我们的家庭住址一样,如果你要写信给一个人,你就要知道他(她)的地址,这样邮递员才能把信送到。
NAT网络地址转换和配置
chenzhivhao的博客
06-08 5550
NAT是网络地址转换,是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。将内网的IP地址转换为可以通外网的IP地址。缓解可用IP不够用的状况,增强内网的网络安全。作用在路由器或防火墙上。(从内到外,改源IP地址,从外到内,改目标IP地址)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值