背景
攻防演练中,作为防守方,通常得面临攻方的无休止攻击,此时如果什么都不做会显得很被动。那我们能做什么呢?我们能知道的顶多就一个ip,根据这个ip我们来谈谈如何进行溯源(大佬请绕行,这里是小卡拉米的拙见)。
获得ip
获得ip的途径很多,比如各种防火墙、网关、系统日志等都具有拦截功能。进行攻防演练的防守方应该都有waf吧,没有的赶紧去装一个,最次也要装一台免费的吧,这里推荐网上找一个开源的装。
收集信息
获得ip是比较简单的,如何收集信息才是重中之重的任务,故此直接附上相关网站、工具
基本信息收集
https://fofa.info/
https://x.threatbook.com/
https://hunter.qianxin.com/
通过ip查域名,也可以通过域名查历史绑定的ip
https://site.ip138.com/
查询ICP备案
https://beian.miit.gov.cn/#/Integrated/index
端口扫描工具
nmap
溯源步骤
方案一
第一步: 通过ip查域名,能查到当前IP所绑定的域名
第二步: 通过域名备案信息,查看当前域名是否有所属公司,有的话直接搞定
第三步: 如果第二步无法查出有用信息,通过域名查看历史绑定的ip,继续进行信息收集,返回第二步
该方案能够快速溯源攻方身份
方案二
第一步: 通过ip无法查域名
第二步: 查询ip对应服务器上所有开放的端口
第三步: 查看端口上部署的服务
第四步: 剩余部分就是破解
第五步: 登录成功后就可以肆无忌惮的查询有用信息