攻击溯源

最新推荐文章于 2024-10-21 13:29:57 发布
最新推荐文章于 2024-10-21 13:29:57 发布
阅读量1k 收藏 5
点赞数 2
分类专栏: 攻防演练蓝队
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzwwhhpp/article/details/114550355
版权

一、溯源

在攻防演练中我们作为防守方,在看到安全设备报出自身主机收到黑客攻击后,我们之后要做的一件非常重要的事情就是溯源——即根据此攻击者的ip,找出攻击者的身份

二、步骤及常用方法

1、针对ip

通过开源情报和开放端口进行分析查询

拿到域名,可对其进行whois反查

拿到所开放的端口,可查看这些端口所开放的服务进行进一步的利用
可考虑使用msscan来快速查看开放端口
再通过nmap对开放端口进行识别
然后找端口对应的漏洞

2、查询定位

通过蜜罐等设备获取攻击者真实ip,对ip进行定位,可定位具体位置。

3、得到常用ID信息收集

(1)百度信息收集
(2)谷歌信息收集

4、预警设备信息取证

上方数据如果一无所获,可考虑对其发起攻击的行为进行筛查,尝试判断其是否有指纹特征。

5、跳板机信息收集(触发)

进入红队跳板机查询相关信息

如果主机桌面没有敏感信息,可针对下列文件进行信息收集

暂时能想到的就这些啦,以后有更多的积累多的方法再做补充。

0x00dream
关注
专栏目录
安全攻击溯源思路及案例
热门推荐
10-14 3万+
在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 1、攻击源捕获 ​ 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等​...
捕获一起恶意入侵事件的攻击溯源
si1ence的博客
03-09 1369
0x0 背景 近日发现NTA提示有恶意的CC访问连接报警访问恶意域名down.mys2018.xyz达到了1057次、访问my2018.zxy达到了490次主机直接被标记为了已失陷,经过较多的杀毒软件查杀均未查杀出异常,后续经过相关的排查发现服务器存在较大的安全隐患与Myking团伙有较大的关联。 0x1总体情况 多方面的分析发现,客户本地存在较多的恶意脚本与病毒文件根据现象情况梳理与日志分...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1633
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
JSRC-攻击溯源.pdf
08-04
JSRC 安全小课堂第109期,邀请到来自湖南金盾的总工程师Focusstart作为讲师就攻击溯源为大家进行分享
Web 攻击溯源:探寻网络攻击的源头
最新发布
m0_57836225的博客
10-21 713
例如,数据分析师可以对大量的日志和流量数据进行统计分析,安全运维人员可以对系统的运行状态进行监控和维护,逆向工程师可以对恶意样本进行逆向分析,安全分析师可以综合各种信息进行溯源画像。例如,如果已知某个攻击者经常使用某种特定的攻击手法,当在溯源过程中发现类似的手法时,可以更快地锁定攻击者的身份。Web 攻击溯源是指在遭受 web 攻击后,通过分析各种数据和信息,如日志、流量、样本等,追溯攻击行为的源头,包括攻击者的身份、攻击所使用的方法和工具,以及攻击的各个阶段和目的。
APT 攻击溯源方法
qq_16334741的博客
11-21 3072
概述:当今世界正值百年未有之大变局,网络空间成为继陆、海、空、天之后的第五大疆域,安全威胁也随之延伸至网络空间。没有网络安全就没有国家安全,在新时代网络空间安全已经上升至国家安全的高度。高级持续性威胁(Advanced Persistent Threat,APT)攻击是网络空间中威胁最大的一种攻击,其危害性大、隐蔽性强、持续时间长。考虑到APT攻击溯源一直是网络空间攻防中极为重要的一环,提出了一种基于网络流量风险数据聚类的APT攻击溯源方法。首先介绍了所提方法的工作流程,其次对流程中的风险数据聚类算法进行
攻击溯源手段
mingyqf的博客
03-17 5070
转载至:https://www.eumz.com/2020-09/2000.html 攻击溯源手段 攻击溯源的技术手段,主要包括ip定位、ID定位与攻击者定位。 通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。 通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。 或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中
安全攻击溯源思路及案例+思维导图
mingyqf的博客
03-17 5330
安全攻击溯源思路及案例 在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 1、攻击源捕获 1.安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 2.日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 3.服务器资源异常,异常的文件、账号
HW攻击溯源.pdf
09-09
"HW攻击溯源" 在这个文件中,我们将探索大数据下的WEB攻击溯源,下一代安全防御体系WITS(Web Intrusion Tracking System)。WITS是一个基于大数据的WEB攻击溯源系统,旨在提供智能安全防御解决方案。 首先,让...
中睿天下-睿眼WEB攻击溯源系统-产品白皮书.pdf
05-17
中睿天下-睿眼WEB攻击溯源系统-产品白皮书:「攻击溯源」是基于「攻击者视角」构建的新一代安全防护体系。凭借近15年攻防实 战经验,从攻击者的视角获取对抗未知威胁的洞察力,中睿天下为用户的安全团队赋能,追 踪...
网络攻击溯源技术概述.docx
09-30
"网络攻击溯源技术概述" 随着互联网的飞速发展,网络安全问题日益严峻。面对层出不穷的新型网络入侵技术和频率越来越高的网络入侵行为,对高级IDS(intrusion detection system)的需求日益迫切。网络溯源技术作为...
网络攻击溯源技术概述PPT学习教案.pptx
10-04
网络攻击溯源技术是一种关键的网络安全防御手段,旨在追踪并确定网络攻击的源头,以便于防止、检测和响应网络威胁。随着互联网的普及和依赖度增加,网络安全问题日益严重,网络攻击如DDoS、木马、蠕虫等频繁发生,...
基于大数据和海量数据挖掘的攻击溯源技术
06-19
基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术基于大数据和海量数据挖掘的攻击溯源技术
面向攻击溯源的威胁情报共享利用研究.pdf
08-27
《面向攻击溯源的威胁情报共享利用研究》这篇文章探讨了在网络空间安全领域中,如何通过威胁情报的共享与利用来应对日益严峻的安全挑战,特别是对于攻击溯源这一关键问题的解决提供了新思路。攻击溯源旨在追踪并识别...
网络安全学习之攻击溯源思路
shayebudon的博客
04-19 4881
溯源思路及案例 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​ 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​ 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址—代理IP ​ 溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息 ID追踪术 ​ ID追踪术,搜索引擎、社交平台.
网络安全学习篇之攻击溯源思路及案例
努力活着。
07-12 1万+
引言 在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 溯源思路及案例 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 服务器资源异常,异常的文件、账号、进程、端口,
服务器被入侵了,溯源全过程(实战)
diaobusi的博客
06-22 2819
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
攻击溯源-基于因果关系的攻击溯源图构建技术
闯入网络安全的数据分析小白
09-04 1307
攻击溯源-基于因果关系的攻击溯源图构建技术 总结了一些攻击溯源的相关技术,主要介绍了攻击溯源图的构建方法 https://mp.weixin.qq.com/s/ofP4j2TEfNoCYqrLhMsvZA
网络安全中攻击溯源方法
2301_76786857的博客
05-29 1704
攻击溯源可以帮助用户对攻击放进行锁定放入数据库,可以帮助其他用户进行态势感知,同时可以协调相关组织打击违法犯罪行为,避免下一次的攻击。2、分析攻击特征:通过分析攻击事件的特征,如攻击方式、攻击时间、攻击目标等,来确定攻击类型和攻击者的特点。4、分析攻击工具:通过分析攻击者使用的工具、恶意代码等,确定攻击者的攻击技术和水平,进而锁定攻击者身份。5、建立攻击链路:通过对攻击事件的各个环节进行分析,建立攻击链路,找到攻击者入侵的路径和方法。1、收集证据:收集攻击事件的各种证据,包括日志、网络数据包、磁盘镜像等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值