概念
IP溯源:被攻击之后想要通过IP直接找到人
蜜罐:首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。”
设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者
思路
1.通过IP溯源到人
IP特性
-
网络空间属性
- 是国内还是国外
-
是静态还是动态
静态IP可能是专线宽带/IDC机房 静态IP可能是小区IP、
- 可能属于什么群体
-
反查域名
- 通过域名找注册人信息
- 查域名历史解析IP
- 查历史域名
- 查找关联域名
-
地理定位
- 高德地图修改XFF头查找“自身”确定IP位置
-
IP定位网站
境内: www.opengps.cn www.ipplus360.com www.chaipip.com www.ipip.net
境外: iplocation.com IP库:https://dev.maxmind.com/geoip/geoip2/geolite2/ google高精准定位:google精准定位API
搜索方法
-
搜索引擎
信息收集搜索引擎直接搜索
-
威胁情报
常用的威胁情报网站:
绿盟:https://ti.nsfocus.com/ 微步:https://x.threatbook.cn/ 奇安信:https://ti.qianxin.com/ 安恒:https://ti.dbappsecurity.com.cn/ watcher-lab:https://feed.watcherlab.com/index/ioc IBM:https://exchange.xforce.ibmcloud.com/ 360:https://ti.360.cn/#/homepage- 未查询到任何情报
- 标签为病毒木马蠕虫、APT组织、攻击漏洞利用
-
匹配到沙箱报告
可以看到具体的木马病毒,能知道是什么类型
- 可以看到安全人员的分析报告
- 匹配道被互联网蜜罐标记为曾经攻击过–可以排除此IP定向攻击可能性
-
IP开放端口
-
主动探测
Nmao -T4 top1000端口扫描
同C段开放了大量的80以及443端口,且都运行了正常的服务(可能为企业出口,或者是一个家庭服务器)
同C段未开放任何端口,或者只有家庭路由器的端口
-
