网络攻击溯源手段_网络攻击溯源过程

hacker|
230

ip地址跳转后如何溯源

溯源思路:

1、攻击源捕获

安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等

日志与流量分析,异常的通讯流量、攻击源与攻击目标等

服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等

邮件钓鱼,获取恶意文件样本、钓鱼网站URL等

蜜罐系统,获取攻击者行为、意图的相关信息

2、溯源反制手段

2.1 IP定位技术

根据IP定位物理地址—代理IP

溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息

2.2 ID追踪术

ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配

溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息

2.3 网站url

域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护

溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析

2.4 恶意样本

提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析

溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。

2.5 社交账号

基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等

利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销

3、攻击者画像

3.1 攻击路径

攻击目的:拿到权限、窃取数据、获取利益、DDOS等

网络代理:代理IP、跳板机、C2服务器等

攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

3.2 攻击者身份画像

虚拟身份:ID、昵称、网名

真实身份:姓名、物理位置

联系方式:手机号、qq/微信、邮箱

组织情况:单位名称、职位信息

网络攻击行为如何溯源到人,不是机器,而是人,有何思路?

在计算机中追踪网络攻击还是以追踪ip为主。

但是攻击者一般都用代理 ip,行话叫跳板。

但是有软件跳转也能追踪的。记得在很早以前,美国fbi用的追踪软件,就能达到300个代理,依然能追踪到。

所以只要想追查,一定能追查到。

DDoS 如何溯源?

对于如何溯源这样的一个问题来说,我们可以有很多的方法来解决这一个问题。我们虽然说平时不需要做太多编程的事情,不过这样的一个常识我们还是需要有的。

DDoS攻击分为不同类型。这样的一些不同的类型取决于源的不同来源。下面的讨论是将来源123描述为level1 /level2/ level3。

直接攻击:

例如,SYN flood/ACK flood/DNS flood/UDP Plain flood/HTTP flood等,这些通常是由僵尸网络发起的,其中一些可以伪造源IP,有些则不是伪造的。识别攻击流,并且简单的统计信息知道级别1。没有源IP,leve2就等于1级。在伪造源IP的情况下,被攻击方的二级商店无法获得,操作员级别可以进行欺骗检测,或连续跟踪僵尸网络,并持续跟踪CC攻击指令,查看CC所有客户端,查看客户收到的攻击指令。

反射率大:

反射放大主要是为了带宽,因为它里面有一个反射系数,基本上不用僵尸网络,找几台机器来达到流量。在攻击的情况下,您看到的IP是真实的IP,它是所使用的反射放大节点,第一级是简单的。但和直接攻击是不一样的,这个时候的IP不能说它是真正的攻击的IP,因为里面的反射率,二级存储IP应该几个机器启动原始流,而不是反映源IP流量。这个级别2,操作员可以做到,看哪个子网有非自段的源IP流量,然后可以做终端流量检测,如HIDS。

最重要的

我问过一些运营商,他们都说他们可以做到,但他们不能这样做,他们也不想这样做,这是另一个话题。第3级被单独讨论的原因是,如果你想做的话,1 / 2是属于你的,理论上你可以做到。从理论上讲,第三级不能说它会起作用。

看到CC是由人控制的,反射放大控制,这是困难的,毕竟网络攻击网站你看不到人,但并不是没有思想,攻击也为了赚钱,他们将有一个协议,所以说,如果要溯源,我们就要去通过这几个方法来观察。

0条大神的评论

发表评论