前言

随着国家对攻防演习的重视，蓝队的实力普遍提高，不断从增强自身网络安全能力到溯源攻击者身份的地步。这里抛砖引玉介绍一下如何溯源攻击者身份信息。

依据攻击事件获取的信息越多，攻击者的攻击画像就会越全面。所有的攻击事件都可以获取到一个攻击ip，此ip可能是攻击者真实ip，也可以是某个的跳板机，通过某些方法只有攻击ip我们也可以获取很多信息。

通过查询威胁情报机构

可以获取到IP的定位、运营商、解析域名、域名注册人、域名注册手机号、域名注册邮箱、是否为肉鸡、是否有攻击行为等信息。因为攻击演习不准使用境外ip，通过域名的注册信息很大几率就可以溯源到真正的攻击者，当然攻击者也可能使用他人的信息来注册域名。

通过攻击载荷可以获取攻击者的跳板机信息

攻击者常用的攻击手法是上传webshell和各种命令执行，其中命令执行的攻击载荷就会包含攻击者的跳板机ip，从而我们可以进行威胁情报查询步骤或者攻击者的信息。

通过网络空间搜索引擎收集攻击ip资产信息

如：FOFA、SHONDAN、钟馗之眼等。网络空间搜索引擎会定期对互联网ip进行资产探测，记录一个ip开启的所有端口、网站首页源代码等信息，在一次真实的溯源情况中，我们发现攻击ip历史记录中有自己的博客，通过下载其网站源代码分析找到了他的联系方式从而溯源到人。

通过反制攻击ip获取攻击者信息

该方法使用难度较大，探测攻击ip开启的资产信息，攻击薄弱资产达到反控的目的，控制攻击者跳板机后可以搜索服务器上保存的敏感信息、攻击者连接ip等信息，其次可以篡改文件诱导攻击者打开木马，最终控制攻击者终端。

获取到攻击者的手机号、ID、邮箱可以从许多社交网站上获取各种各样的信息，其原理就是从网站的注册等接口查询该手机号、邮箱是否注册过，比如：reg007、37k。另一种方式就是直接查询社工库，当然现在国内网上已经没有公开的社工库可以查询了。

通过蜜罐获取攻击者社交信息或者反制

目前市面上蜜罐通过两种方式来溯源攻击者，一种是在伪装的网站上插入特定的js文件，该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。一种是在伪装的网站上显示需要下载某插件，该插件一般为反制木马，控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。

通过域名获取攻击者的信息

查询域名的whois信息可以获取域名注册人公司、注册人邮箱、注册人手机号等信息。该方法成功率较低，因为攻击者一般不使用个人真实信息去购买域名或者使用需要备案的域名去进行攻击，如果该域名的ip地址为cdn，这是攻击者为了隐藏自身c2真实ip的手法。