一 前言

最近攻防演练正在如火如荼的进行中，身为吗喽的我被甲方爸爸要求每周写(水)一篇技战法，正好前段时间深蓝有个运气比较好的溯源案例，放到这里当素材

二 正文

一、背景介绍

IT资产体量大，难免存在IT资产在公网暴露面。在常态化攻防演练过程中，攻击队会先踩点，然后查找机会进行入侵到内网，实施后渗透攻击。在 常态化 值守的过程中，快速发现和溯源定位到攻击者的工作也尤为重要。面对这种严峻的形势，网络安全防御需要采取更加主动和全面的措施来应对各种潜在威胁。其中，常态化攻击IP溯源技战法成为了蓝队防御体系中的重要一环。

二丶技战法概述

常态化攻击IP溯源技战法旨在通过持续、系统地追踪和分析攻击源IP，识别潜在的攻击者，并对其进行及时的反制和应对。这一技战法的核心在于利用威胁情报，态势感知，蜜罐，ISOP，社交软件，溯源工具等，对网络流量进行深度解析和关联分析，找出隐藏在网络中的攻击源头。通过将溯源工作常态化，蓝队可以更高效地识别并拦截攻击行为，减少安全事件的发生概率，并提升整体防御水平。

三、技战法介绍

1   攻击源捕获

首先通过安全设备的报警，如态势感知等系统进行判断，将扫描IP、木马、威胁阻断、入侵等事件的攻击 IP 获取出来，通过对日志流量分析，异常的通讯流量和攻击源目标进行筛选，对钓鱼右键，钓鱼网站 URL 进行分析，提取敏感IP，通过蜜罐捕获，获取攻击方IP。

定位到该 IP 地址所在的服务器信息，登陆服务器进行分析，对相关的攻击源进行相对应的捕获。

对捕获到的攻击源威胁系数进行划分，对攻击源溯源优先等级进行排序处理。

2   溯源反制

首先排查服务器的应用及进程，定位外联进程及 IP 地址。排查配置文件，定位外联的IP地址和域名信息。对确认IP归属地和域名信息进行反查，收集基础信息。

通过对攻击源的相关日志信息，通过搜索引擎，社交平台和社工库对其进行查询，对特征进行匹配，利用 ID从技术论坛溯源邮箱，继续通过邮箱反追踪真实姓名，找到攻击者姓名和简历等相关信息。

对域名 WHOIS 查询对注册人或注册组织查询，对 IP 历史解析记录和域名注册信息进行溯源分析。

对样本特征查询，如用户名、ID、C2 服务器等信息进行同源分析，如若成功可以查询到攻击者的相关信息。

3   攻击者画像描述

对攻击者的攻击目的进行明确：拿到权限、窃取数据、获取利益、DDOS等进行确定

对攻击者使用的网络代理类型进行确定：国外 代理、代理 IP、跳板机、C2服务器等

对攻击手法进行分析：鱼叉式邮件钓鱼、Web 渗透、深坑攻击、社会工程、暴力破解等

虚拟身份：ID、昵称、网名

真实信息：邮箱、姓名、物理位置、手机号 、身份证

组织情况：单位信息、职位信息

四、应用案例

1 攻击源捕获

首先通过某态感平台捕获到跨站脚本攻击并提取出攻击ip 222.xxx.xxx.xxx

2 溯源反制

①微步在线情报查询ip：

确认为恶意ip

②对ip进行定位和域名反查：