【红蓝攻防】攻防演练手把手教你写溯源技战法

发布时间:2026/7/9 10:42:01
【红蓝攻防】攻防演练手把手教你写溯源技战法 一 前言相信大家对于攻防演练应该都不陌生了等级分初级中级跟高级。其中对于中级的要求是除了基本的监测和研判外必须还要会一定的应急跟溯源。我这里就跟大家分享针对于溯源技巧的思路梳理。源的根本目标初级防守封IP、修漏洞 →被动应对中高级防守定位攻击者身份、手法、意图 →主动反制精准溯源可显著提高蓝队得分如攻击者画像、攻击链还原。还可以对甲方爸爸下发的IP溯源要求写上满意的报告。二、什么IP有溯源的价值这里我把它分成以下几种分别是云主机IP网关出口住宅代理境外IP以及IDC服务器IP标签等等。图片图片图片图片三、如果是云主机那就好办多了因为在国内都是实名制的而且还要刷脸。一般布置这种来当做前期踩点或者信息收集布置网络攻击资产的比较多。一般通过微步解析域名得到的域名我们可以查一下Whois历史记录对于这个IP微步的whois信息没有任何帮助接着拿域名去备案信息等这里我用站长之家跟金名网的Whois 信息对比就差很多了这里直接得到注册人的qq账号信息其实这种是属于直接在互联网上裸奔没什么区别。这里我用某42开头IP为例https://whois.chinaz.com/ https://123.4.cn/whois图片图片图片图片图片图片这里通过qq邮箱反查也得出域名跟注册者的信息当然你也可以用注册人反查但是这里我不建议至于为什么呢因为同名同姓的人太多啦。不信你看图片后面利用QQ邮箱通过裤子得出信息如下邮箱:手机:姓名:学校:身份证号信息基本裸奔其实到这里根据溯源的意义差不多就是这个人干的了人物塑像信息完整但是我觉得还差最后一步就是用裤子的手机跟身份证号码去云主机那里做最后一步验证。找回密码处通过个人信息验证才能完美闭环如下图片图片四、如果得到QQ号码或者手机号码那么该如何进行溯源呢 如果手机号码不是本人该如何处理好我这里先说Q有QQ号码的情况下一般会有QQ邮箱用上面的邮箱反查来看看是否注册过其他域名扔裤子看看是否有其他信息。 这里我还要说一个点就是在确定疑似攻击人之前他们的社交头像信息个性签名信息这些都是可以作为技战法参考验证的线索 为什么我会这样说呢大家看以下两个社交账号头像图片这里我一看是Helm 是一个源自云原生计算基金会CNCF的开源项目。它于 2015 年在首届 KubeCon 上初次亮相后来与 Kubernetes 一起迁移到 CNCF。所以我判定攻击者应该也挺喜欢云安全的。再看微信头像我猜测是Go语言那只地鼠所以我得出的信息是攻击者喜欢云安全也研究学习Go语言。这些信息说明了至少是跟互联网沾边的信息。图片如果得到手机号码那可以做的事情就更多了。首先你可以拿号码去反查是否注册过一些域名然后得到的域名再查ICP备案Whios信息从中再看看是否有注册人邮箱信息等等总之利用各种得到的信息再多次反查然后用手机号去查支付宝跟微信这个我就不多说了其次还可以有什么信息呢比如脉脉、企查查信息抖音小红书等等一起看下图吧图片在抖音功能选项那里有添加访朋友你可以单独用疑似攻击者的号码添加到手机通讯录中然后用通讯录再导入对上一遍看看是否出现其抖音信息。图片图片图片图片由于该抖音账号并没发表过视频到这里你也可以根据他的关注和被关注人进行进一步的社工搜索看看能具体获得其他更真实的信息不。图片小红书也是一样点击发现好友把通讯录导进去这里不用我多说了吧。OK图片图片手机号如果扔裤子得出姓名的话再去验证一下这里有信息的那大概率也是攻击手无疑了。图片到这里可能还有同学疑问IP定位呢你怎么不写出来不也是一样嘛。这里我想说网上那些定位其实都不准确的你又不是帽子拥有特别的权限但是对于从日志或者态势上是否存在攻击行为技战法的人物塑像各种信息是否全面这些我认为就差不多了。如果手机号对不上本人的我个人认为两种可能一个是虚拟号码或者攻击者通过拿了别人身份信息来注册了这种情况放到现在应该比较少了。 还有一个就是这个号码刚换了新机主不久。给大伙看个搞笑案例。。。。这里以微步恶意某IP地址为例态势看到大量的告警溯源一下除了个看到个灯塔之外还看到个有趣的东西。图片图片不是兄弟你挂个灯塔我可以理解干嘛还搭个靶场练习呢这对于溯源反制来说这不是纯送上门来的shell吗当然不排除是个纯肉鸡。五、防止被移花接木斗转星移。某次在态势上看到数据包里面XFF头内容如下X-Forwarded-For: 36.xxx.xx.236220.xxx.xxx.7196.xxx.xx.135IP地址按顺序列出最左边的一般是最初发起请求的客户端微步查看也是个恶意红IP图片当时在UA头中发现有外带的dnslog信息有些朋友可能为了工作方便也好学习也好自己搭建了dnslog平台用于某些漏洞验证但是这些也容易被人溯源扒光。通过这里发现了域名注册邮箱然后一系列的反查跟信息比对确定就是此人在运行此平台。图片通过云平台再次确认得到的邮箱与姓名与反查的信息一致然后再看模糊匹配到大概手机号。通过模糊匹配到手机号与社工得到的身份信息最后对比发现正确并弹出二维码扫脸等验证至此完成漏洞攻击的溯源闭环。最后证明此人就是攻击者吗 NO,NO,NO.不一定因为我要从攻击者的角度来审视我也可以找个人注册平台触发 DNS 查询外带数据来进行漏洞验证从而误导溯源人员。我想表达的意思是对于此类平台最好的办法就是作一个Token验证防止别人滥用。图片此外针对于一些域名网络资产等等你也可以结合域名绑定的IP来进行深度分析综合判断以及一些引用的一些第三方插件等等。图片然后我再补充一个社工小技巧比如溯源过程看到一些个人论坛主页但是从ICP备案和Whois信息内容你根本得不到任何有用的信息的时候你可以留意一下该作者的文章是否存在一些工作和生活内容等等信息这些都是可用的线索。如下图片图片图片当我还一筹莫展的时候默然翻到某些文章底部有个打赏功能。这就有点意思了直接支转账个1分钱然后再通过邮箱申请交易明细、业务凭证即可模糊拿到信息。图片图片图片到这里可能还有人说了那针对国外廉价域名提供商注册的域名呢攻击者如果挂了境外IP代理呢这些该怎么溯啊我只能说历史Whois 被动DNS SSL证书其实溯源真的是一个非常考验精力跟时间的过程。以上就是一些溯源的小知识。福生无量感谢你有耐心看完祝你在学习的路上有所收获很多都仅是我个人的拙见。