文章预览
今年的攻防期间,通过安全设备告警分析,需要对某个源攻击IP进行溯源反制,并且需要记录整个溯源过程和提交溯源报告。 开展溯源 研判 在溯源之前,首先应该判断是否真的存在攻击行为,攻击的特征,攻击类型,攻击者意图都是需要搞清楚的,不能盲目地对某个IP就展开溯源,这样不仅方向跑偏了,又浪费了时间。 经过研判分析,判断IP(106.14.x.x)确实存在恶意攻击,这里就不再叙述如何研判的了,经验丰富的师傅们一看就知道了,确定IP之后,作为防守方需要站在攻击者的角度去溯源,用攻击者的思维还原整个攻击过程,这样更有利于溯源。 溯源信息收集 威胁情报信息收集 通过微步情报中心分析得出是未知安全,估计是没来得及做更新,于是换其他情报中心测试。 果然,通过其他情报中心验证,此IP存在恶意攻击行为。 IP反查 域名 在前面
………………………………
