实战|今年的一次攻防演练溯源实例

文章预览

今年的攻防期间，通过安全设备告警分析，需要对某个源攻击IP进行溯源反制，并且需要记录整个溯源过程和提交溯源报告。 开展溯源 研判 在溯源之前，首先应该判断是否真的存在攻击行为，攻击的特征，攻击类型，攻击者意图都是需要搞清楚的，不能盲目地对某个IP就展开溯源，这样不仅方向跑偏了，又浪费了时间。 经过研判分析，判断IP(106.14.x.x)确实存在恶意攻击，这里就不再叙述如何研判的了，经验丰富的师傅们一看就知道了，确定IP之后，作为防守方需要站在攻击者的角度去溯源，用攻击者的思维还原整个攻击过程，这样更有利于溯源。 溯源信息收集 威胁情报信息收集 通过微步情报中心分析得出是未知安全，估计是没来得及做更新，于是换其他情报中心测试。 果然，通过其他情报中心验证，此IP存在恶意攻击行为。 IP反查 域名 在前面 ………………………………