攻击取证溯源_网站攻击溯源

DDoS 如何溯源？

对于如何溯源这样的一个问题来说，我们可以有很多的 *** 来解决这一个问题。我们虽然说平时不需要做太多编程的事情，不过这样的一个常识我们还是需要有的。

DDoS攻击分为不同类型。这样的一些不同的类型取决于源的不同来源。下面的讨论是将来源123描述为level1 /level2/ level3。

直接攻击:

例如，SYN flood/ACK flood/DNS flood/UDP Plain flood/HTTP flood等，这些通常是由僵尸 *** 发起的，其中一些可以伪造源IP，有些则不是伪造的。识别攻击流，并且简单的统计信息知道级别1。没有源IP,leve2就等于1级。在伪造源IP的情况下，被攻击方的二级商店无法获得，操作员级别可以进行欺骗检测，或连续跟踪僵尸 *** ，并持续跟踪CC攻击指令，查看CC所有客户端，查看客户收到的攻击指令。

反射率大:

反射放大主要是为了带宽，因为它里面有一个反射系数，基本上不用僵尸 *** ，找几台机器来达到流量。在攻击的情况下，您看到的IP是真实的IP，它是所使用的反射放大节点，之一级是简单的。但和直接攻击是不一样的,这个时候的IP不能说它是真正的攻击的IP,因为里面的反射率,二级存储IP应该几个机器启动原始流,而不是反映源IP流量。这个级别2，操作员可以做到，看哪个子网有非自段的源IP流量，然后可以做终端流量检测，如HIDS。

最重要的

我问过一些运营商，他们都说他们可以做到，但他们不能这样做，他们也不想这样做，这是另一个话题。第3级被单独讨论的原因是，如果你想做的话，1 / 2是属于你的，理论上你可以做到。从理论上讲，第三级不能说它会起作用。

看到CC是由人控制的,反射放大控制,这是困难的,毕竟 *** 攻击网站你看不到人,但并不是没有思想,攻击也为了赚钱,他们将有一个协议,所以说，如果要溯源，我们就要去通过这几个 *** 来观察。

网站被攻击了有什么解决 *** 吗？

1/3分步阅读

　首先遇到这样服务器被黑的情况不要着急，按下面步骤淡定处理： 1、发现服务器被入侵，应立即关闭所有网站服务，暂停至少3小时。 这时候很多站长朋友可能会想，不行呀，网站关闭几个小时，那该损失多大啊，可是你想想，是一个可能被黑客修改的钓鱼网站对客户的损失大，还是一个关闭的网 站呢?你可以先把网站暂时跳转到一个单页面，写一些网站维护的的公告。 2、下载服务器日志，并且对服务器进行全盘杀毒扫描。 这将花费你将近1-2小时的时间，但是这是必须得做的事情，你必须确认黑客没在服务器上安装后门木马程序，同时分析系统日志，看黑客是通过哪个网站，哪个 漏洞入侵到服务器来的。找到并确认攻击源，并将黑客挂马的网址和被篡改的黑页面截图保存下来，还有黑客可能留下的个人IP或者 *** IP地址。 3、Windows系统打上最新的补丁，然后就是mysql或者sql数据库补丁，还有php以及IIS，serv-u就更不用说了，经常出漏洞的东西，还有就是有些IDC们使用的虚拟主机管理软件，如N点虚拟主机管理软件、易方管理软件、华众管理软件等等。 4、关闭删除所有可疑的系统帐号，尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限，关闭可执行的目录权限，对图片和非脚本目录做无权限处理。 5、完成以上步骤后，你需要把管理员账户密码，以及数据库管理密码，特别是sql的sa密码，还有mysql的root密码，要知道，这些账户都是具有特殊权限的，黑客可以通过他们得到系统权限! 6、Web服务器一般都是通过网站漏洞入侵的，你需要对网站程序进行检查(配合上面的日志分析)，对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。

*** 攻击行为如何溯源到人，不是机器，而是人，有何思路？

在计算机中追踪 *** 攻击还是以追踪ip为主。

但是攻击者一般都用 *** ip，行话叫跳板。

但是有软件跳转也能追踪的。记得在很早以前，美国fbi用的追踪软件，就能达到300个 *** ，依然能追踪到。

所以只要想追查，一定能追查到。

什么是攻击溯源？

攻击溯源顾名思义，就是网站或者服务器被攻击后进行分析，来找到攻击源头，攻击溯源的手段无外乎，IP定位技术、ID追踪技术、攻击路径分析等手段，青藤的攻击溯源-青藤猎鹰连通了50多种数据源,提供了100余类ATTCK攻击场景,轻松发现未知威胁,并快速做出安全事件研判,最后全面进行内网调查溯源。百度上面有这方面的信息。

ip地址跳转后如何溯源

溯源思路：

1、攻击源捕获

安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等

日志与流量分析，异常的通讯流量、攻击源与攻击目标等

服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等

邮件钓鱼，获取恶意文件样本、钓鱼网站URL等

蜜罐系统，获取攻击者行为、意图的相关信息

2、溯源反制手段

2.1 IP定位技术

根据IP定位物理地址— *** IP

溯源案例：通过IP端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息

2.2 ID追踪术

ID追踪术，搜索引擎、社交平台、技术论坛、社工库匹配

溯源案例：利用ID从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息

2.3 网站url

域名Whois查询—注册人姓名、地址、 *** 和邮箱。—域名隐私保护

溯源案例：通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析

2.4 恶意样本

提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析

溯源案例：样本分析过程中，发现攻击者的个人ID和 *** ，成功定位到攻击者。

2.5 社交账号

基于 *** ONP跨域，获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等

利用条件：可以找到相关社交网站的jsonp接口泄露敏感信息，相关网站登录未注销

3、攻击者画像

3.1 攻击路径

攻击目的：拿到权限、窃取数据、获取利益、DDOS等

*** *** ： *** IP、跳板机、C2服务器等

攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

3.2 攻击者身份画像

虚拟身份：ID、昵称、网名

真实身份：姓名、物理位置

联系方式：手机号、qq/微信、邮箱

组织情况：单位名称、职位信息