DDoS 如何溯源?
对于如何溯源这样的一个问题来说,我们可以有很多的 *** 来解决这一个问题。我们虽然说平时不需要做太多编程的事情,不过这样的一个常识我们还是需要有的。
DDoS攻击分为不同类型。这样的一些不同的类型取决于源的不同来源。下面的讨论是将来源123描述为level1 /level2/ level3。
直接攻击:
例如,SYN flood/ACK flood/DNS flood/UDP Plain flood/HTTP flood等,这些通常是由僵尸 *** 发起的,其中一些可以伪造源IP,有些则不是伪造的。识别攻击流,并且简单的统计信息知道级别1。没有源IP,leve2就等于1级。在伪造源IP的情况下,被攻击方的二级商店无法获得,操作员级别可以进行欺骗检测,或连续跟踪僵尸 *** ,并持续跟踪CC攻击指令,查看CC所有客户端,查看客户收到的攻击指令。
反射率大:
反射放大主要是为了带宽,因为它里面有一个反射系数,基本上不用僵尸 *** ,找几台机器来达到流量。在攻击的情况下,您看到的IP是真实的IP,它是所使用的反射放大节点,之一级是简单的。但和直接攻击是不一样的,这个时候的IP不能说它是真正的攻击的IP,因为里面的反射率,二级存储IP应该几个机器启动原始流,而不是反映源IP流量。这个级别2,操作员可以做到,看哪个子网有非自段的源IP流量,然后可以做终端流量检测,如HIDS。
最重要的
我问过一些运营商,他们都说他们可以做到,但他们不能这样做,他们也不想这样做,这是另一个话题。第3级被单独讨论的原因是,如果你想做的话,1 / 2是属于你的,理论上你可以做到。从理论上讲,第三级不能说它会起作用。
看到CC是由人控制的,反射放大控制,这是困难的,毕竟 *** 攻击网站你看不到人,但并不是没有思想,攻击也为了赚钱,他们将有一个协议,所以说,如果要溯源,我们就要去通过这几个 *** 来观察。
网站被攻击了有什么解决 *** 吗?
1/3分步阅读
首先遇到这样服务器被黑的情况不要着急,按下面步骤淡定处理: 1、发现服务器被入侵,应立即关闭所有网站服务,暂停至少3小时。 这时候很多站长朋友可能会想,不行呀,网站关闭几个小时,那该损失多大啊,可是你想想,是一个可能被黑客修改的钓鱼网站对客户的损失大,还是一个关闭的网 站呢?你可以先把网站暂时跳转到一个单页面,写一些网站维护的的公告。 2、下载服务器日志,并且对服务器进行全盘杀毒扫描。 这将花费你将近1-2小时的时间,但是这是必须得做的事情,你必须确认黑客没在服务器上安装后门木马程序,同时分析系统日志,看黑客是通过哪个网站,哪个 漏洞入侵到服务器来的。找到并确认攻击源,并将黑客挂马的网址和被篡改的黑页面截图保存下来,还有黑客可能留下的个人IP或者 *** IP地址。 3、Windows系统打上最新的补丁,然后就是mysql或者sql数据库补丁,还有php以及IIS,serv-u就更不用说了,经常出漏洞的东西,还有就是有些IDC们使用的虚拟主机管理软件,如N点虚拟主机管理软件、易方管理软件、华众管理软件等等。 4、关闭删除所有可疑的系统帐号,尤其是那些具有高权限的系统账户!重新为所有网站目录配置权限,关闭可执行的目录权限,对图片和非脚本目录做无权限处理。 5、完成以上步骤后,你需要把管理员账户密码,以及数据库管理密码,特别是sql的sa密码,还有mysql的root密码,要知道,这些账户都是具有特殊权限的,黑客可以通过他们得到系统权限! 6、Web服务器一般都是通过网站漏洞入侵的,你需要对网站程序进行检查(配合上面的日志分析),对所有网站可以进行上传、写入shell的地方进行严格的检查和处理。
*** 攻击行为如何溯源到人,不是机器,而是人,有何思路?
在计算机中追踪 *** 攻击还是以追踪ip为主。
但是攻击者一般都用 *** ip,行话叫跳板。
但是有软件跳转也能追踪的。记得在很早以前,美国fbi用的追踪软件,就能达到300个 *** ,依然能追踪到。
所以只要想追查,一定能追查到。
什么是攻击溯源?
攻击溯源顾名思义,就是网站或者服务器被攻击后进行分析,来找到攻击源头,攻击溯源的手段无外乎,IP定位技术、ID追踪技术、攻击路径分析等手段,青藤的攻击溯源-青藤猎鹰连通了50多种数据源,提供了100余类ATTCK攻击场景,轻松发现未知威胁,并快速做出安全事件研判,最后全面进行内网调查溯源。百度上面有这方面的信息。
ip地址跳转后如何溯源
溯源思路:
1、攻击源捕获
安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等
日志与流量分析,异常的通讯流量、攻击源与攻击目标等
服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等
邮件钓鱼,获取恶意文件样本、钓鱼网站URL等
蜜罐系统,获取攻击者行为、意图的相关信息
2、溯源反制手段
2.1 IP定位技术
根据IP定位物理地址— *** IP
溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
2.2 ID追踪术
ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配
溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
2.3 网站url
域名Whois查询—注册人姓名、地址、 *** 和邮箱。—域名隐私保护
溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析
2.4 恶意样本
提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析
溯源案例:样本分析过程中,发现攻击者的个人ID和 *** ,成功定位到攻击者。
2.5 社交账号
基于 *** ONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销
3、攻击者画像
3.1 攻击路径
攻击目的:拿到权限、窃取数据、获取利益、DDOS等
*** *** : *** IP、跳板机、C2服务器等
攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
3.2 攻击者身份画像
虚拟身份:ID、昵称、网名
真实身份:姓名、物理位置
联系方式:手机号、qq/微信、邮箱
组织情况:单位名称、职位信息
0条大神的评论