攻防演练溯源实例教学文档

1. 溯源工作概述

溯源是网络安全攻防演练中的重要环节，指通过分析攻击行为、收集威胁情报等手段追踪攻击者身份和攻击路径的过程。本教学文档基于实际攻防演练案例，详细讲解完整的溯源流程和方法。

2. 溯源前的研判工作

2.1 攻击行为确认

• 必要性：避免对非恶意IP进行无效溯源
• 判断依据：
  • 安全设备告警分析
  • 攻击特征识别
  • 攻击类型分析
  • 攻击者意图判断

2.2 案例中的研判结果

• 确认IP(106.14.x.x)存在恶意攻击
• 采用攻击者思维还原攻击过程

3. 溯源信息收集方法

3.1 威胁情报信息收集

• 工具选择：
  • 微步情报中心
  • 其他情报中心(交叉验证)
• 注意事项：
  • 情报可能存在更新延迟
  • 需要多源验证

3.2 IP反查域名

• 技术实现：
  • 查询IP绑定的历史域名记录
• 案例发现：
  • 该IP为阿里云云服务器
  • 反查出3个绑定域名

3.3 域名解析验证

• 必要性：攻击者可能更改解析记录
• 验证方法：
  • 检查当前解析记录
  • 与历史记录对比

3.4 ICP备案查询

• 查询内容：
  • 域名备案信息
  • 备案性质(个人/企业)
• 案例发现：
  • 3个域名均有备案
  • 备案性质为个人

4. 身份信息追踪技术

4.1 域名注册信息查询

• 查询渠道：
  • 聚名网
  • 笨米网
  • 爱名网等域名注册商
• 案例发现：
  • 获得注册时使用的QQ邮箱(11xxx@qq.com)

4.2 社交账号关联分析

• 基于QQ号的追踪：
  • 检索QQ绑定的手机号
  • 检索关联的微博账号
• 验证方法：
  • 手机号与域名备案信息关联分析
  • 案例中通过"赣ICP备1xxxx号"与手机归属地匹配

4.3 社交ID标识符扩展

• 常见社交平台：
  • CSDN、博客园、GitHub
  • Twitter、抖音、陌陌
  • 探探、Soul等

4.4 个人身份信息挖掘

• 可获取信息类型：
  • 姓名、性别、出生日期
  • 支付宝、学历信息
  • 毕业院校、照片
  • 伴侣信息、公司信息
  • 钉钉等职场信息
• 案例成果：
  • 通过手机号获取微信、支付宝
  • 获得姓名、微博、个人自拍照

5. 溯源工作注意事项

1. 合法性：确保所有信息收集手段符合法律法规
2. 证据链完整：各环节信息需形成完整证据链
3. 交叉验证：重要信息需通过多个渠道验证
4. 时效性：注意信息的时效性，攻击者可能更改信息
5. 隐私保护：敏感信息需妥善保管

6. 溯源报告撰写要点

1. 攻击行为描述
2. 溯源过程记录
3. 证据收集清单
4. 关联性分析
5. 最终结论

7. 案例总结

本案例成功因素：

• 攻击者使用个人备案域名
• 注册信息未做充分匿名
• 社交账号关联性强
• 信息未及时变更

强调：溯源成功率受多种因素影响，此案例存在一定运气成分。