一、威胁情报

威胁情报是有关组织可能面临的潜在攻击以及如何检测阻止这些攻击的信息。执法部门有时会分发带有嫌疑人信息的“通缉”海报;同样,网络威胁情报包含有关当前威胁是什么样子以及它们来自何处的信息。
在数字安全术语中,“威胁”是一种恶意行为,可能导致数据在未经许可的情况下被盗、丢失或更改。
该术语指的是潜在的和实际的攻击。威胁情报使组织能够针对威胁采取行动,而不仅仅是提供数据。
每一条威胁情报都有助于检测和预防攻击。
某些类型的威胁情报可以输入防火墙、Web 应用程序防火墙 (WAF)、安全信息和事件管理 (SIEM) 系统以及其他安全产品,使它们能够更有效地识别和阻止威胁。其他类型的威胁情报更为通用,可帮助组织做出更大的战略决策。

这些平台结合使用,单个平台所显示的信息可能不全

这里以微步社区为例,

我的服务器上的资产图

image-20240325104456238

使用lastb命令,随便找一个尝试爆破我ssh账号密码的服务器ip为例

二、IP定位

2.1、asn定位

位置比较模糊

自治系统或自治域(AS)是在一个或多个网络运营商代表单个管理实体或域的控制下连接的互联网协议(IP)路由前缀的集合,它为互联网提供了一个通用且明确定义的路由策略。每个AS都分配有一个唯一的自治系统编号(ASN),用于边界网关协议(BGP)路由。
ASN号的分配是由互联网地址分配机构(IANA)先将未分配的ASN块分配给各个区域互联网注册管理机构(RIRs),各地区RIR再进一步将收到的ASN块分配给本地互联网注册机构(LIR)和最终用户组织。IANA还维护一个保留供私人使用的ASN注册表(因此不应向全球互联网公布)。被分配的AS号有16比特和32比特的整数值两种表示类型。16比特的AS号的长度范围介于 0 和 65535 之间,32比特的AS号的长度范围介于0 和 4294967294 之间。目前普遍使用的是16比特整数值表示的类型,最多能被分配给65536个自治系统

每个区域都有自己特有的ip,可以根据IP地址,确定国家,城市以及大概的区域,这种方法无法定位到具体位置

image-20240325110955943

2.2、公开定位接口

一般不准,给你一个ip,就想通过这种免费的方式实现GPS级的定位,还是洗洗睡吧

更精准的全球IP地址定位平台_IP问问-埃文科技(ipplus360.com)

有些许误差,甚至没在那个圈子里。比asn准确了一点,但是不多

https://www.ipuu.net/

image-20240325112720779

2.3、经纬度信息

相对而言比较准,但是在国内不太准

var options = { enableHighAccuracy:true, 
	timeout:5000, 
	maximumAge:0, 
	};
	function success(pos) {
	var crd = pos.coords;
	console.log("Your current position is:"); 
	console.log("Latitude : "+ crd.latitude); 
	console.log("Longitude: "+ crd.longitude);
    console.log("More or less "+ crd.accuracy +" meters."); 
    }
    function error(err){ console.warn("ERROR("+ err.code +"): "+ err.message); } 
    navigator.geolocation.getCurrentPosition(success, error, options);

获取到经纬度信息:

Latitude : 34.398581 维度

Longitude: 113.758908 经度

经纬度地图:

逆地理编码(坐标 -> 地址)-地理编码-示例中心-JS API 1.4 示例 | 高德地图API (amap.com)

image-20240325171430332

也不太准,定位到河里了

境内地图不允许使用GPS坐标,但是设备定位获取的坐标均为GPS坐标,所以实际会有很大误差,一般是与GPS存在西北方向偏移
感兴趣可以了解下坐标,境内使用的是GCJ02国测局坐标,其他地区是WGS84坐标(GPS角度坐标),也有特殊的,比如百度地图用自己的BD-09坐标

image-20240325171636777

2.4、代理了怎么办

  • 挟持用户ping(漏洞或者钓鱼)

一般使用的代理软件都是socks协议、http协议代理,均工作在应用层,无法代理icmp流量,所以ping命令一般发出的流量都是自己的互联网ip

tcpdump -n icmp

一般用主机直接ping服务器,在服务器监听icmp协议流量,但是我ping服务器功能关闭了。所以直接查看的tcp,如果监听的服务器可以ping通的话,就直接ping服务器就可以了。

image-20240325172313900

  • 挟持用户访问境外网站(jsonp)

有些代理具有代理规则,如代理境外网站。

全方位查询上网IP (chaip.org)

image-20240325172726106

三、端口扫描

端口扫描是最有效的溯源方法(威胁情报都在用),通过端口扫描,能够发现攻击者开启的相关攻击工具监听服务,如teamserver、metasploit、frp、awvs、http等等、如果使用了默认密码或匿名访问,可以获取到攻击者非常多的信息

端口扫描的方法

namp -sT -Pn -p1-65535 -T4 你想扫描的IP地址

-sT是指 扫描tcp服务

-Pn 忽略主机ping 的阶段

-T4 表示速度

四、社会工程学

4.1、公开资源

专业名词称为 公开资源情报(OSINT)

  • 注册网站检测

你注册过哪些网站?一搜便知 - REG007

image-20240325173956665

  • 网站历史

Wayback Machine (archive.org)

可以利用这个网站,查看攻击者的博客在早期有没有泄露过自己的信息

以百度为例

image-20240325174126046

2002年百度网页的样子

image-20240325174111018

  • 社交软件

这个网站其实弊端很明显,第一都是境外的社交软件,第二是很多安全工作者喜欢用的twitter现在变成了x,但该网站没有适配

image-20240325174458027

  • 信息泄露

这个网站是国外的网站,所以谷歌等邮箱数据比较多

我被骗了吗:检查您的电子邮件是否因数据泄露而受到损害 (haveibeenpwned.com)

image-20240325174539567

  • Google Dorks

intext:xxx

4.2、社交媒体

github 、csdn、微博、推特、Facebook、支付宝、小红书、抖音、Bilibili、微信、QQ、网易云等等

xxx site:twitter.com
xxx site:github.com
xxx site:csdn.com

这里以p神为例子

image-20240325174916496

  • 谷歌搜图也是一个神器

image-20240325175652011

4.3、总结

技巧:个人博客

通过博客的about me中留下丰富的个人信息,然后进行交叉查询