蓝队分析、溯源、反制总结（非常详细），零基础入门到精通，看这一篇就够了

最新推荐文章于 2025-11-26 14:12:29 发布

原创最新推荐文章于 2025-11-26 14:12:29 发布 · 1.1k 阅读

19 ·

CC 4.0 BY-SA版权

文章标签：

#数据库 #redis #缓存 #蓝队分析、溯源、反制总结

前言

监测/分析经验小结

在护网期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。

内网攻击莫忽视

内网攻击告警需格外谨慎，可能是进行内网渗透。

攻击IP是内网IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫行为。
资产属性-内网攻击IP资产属性。
研判告警行为是否为攻击动作，如弱口令、SQL注入漏洞可能是业务行为。
上级排查与客户一起进一步确认设备问题。

企图告警需排查

企图类告警需格外谨慎，可能是“已经成功”。

告警主要包括：后门程序、代码行为、命令执行行为。
资产属性+流量确认。
综合判断告警是否成功（成功的话就需要提供证据给规则反馈）。
上级排查与客户一起进一步确认设备问题。

下面这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以点击下方链接即可自动领取↓↓↓

点击领取《网络安全&黑客&入门进阶学习资源包》

在这里插入图片描述

爆破行为也要看

爆破攻击告警需格外谨慎，可能是“正在进行时”。

告警主要包括：客户对外端口的服务对外开放。
资产属性+流量确认。
综合判断业务是否对外开放（及时确认是否需要规避风险点）。

成功失陷追仔细

成功失陷追仔细，可能是”溯源不够细致，遗漏蛛丝马迹“。

告警主要包括：成功+失陷的告警。
资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。
协助客户上机排查，书写防守或溯源报告。

常见溯源方式

在发现资产被攻击之后，防守方需要及时进行溯源和排查，通常情况下，溯源需要获取到目标攻击者的一部分个人信息，比如手机号，邮箱，QQ 号，微信号等，通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源，下述介绍了一些整理了一些常见的方法和工具。

1. 域名、ip 反查目标个人信息

首先通过威胁情报平台确认攻击ip是否为威胁 ip，常用的平台通常有如下

https://x.threatbook.cn/ 微步在线威胁情报社区

https://ti.qianxin.com/ 奇安信威胁情报中心

https://ti.360.cn/ 360威胁情报中心

https://www.venuseye.com.cn/ VenusEye威胁情报中心

当发现IP的为攻击IP后，可以尝试通过此IP去溯源攻击者，具体实现过程通常会用到下述方法：

ip 反查域名
域名查 whois 注册信息
域名查备案信息、反查邮箱、反查注册人
邮箱反查下属域名
注册人反查下属域名

IP/域名定位常用网址

站长之家IP查询网址：https://ip.tool.chinaz.com/ipbatch

IP138查询网：https://www.ip138.com/

高精度IP定位：https://www.opengps.cn/Data/IP/LocHighAcc.aspx

IP信息查询：https://www.ipip.net/ip.html/

IP地址查询在线工具：https://tool.lu/ip/

多地Ping检测：http://ping.chinaz.com/

Whois查询：https://whois.chinaz.com/

2. 攻击者ID等方式追踪

定位到攻击者ip后，可以通过社工库、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息，可以采取以下思路。

1. 支付宝转账，确定目标姓氏

2. 进行QQ账号、论坛、贴吧、等同名方式去搜索

3. 淘宝找回密码，确定目标名字

4. 企业微信手机号查公司名称

REG007 通过邮箱、手机号查注册应用、网站

6. 度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索

3. 通过攻击程序分析

攻击者如果在恶意攻击过程中对目标资产上传攻击程序（如后门、恶意脚本、钓鱼程序等），我们可通过对攻击者上传的恶意程序进行分析，并通过IP定位等技术手段对攻击进行分析溯源，常用的恶意程序分析网站有：

微步在线云沙箱：https://s.threatbook.cn/

腾讯哈勃：https://habo.qq.com/

Virustotal：https://www.virustotal.com/gui/home/upload

火眼：https://fireeye.ijinshan.com

魔盾安全分析：https://www.maldun.com/analysis/

4. 蜜罐

简介：

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐溯源的两种常见方式：

一种是在伪装的网站上插入特定的js文件，该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。另一种是在伪装的网站上显示需要下载某插件，该插件一般为反制木马，控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。

*常见反制方式*

通过蜜罐反制

主要就是下述反制手段做操作

可克隆相关系统页面，伪装“漏洞”系统
互联网端投饵，一般会在Github、Gitee、Coding上投放蜜标（有可能是个单独的网站地址、也有可能是个密码本引诱中招）
利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份（网络画像）

邮件钓鱼反制

安全防护基础较好的厂商，一般来说除了出动0day，物理近源渗透以外，最常见的就是邮件钓鱼了，在厂商收到邮件钓鱼的情况下，我们可以采取化被动为主动的方式，假装咬钩，实际上诱导攻击者进入蜜网。

渗透工具漏洞

可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞（需要一定的技术水平），或利用历史漏洞部署相关环境进行反打

OpenVPN配置后门

OpenVPN配置文件（OVPN文件，是提供给OpenVPN客户端或服务器的配置文件）是可以修改添加命令的。

盲打攻击反制

攻击者可能通过盲打漏洞方式来获取权限，一般盲打都具备一个数据回传接口（攻击者需要接收Cookie之类的数据），接口在JavaScript代码中是可以寻找到的，我们可以利用数据回传接口做以下两件事情，并后续引导攻击者进入我们部署好的蜜罐。

打脏数据回传给XSS平台
打虚假数据回传给XSS平台

通过攻击服务器端口/web 等漏洞

攻击者可能是通过自己搭建的公网服务器进行攻击的，或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务，且未打补丁或设置强密码，导致防守方可以进行反打。

应急响应工具箱

在hvv期间，或者是在平常工作时间段，难免会碰到一些应急场景，这里推荐GitHub上一个大佬的应急工具箱，整合了诸多的分析文章和常见工具。

地址链接： https://github.com/No-Github/1earn/blob/master/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md

零基础入门网络安全/黑客

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）