微步api之ip信誉批量查询脚本

原创 已于 2023-09-11 17:11:36 修改 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络安全

于 2023-08-11 14:26:32 首次发布
本文介绍了一位监控人员使用Python脚本和微步API接口,自动化处理和统计IP告警记录的过程,包括读取CSV文件中的IP和安全类型,调用API获取威胁详情,以及对攻击类型的统计分析。
该文章已生成可运行项目,

最近在当监控小子,每天就是查查ip封封ip,虽然不累但是异常枯燥,而且每天的日报整理起来也非常麻烦,于是利用微步的api接口,编写了批量查询和统计的脚本,再也不怕日报整理麻烦了。

直接从waf生成当天的告警记录的表格,利用python的csv模块进行文件读取,将ip过滤去重之后进行api请求,最后直接统计告警类型和危害程度高的ip

具体代码如下,纯原创


import csv
import requests
import time
from collections import Counter

# 文件路径
path = '文件路径'
# api
url = "https://api.threatbook.cn/v3/scene/ip_reputation"
# key
key = "自己的apikey"
context_list=[]

# 字典列表去重
def remove_duplicate_dicts(input_list):
    unique_list = []
    seen_dicts = set()
    for dictionary in input_list:
        dictionary_tuple = tuple(sorted(dictionary.items()))

        if dictionary_tuple not in seen_dicts:
            seen_dicts.add(dictionary_tuple)
            unique_list.append(dictionary)

    return unique_list

# 读取文件中的ip和安全类型
def ip_list():
    ListForIp = []
    # 文件读取,path是文件路径
    with open(path, 'r') as file:
        reader = csv.reader(file)
        # 遍历每行数据

        #需要修改表格中ip的列数,row[?]
        for row in reader:
            # 去表头
            if row[2] == "安全类型" or row[4] == "源IP":
                continue
            # 生成一个字典,其格式为{"type","攻击类型","ip","x.x.x.x"}
            dirt = {"type": row[2].replace(" ", ""), "ip": row[4].replace(" ", "")}
            # 将字典存储到列表中
            ListForIp.append(dirt)
            # 去重
            #ListForIp = remove_duplicate_dicts(ListForIp)
        #     因为微步限制,所以限制列表内超过50个数据
        if len(ListForIp) > 50:
            print(ListForIp)
            print("ip数量超过50")

            # return False
            # ListForIp = ListForIp[:20]

            # print(ListForIp)

        else:

            return ListForIp



# 攻击统计
def Type_statistics(ip):
    type_list = []
    try:
        print("流量ip统计")

        for item in ip:
            type_list.append(item["type"])


        counter = Counter(type_list)

        for element, count in counter.items():

            print(f"{element}出现了 {count} 次", end=",")

    except:
        print("Type_statistics模块异常")



# api访问
def API(Ip):

    Ip = remove_duplicate_dicts(Ip)
    try:
        for item in Ip:
            response = requests.request("GET", url, params={
                "apikey": key,
                "resource":item["ip"],
                "lang": "zh"
            })
            # 每一次访问后休息0.5秒
            time.sleep(0.5)
            # 如果response_code=0则返回正确数据
            if response.json()["response_code"] == 0:
                # 提取响应中的安全等级
                severity_value = response.json()["data"][item["ip"]]["severity"]
                if severity_value in ["中", "高", "严重"]:
                    print(item["type"]+":"+item["ip"] + ":" + severity_value)
                    context=item["type"]+":"+item["ip"] + ":" + severity_value
                    context_list.append(context)

            else:
                # 否则
                print(item["ip"])
                print(response.json())
                break
        return context_list

    except:
        # 抛出异常
        pass
# 封禁ip类型统计
def context_sum(data):
    type_counter = Counter()
    result_list = []

    for entry in data:
        parts = entry.split(':')
        attack_type = parts[0]
        type_counter[attack_type] += 1

    for attack_type, count in type_counter.items():
        result_list.append(f"{attack_type} 类型出现了 {count} 次")
    print("封禁ip统计")
    print(result_list)


if __name__ == '__main__':

    ip_list=ip_list()
    context_list=API(ip_list)
    context_sum(context_list)

    Type_statistics(ip_list)
本文章已经生成可运行项目
微步在线云API-python批量检测IP脚本
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-03 3915
针对入站场景的IP进行分析, 能够提供IP的地理位置、ASN信息,通过判定规则精准判别IP是否恶意、风险严重级别、可信度级别;识别威胁类型,如:漏洞利用(exploit)、傀儡机(Zombie)、代理(Proxy)、可疑(Suspicious)等及相关安全事件或团伙标签。...
从CDN背后看到真实IP:渗透测试员不会告诉你的12种高阶技巧详解 这一篇足以(2025/9/13更新)
盾悟
01-13 1万+
本文总结了多种绕过CDN获取真实IP的方法,包括:1.通过ping不存在的二级域名;2.查询DNS历史记录;3.利用SSL证书寻找OCSP服务器;4.扫描子域名和网站漏洞;5.查看敏感文件泄露;6.分析邮件订阅信息;7.使用国外服务器ping目标;8.全网扫描或DDOS攻击耗尽CDN流量。文章详细介绍了每种方法的实现原理和操作步骤,为渗透测试中的信息收集提供了实用技巧。作者强调找到真实IP是绕过云WAF的关键前提,并推荐了多个实用工具网站辅助查询
文本提取IP批量自动化情报查询工具——getIpInfo
土豆的博客
10-18 1万+
将文本中含有的IP进行标记、添加IP物理位置标记,并进行输出。提取存在的外网IP,依赖奇安信威胁分析武器库进行批量自动化情报查询,展示IP信誉详情、实现检测详情、恶意详情以及数据统计,并输出xlsx表格。 适用于[安服工作]中针对DMZ服务器入站IP批量自动化情报查询;适用于[蓝队监测工作]中针对可疑IP进行批量自动化情报查询;适用于[蓝队溯源工作]中针对攻击IP代理机和肉鸡过滤进行批量自动化情报查询;适用于[应急工作]中主机外联自动化情报查询
微步在线云API-调用代码
WangYouJin321的博客
03-17 3036
微步官方调用连接: API 文档 实例接口调用代码: #!/usr/bin/python # -*- coding: UTF-8 -*- import requests,json class intelligenceSearch(): def __init__(self): self.search_url="https://api.threatbook.cn/v3/ip/query" self.api_key ="******请替换apike...
微步在线 模拟登录 某验4代滑块验证
最新发布
2401_85228402的博客
05-21 443
某步在线 模拟登录 某验4代滑块验证 分析
使用python调用微步在线接口实现自动化查询IP情报
u013930899的博客
07-04 7380
python自动化查询IP情报
【自制小工具】快速批量查询IP归属地(自动去重、按国内外汇总,并智能识别出错误IP
Eason_LYC安全白帽子的成长博客
09-19 7822
如何才能快速提升自己的编写脚本的能力呢,我之前说过“为了学习而学习,永远学不好”。所以本文以我在实际工作中的真实场景为例,讲解自制小工具的思路。 在实际安全工作中,经常会从各种渠道获取大量IP,在进行分析前,首先需要对IP进行处理。本视频介绍的工具可以大量查询IP归属地信息,速度较快,并具有极强的容错性,不会因个别错误IP导致无法分析或输出结果。而且傻瓜式使用,极其简便。
ip批量查询
01-15
在IT行业中,IP批量查询是一项常见的网络管理任务,主要用于获取大量IP地址的相关信息。这个工具显然是基于“纯真”的IP数据库,它是一个广泛使用的、包含了全球IP地址与地理位置对应关系的数据库。以下将详细讲解IP...
微步批量查询IP
03-11
为了实现多个IP地址的信息查询,可以采用Python编写自动化脚本来调用微步API完成此操作。对于大批量的数据处理,建议引入一些优化措施来提高效率并确保程序稳定运行。 #### 准备工作 首先需要获取到微步开放平台...
【工具分享】写了一个威胁情报收集的小工具
TeamsSix 的 优快云 空间
03-15 865
0x00 介绍 tig Threat Intelligence Gathering 威胁情报收集,旨在提高蓝队拿到攻击 IP 后对其进行威胁情报信息收集的效率,目前已集成微步IP 域名反查、Fofa 信息收集、ICP 备案查询IP 存活检测五个模块,现已支持以下信息的查询: ✅ 微步标签 ✅ IP 域名反查 ✅ ICP 备案查询IP 存活检测 ✅ 开放端口查询 …… 后续将集成更多模块,如有好的建议或遇到 Bug 欢迎与我反馈,我的微信号:teamssix_com 工具地址:https://g
微步URL资源检索结果爬虫
10-20
微步URL资源检索结果爬虫
通过微步API接口对单个IP进行查询
weixin_48750761的博客
03-04 770
通过微步API接口对单个IP进行查询效果,其实还可以弄成批量的。我发现反复查询同一个IP,查一次算一次,所以得注意,批量我也测试了,好用,就是费钱。
批量检测恶意网址,利用微步api
qq_39229739的博客
11-01 5721
最近emotet银行木马肆虐,我在分析网站上爬取了emotet木马相关的恶意网址, 大约3万条,由于原网站上夹杂了一些正常网站也被爬取了下,而且有些恶意网址也不确定是否准确,所以准备将结果再次发送到微步在线进行检测,过滤一遍,把正常网站去除,只留下,被微步判定位“恶意”和“可疑”的网址。 微步api文档https://s.threatbook.cn/api 下面是本人的代码,写的比较简陋,...
HW大批量ip自动化溯源工具
Python84310366的博客
07-04 1240
调用微步api实现hvv期间大批量ip自动化溯源工作,目前只实现了 筛选高价值可溯源目标,肉鸡抓取功能。
IP信誉信息查询
Jepson的博客
07-09 6276
ipip.net网站上查询ip信誉信息,如基站、IDC等 查询地址:https://www.ipip.net/ip.html 请求方式:POST 代码: import requests from lxml import etree import ssl ssl._create_default_https_context = ssl._create_unverified_contex...
信息收集-真实的IP
weixin_56319791的博客
10-18 986
渗透测试-信息收集篇-真实的IP地址
微步注册使用
Lu__xiao的博客
11-27 1429
微步
怎么获取 API Key:一步步指南
热门推荐
NHB234567的博客
03-20 3万+
在深入我们的主题之前,让我们先简单了解一下 API Key 到底是什么。API Key 基本上可以认为是一个长字符串,允许 API 消费者(即使用 API 的人)访问受限的功能和数据。它作为一种安全措施,确保了 API 服务能够控制谁有权限访问什么数据,同时也帮助跟踪API的使用情况。
信息收集
KAKA的博客
07-06 1454
什么是被动信息收集? 被动信息收集指的是从公开渠道获取信息,与目标主机和系统不产生直接信息交互,尽量避免留下一切的痕迹,就是相当于一个用户的在正常访问而已,这些信息被公司或者其它机构认为不是机密的,因而公开出来(但,真的不机密吗?) 需要收集的内容有: 子域名 / 公开商业信息 / IP地址段 / 域名信息 / 邮件地址 / 文档图片数据 / 公司地址 / 公司组织架构 / 联系电话 / 传真号码 / 人员姓名 / 职务 / 目标系统使用的技术架构 / 日常习惯用语 渗透顶级方法:社工 1.从 whois
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值