查找攻击者ip的方法

最新推荐文章于 2025-01-21 10:06:19 发布
转载 最新推荐文章于 2025-01-21 10:06:19 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/dasn/articles/5695722.html
文章标签:

#网络 #awk

本文介绍了一种防御服务器遭受攻击的方法:通过抓取流量包并利用awk工具统计各IP访问次数,找出可疑IP并使用防火墙进行屏蔽。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近服务器被攻击,带宽一直满的。。

记录下查找攻击者ip的方法

首先抓流量包

 

 tcpdump -i any -n tcp -l >log.txt   

any是所有网卡端口。可以设置成对应的网卡编号eth0或其他

通过awk统计每个Ip访问的次数

 

cat log|perl -lne ' print $1 if ( /((\d{1,3}\.){3}\d{1,3})/    ) '    |grep -v '10.10.1.123' |sort -rn |uniq -c|sort -rn

最后找到对应的IP通过防火墙拒绝掉对应的请求

 

转载于:https://www.cnblogs.com/dasn/articles/5695722.html

11种绕过CDN查找真实IP方法查找网站真实IP地址、查找域名真实IP
墨痕诉清风的博客
07-08 1万+
0x01 验证是否存在CDN 方法1: 很简单,使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN, 多地 Ping 网站有:http://ping.chinaz.com/http://ping.aizhan.com/ 方法2: 使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 地址多半是使用了 CDN。有 CDN 的示例: www.163.com 服务器: public1.114dns.com Address: 114.114.
信息安全——应急响应
JJH2724719395的博客
10-08 439
发现两条不正常的日志,UA为python-requests,说明是python脚本,紧跟着就是一个webshell,执行了id和whoami命令,说明攻击成功的时间就是这两条python脚本访问的时间,简单观察可以看出执行了文件上传的操作(此处漏洞为phpmywind最近的RCE漏洞,漏洞编号:CNVD-2022-24937),因此本题答案:24/Apr/2022:15:25:53。大量的并发连接,且访问资源均返回404,且UA不正常,从这里可以得到本题答案,攻击者IP地址为192.168.1.7。
追踪攻击数据包中的真实IP地址:方法与技巧
m0_73834612的博客
05-07 1108
安全人员可以通过配置网络设备或使用专门的流量记录工具,将网络流量和连接信息记录到日志文件中,然后通过分析日志文件,确定攻击数据包的源IP地址和传输路径,从而攻击者的真实IP地址。通过查看数据包的头部信息、数据内容和传输路径,可以发现攻击者留下的痕迹,帮助追踪其真实IP地址。追踪攻击数据包中的真实IP地址是一项具有挑战性的任务,但通过合理利用网络分析工具、流量记录、逆向代理、网络协议分析等方法和技巧,安全人员可以有效地攻击者的真实IP地址,从而及时应对网络安全威胁,提高网络安全防御水平。
攻击者IP公示
sinat_34624126的博客
03-08 702
近一个月,共143台攻击者,公示给大家,以作防备。 此表格为近一个月来爆破我服务器的IP。前十名崽种的归属地予以公示,后边的渣渣不配拥有“姓名”。当然,它们有的是肉鸡,有的是hacker的机子,在此不作甄别。 ...
linux查看攻击者ip
Jingged的博客
03-20 1935
在Linux系统中,可以使用多种方法来查看攻击者IP地址。这些方法可以帮助你识别可疑的网络活动和登录尝试,从而确定攻击者IP地址。记得根据实际情况选择合适的命令和日志文件。4.查看安全信息和事件日志(如/var/log/auth.log或/var/log/secure)。5.使用fail2ban服务,它可以监视登录尝试并记录IP地址。3.分析网络连接情况,可以使用netstat或ss命令。1.使用last命令查看登录日志,寻异常的登录尝试。2.使用who命令查看当前登录用户的IP地址。
网站被攻击如何查找木马文件 以及攻击者IP
网站安全专家
11-01 1353
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后到我们做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵...
网安篇(一)日志分析——从给的登录日志中出攻击IP和使用的用户名
qq_51292909的博客
01-21 1737
日期时间:标记事件的时间戳IP 地址或用户名:标记事件的来源事件类型或状态:描述发生了什么事件附加信息:进一步详细描述事件或提供错误详情登录日志:监控频繁的登录失败和同一 IP 的多次尝试。访问日志:查找可疑请求,如 SQL 注入、XSS 和目录遍历攻击。错误日志:分析异常错误或程序崩溃,可能指示存在安全漏洞。审计日志:审查用户行为记录,特别是涉及敏感文件操作或系统修改的行为。系统日志:跟踪操作系统或应用程序级别的异常,帮助发现潜在的攻击行为。
绕过CDN查找真实IP方法总结
Junior_Q的博客
02-22 8235
什么是CDN CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。 验证是否存在CDN 方法1: 很简单,使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN, 多地 Ping 网站有: http://ping.
php禁止某ipip地址段访问的方法
10-24
首先,我们利用$_SERVER全局数组中的"REMOTE_ADDR"元素来获取当前访问者的IP地址。$_SERVER是一个包含头信息、路径和脚本位置的数组变量,它提供了一系列与当前脚本执行环境相关的数据。其中"REMOTE_ADDR"包含了发出...
php获取攻击者ip,php获取访问者IP地址汇总
weixin_39929138的博客
04-02 124
//方法1:$ip = $_SERVER["REMOTE_ADDR"];echo $ip;//方法2:代码如下:$user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER["REMOTE_ADDR"];$user_IP = ($user_IP) ? $user_IP : $_SERVER["REMO...
应急响应-Web2
qq_45427131的博客
03-20 912
通过phpstudy查看日志,发现192.168.126.135这个IP一直在404访问 , 并且在日志的最后几条一直在访问system.php ,从这可以推断 该IP可能在扫描网站目录,至于system.php的内容需要进去看代码分析查看system.php发现是木马文件,因此确定攻击者的第一个IP另外一个IP可以通过日志查看器 ——> 远程桌面登录成功日志 查看登录IP
基于ip地址的客户识别原理_利用Wireshark识别受感染主机和用户
weixin_39953244的博客
12-09 563
当主机被确认为感染病毒或遭受某种恶意攻击时,作为安全从业人员,我们需要快速审查企业内主机发送的可疑网络流量包捕获(pcap)数据,以识别受感染主机和用户情况。本文将向读者介绍,如何使用Wireshark这一应用广泛的网络协议分析工具来采集pcap数据。并以IPv4流量pcap为例,论述以下两个方面: 来自DHCP流量的主机信息来自NBNS流量的主机信息1. 来自DHCP流量的主机信息企业网络中主机...
linux应急响应&流量分析(附环境)
qq_73870170的博客
12-13 1602
linux应急响应
CentOS被攻击的分析过程_centos7
2401_86983786的博客
09-07 680
【代码】CentOS被攻击的分析过程_centos7。
一道简单的流量分析
weixin_52268949的博客
11-22 5886
流量附件提取 链接:https://pan.baidu.com/s/1oHSbIFiqs6ENmqykzFkEKg 提取码:do7s 1、 使用Wireshark查看并分析attack.pcapng数据包文件,通过分析数据包attack.pcapng出黑客的IP地址,并将黑客的IP地址作为FLAG(形式:[IP地址])提交: 我们使用http.request.method == GET这个方法来过滤一下GET请求包 发现两个登录页面的请求包一个是172.16.1.10向172.16.1.101发出的请
黑客排查入侵者的 10 个方法
Libra1313的博客
02-29 1244
proc目录挂载的是在内存中所映射的一块区域,所以这些文件和目录并不存在于磁盘中,因此当我们对这些文件进行读取和写入时,实际上是在从内存中获取相关信息。大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中,即 /proc/1234 中包含的是 PID 为 1234 的进程的信息。3>当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。e.再次查看/var/log/secure,发现该文件已经存在。
网络攻击(二)--情报搜集阶段
cat_fish_rain的博客
12-10 1401
在情报收集阶段,你需要采用各种可能的方法来收集将要攻击的客户组织的所有信息,包括使用社交网络、Google Hacking技术、目标系统踩点等等。而作为渗透测试者,你最为重要的一项技能就是对目标系统的探查能力,包括获知它的行为模式、运行机理,以及最终可以如何被攻击。对目标系统所搜集到的信息将帮助你准确的掌握目标系统所部署的安全控制措施。搜集哪些内容* 第一步* 目标系统IP地址范围* 详细的注册信息* DNS服务器位置* 电话号段* 网络、或安全管理员及其联系方式* 外部网络拓扑结构。
【免费下载】 五种方法快速查找对方IP地址:技术爱好者的必备技能
gitblog_06610的博客
10-31 1991
五种方法快速查找对方IP地址:技术爱好者的必备技能 【下载地址】五种方法快速查找对方IP地址分享 五种方法快速查找对方IP地址在网络交流日益频繁的今天,了解如何到对方的IP地址对于技术爱好者或需要进行特定网络操作的人来说尤为重要 ...
使用Wireshark查找攻击者IP
最新发布
06-19
### 使用Wireshark捕获和分析网络流量以定位攻击者IP网络安全领域,Wireshark 是一款功能强大的工具,可以用来捕获和分析网络流量,从而帮助识别潜在的攻击者IP地址。以下是关于如何使用 Wireshark 进行相关操作的详细说明。 #### 1. 捕获网络流量 启动 Wireshark 后,选择需要监控的网络接口(例如以太网或无线网络适配器)。点击“开始捕获”按钮后,Wireshark 将实时捕获通过该网络接口的所有数据包[^1]。 如果需要针对特定网络环境进行分析,也可以在虚拟机中安装 Wireshark 来避免系统兼容性问题[^3]。 #### 2. 设置过滤条件 为了高效地分析网络流量,可以使用 Wireshark 的过滤器功能来筛选出与攻击相关的数据包。例如: - **基于协议类型**:`tcp` 或 `udp`。 - **基于源地址或目标地址**:`ip.src == 192.168.1.100` 或 `ip.dst == 192.168.1.200`。 - **基于端口号**:`tcp.port == 80` 或 `udp.port == 53`。 - **基于异常行为**:如 `tcp.flags.syn == 1 and tcp.flags.ack == 0` 可用于检测 SYN 半连接攻击[^4]。 以下是一个示例过滤器,用于查找可能的恶意行为: ```python (ip.src != 192.168.1.0/24) and (tcp.flags.syn == 1) ``` 此过滤器将显示所有来自非本地子网且带有 SYN 标志的数据包,这些可能是扫描或攻击的一部分。 #### 3. 分析数据包内容 在捕获到的流量中,可以通过以下方式进一步分析数据包内容: - **检查源地址和目标地址**:确定哪些 IP 地址频繁出现,特别是那些不属于正常业务范围的地址。 - **分析协议类型**:观察是否有异常协议使用情况,例如非标准端口上的 HTTP 请求。 - **查看请求内容**:对于某些协议(如 HTTP 或 DNS),可以直接查看请求和响应的内容,寻可疑模式[^2]。 #### 4. 定位攻击者IP 通过上述步骤,可以逐步缩小范围并定位攻击者IP 地址。例如: - 如果发现大量 SYN 数据包来自某个特定 IP 地址,则该地址可能是 SYN 攻击的源头。 - 如果检测到 ARP 缓存中毒行为,可以追踪伪造的 MAC 地址对应的 IP 地址[^4]。 此外,还可以结合已知的攻击特征库或威胁情报平台,验证捕获到的 IP 地址是否与已知攻击者相关联。 #### 5. 示例分析过程 假设我们正在分析一个 pcap 文件(例如 `example.pcap`),可以按照以下步骤操作: 1. 打开文件并应用过滤器,例如 `tcp.flags.syn == 1`。 2. 在结果中查找频繁出现的源 IP 地址。 3. 对选定的 IP 地址进行深入分析,查看其通信模式和请求内容。 ```python # 示例代码:批量分析pcap文件中的IP地址 import pyshark def analyze_pcap(file_path): capture = pyshark.FileCapture(file_path, display_filter='tcp') ip_counts = {} for packet in capture: try: src_ip = packet.ip.src if src_ip in ip_counts: ip_counts[src_ip] += 1 else: ip_counts[src_ip] = 1 except AttributeError: continue return ip_counts result = analyze_pcap('example.pcap') print(result) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值