DDOS 攻击溯源社工锁定攻击嫌疑人
事件起因:服务器被打了,想找出来谁。前几天打了46G,又来……
时间:6月4日21点30多分,流量22.7G。就想看看是谁,然后苦逼的工作开始了。
后台导出流量最大的500个IP,开始做筛选。
再次特别感谢高春辉大佬帮忙以及大佬的IPIP
筛选出来国内的节点
到此后面就是社工的套路了。
某个服务器和我的服务器同一机房
很遗憾,没搞下来。但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。
然后发现了几个比较新的解析记录。对比,匹配。31日绑定的域名,4号用来攻击别人,二的可以。
顺藤摸瓜抓到QQ邮箱,QQ有了,然后联系人,Q群,电话号码,真实姓名都有了……
这里面的关键词:hack,卖主机,代购,云服务器,制作企业网站,反正业务挺多的……
再然后,没有然后了……交给JC叔叔了……
DDos溯源比较蛋疼,浪费很多精力却不一定有结果。这次也是幸运。
如果碰到攻击,记得匹配下攻击开始前10分钟和攻击结束后10分钟内所有的IP,匹配访问量和实际业务动作。可能会有所发现。
不得不感谢门罗币等虚拟货币的出现,让大佬都去挖坑了……
好了,我又成功的水了一贴~~~
时间:6月4日21点30多分,流量22.7G。就想看看是谁,然后苦逼的工作开始了。
后台导出流量最大的500个IP,开始做筛选。
再次特别感谢高春辉大佬帮忙以及大佬的IPIP
筛选出来国内的节点
到此后面就是社工的套路了。
某个服务器和我的服务器同一机房
很遗憾,没搞下来。但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。
然后发现了几个比较新的解析记录。对比,匹配。31日绑定的域名,4号用来攻击别人,二的可以。
顺藤摸瓜抓到QQ邮箱,QQ有了,然后联系人,Q群,电话号码,真实姓名都有了……
这里面的关键词:hack,卖主机,代购,云服务器,制作企业网站,反正业务挺多的……
再然后,没有然后了……交给JC叔叔了……
DDos溯源比较蛋疼,浪费很多精力却不一定有结果。这次也是幸运。
如果碰到攻击,记得匹配下攻击开始前10分钟和攻击结束后10分钟内所有的IP,匹配访问量和实际业务动作。可能会有所发现。
不得不感谢门罗币等虚拟货币的出现,让大佬都去挖坑了……
好了,我又成功的水了一贴~~~
关于作者
评论42次
这是肉鸡attack,如果用的是当前很火热的反射ddos,溯源基本=不可能。可参照我以前的帖子
镇江这个我记得是全国动态多拨ip,是不是打歪了,朔原还是追踪攻击者,如楼上引用说的,攻击者一般会验证自己的效果,自己web里面添加xss判断真人,或者server记录ping。可以确定攻击者。 至于一个机房都是动态ip一分钟换一个ip,打歪了打歪了
这个说的很好,就如同黑页的第一个访问者99.99%是攻击者本人一样……
溯源这些ip没有意义啊,都是些僵尸主机。可以分析一下这些主机有没有和共同的ip有连接关xi,可能可以发现C&C服务器,不过对方要是去黑市买的ddos服务,那也没必要查了。
将攻击前后的ip 提取出来,匹配访问量和实际业务动作 学xi了。
DDOS 的溯源一般来说很难的,高手不那么容易泄露自己的
这么多伪IP,怎么筛选出攻击者的IP地址呢
现在很多都用网页ddos端 例如卡车(某网页ddos端) 流量蛮大的
被攻击居然还有心态去排查攻击者,佩服佩服
记得匹配下攻击开始前10分钟和攻击结束后10分钟内所有的IP,匹配访问量和实际业务动作。可能会有所发现。记下了,感谢。
我的打了35G,日了狗.雨苁
大佬这图片是哪家机房的监控面板 求告知
谈不上大佬.李彦宏家的 雨苁
你是在哪里报警的啊,公安局还是派出所啊?县还是市啊?
厉害了啊
我的打了35G,日了狗.雨苁
大佬这图片是哪家机房的监控面板 求告知
LZ这个统计面板是哪家IDC 求告知
溯源ddos不是日肉鸡,上去查日志吗?反爆菊花吗?
不关心处理结果,只关心详细溯源思路和防御方法
这种溯源,有没有相关DDOS防护设备、软件的情况下?如何溯源,有什么好思路吗?
这种可以看到真实IP的DDOS应该打的是TCP 类型的攻击吧
最后找到攻击者了吗,是这个人吗?