DDOS 攻击溯源社工锁定攻击嫌疑人
事件起因:服务器被打了,想找出来谁。前几天打了46G,又来……
时间:6月4日21点30多分,流量22.7G。就想看看是谁,然后苦逼的工作开始了。
后台导出流量最大的500个IP,开始做筛选。
再次特别感谢高春辉大佬帮忙以及大佬的IPIP
筛选出来国内的节点
到此后面就是社工的套路了。
某个服务器和我的服务器同一机房
很遗憾,没搞下来。但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。
然后发现了几个比较新的解析记录。对比,匹配。31日绑定的域名,4号用来攻击别人,二的可以。
顺藤摸瓜抓到QQ邮箱,QQ有了,然后联系人,Q群,电话号码,真实姓名都有了……
这里面的关键词:hack,卖主机,代购,云服务器,制作企业网站,反正业务挺多的……
再然后,没有然后了……交给JC叔叔了……
DDos溯源比较蛋疼,浪费很多精力却不一定有结果。这次也是幸运。
如果碰到攻击,记得匹配下攻击开始前10分钟和攻击结束后10分钟内所有的IP,匹配访问量和实际业务动作。可能会有所发现。
不得不感谢门罗币等虚拟货币的出现,让大佬都去挖坑了……
好了,我又成功的水了一贴~~~
时间:6月4日21点30多分,流量22.7G。就想看看是谁,然后苦逼的工作开始了。
后台导出流量最大的500个IP,开始做筛选。
再次特别感谢高春辉大佬帮忙以及大佬的IPIP
筛选出来国内的节点
到此后面就是社工的套路了。
某个服务器和我的服务器同一机房
很遗憾,没搞下来。但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。
然后发现了几个比较新的解析记录。对比,匹配。31日绑定的域名,4号用来攻击别人,二的可以。
顺藤摸瓜抓到QQ邮箱,QQ有了,然后联系人,Q群,电话号码,真实姓名都有了……
这里面的关键词:hack,卖主机,代购,云服务器,制作企业网站,反正业务挺多的……
再然后,没有然后了……交给JC叔叔了……
DDos溯源比较蛋疼,浪费很多精力却不一定有结果。这次也是幸运。
如果碰到攻击,记得匹配下攻击开始前10分钟和攻击结束后10分钟内所有的IP,匹配访问量和实际业务动作。可能会有所发现。
不得不感谢门罗币等虚拟货币的出现,让大佬都去挖坑了……
好了,我又成功的水了一贴~~~
关于作者
评论42次
水完了就想走?jc叔叔怎么处理的,来个后续呗
反射型DDos攻击,一般在单点引起的流量更大。
我也想知道 jc叔叔 是怎么回你的
有点担心这结果会不会是证据不足无罪释放呢?
最关心的一段,你写的最大概。。 但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。 然后发现了几个比较新的解析记录。对比,匹配。31日绑定的域名,4号用来攻击别人,二的可以。 期待详细一些。。。 找的是什么规律,不解。
其实,我还是没看到,楼主到底怎么锁定IP的,一般DDOS的IP都是伪装的。楼主只是列举出哪些IP攻击了你的机器是吗?而不是追溯到源头哪个机房控制这些机器发送的攻击
运营商加策略了,伪造虚拟源地址,基本上出不去,到运营商路由器包就丢弃了。
之前我被打了近300G
好奇大佬们网站都是啥,被打的这么惨
一般的服务器只能够承受5-6G,高防也有100G,但是超贵
50G不成问题的
跟jc叔叔说有什么用?有什么用?有什么用?
可疑节点IP,靠解析记录,还是不能直接确认就是源吧。。。 这种源一般都比较难锁定,还是需要结合其他信息来判断。
一般的服务器只能够承受5-6G,高防也有100G,但是超贵
说实话 ,没有看懂。。。。。。。 “匹配下攻击开始前10分钟和攻击结束后10分钟内所有的IP,匹配访问量和实际业务动作” 然后呢,接下来如何进一步筛选呢?
其实,我还是没看到,楼主到底怎么锁定IP的,一般DDOS的IP都是伪装的。楼主只是列举出哪些IP攻击了你的机器是吗?而不是追溯到源头哪个机房控制这些机器发送的攻击
“某个服务器和我的服务器同一机房很遗憾,没搞下来。但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。”这里是什么意思?DDOS客不是利用肉鸡而是用自己的服务器打的?看的不是很明白
还有,这里我可能没有表述清楚。我的一个测试服务器和攻击者的这个,再一个网段。
哦哦知道了。
“某个服务器和我的服务器同一机房很遗憾,没搞下来。但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。”这里是什么意思?DDOS客不是利用肉鸡而是用自己的服务器打的?看的不是很明白
还有,这里我可能没有表述清楚。 我的一个测试服务器和攻击者的这个,再一个网段。
“某个服务器和我的服务器同一机房很遗憾,没搞下来。但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。”这里是什么意思?DDOS客不是利用肉鸡而是用自己的服务器打的?看的不是很明白
很多时候都是肉鸡,服务器,僵尸网络。 但是攻击的人会持续关注服务器的情况。这就有个长时间服务器访问记录。 可以是ping 包,也可以是某个页面持续 的刷新等无实际业务的操作。 根据行为来的。 再加上现在很多大佬都去挖矿了,弄得有大流量的看不上这点钱。小流量的没那么多肉鸡。
之前我被打了近300G
可以,很强势,打死你这只臭熊猫
之前我被打了近300G
“某个服务器和我的服务器同一机房 很遗憾,没搞下来。但是批量解析这些服务器的所有域名,历史域名,whios历史,找规律。” 这里是什么意思?DDOS客不是利用肉鸡而是用自己的服务器打的?看的不是很明白