默安科技全新出品的网络安全技术主题节目——安全芝士局，于近日正式播出第四期线上节目，默安科技安全研究员辉哥为大家分享了溯源与反制的前世今生。

本期芝士局的分享从溯源的前世、溯源与反制在网络安全中的应用、溯源与反制的未来及案例分享等方面展开。

01 溯源的前世

先从社会工程学说起

在没有网络安全之前，大多数情况是通过社会工程学来进行溯源。在信息安全方面，社会工程学是指对人进行心理操纵术，使其采取行动或泄露机密信息。它是一种以信息收集、欺诈或系统访问为目的的信任骗局，与传统的“骗局”不同，它通常是更复杂的欺诈计划中的许多步骤之一。历史上，社会工程学隶属于社会学，不过其影响他⼈⼼理的效果引起了计算机安全专家的注意，它也被定义为“影响一个人采取可能或可能不符合其最佳利益的行动的任何行为”。

没有网络安全之前的溯源是什么

没有网络安全之前的溯源主要包括以下几类：一是网络诈骗溯源；二是通话定位溯源；三是犯罪事件溯源，比如说抓捕犯罪分子，通过调查监控看罪犯从哪里开始下手的，抓到之后，也会继续溯源找到其犯罪动机；四是照片溯源，比如女明星因自拍瞳孔倒影暴露住址惨遭跟踪、女主播私密照片暴露住址等即是典型例子。

02 溯源与反制在网络安全中的应用

在有网络安全之后，溯源便应用到网络安全上了。攻防演练中的溯源包含两个方面：首先是对事件的溯源：在发生网络安全事件之后，第一件事就是应急，应急完了之后就是溯源，有设备的可以通过态势感知或者全流量的设备进行溯源，没有设备的就只能翻日志进行溯源，但是日志有可能会被删除。

其次是对攻击者的溯源：安全事件溯源完了，最终会溯源到一个IP地址或者域名，接下来就是看这个域名是哪个⼈，这个IP是哪个机房的，开了什么端口等等，以上是没有蜜罐设备的，但是有蜜罐设备的，蜜罐能够通过jsonp技术获取到攻击者的社交指纹，比如微博ID、小红书ID等等，基于当前现有的ID，我们可以给攻击者做个画像，攻击者是学生还是在职⼈员？是男的还是女的？喜欢打球还是听歌……结合攻击者画像，再到各个平台去搜索。

攻防演练中的反制手段包括以下几种：

• 管理系统口令爆破
• 服务器口令爆破
• 组件漏洞
• nps未授权
• cs服务器弱口令
• cdnDDOS

这些都是应急完溯源之后的反制，并且用的反制手段和攻击者一样，存在一定的时差，有可能攻击者在做完一系列攻击之后销毁作案工具，或者攻击者根本没使用这些有漏洞的组件，或者都是强口令，这个时候反制基本无效了，最好的方式其实是在攻击者的攻击路径上埋地雷进行反制。就幻阵的部署方式而言，反制途径包括以下：

• cs反制
• dnslogDDOS
• gobyRCE
• 蚁剑RCE
• awvsRCE
• burpRCE
• sqlmapRCE
• mysql文件读取

以上都是攻击者常常攻击的目标，我们提前在攻击者的攻击路径上做反制就能取得好的效果，但是这些反制一个一个去部署，显然极为费时费力，我们可以通过部署反制类型的蜜罐来提升反制的效率和效果。

03 溯源与反制的未来及案例分享

关于溯源与反制的未来，辉哥认为，其一，在很大程度上会依赖反制进行溯源，因为事后进行溯源，需要收集的信息太繁杂，很费时费力；其二，如果在对方进行网络攻击时，我们就获取到了对方电脑的权限，我需要什么信息，就可以慢慢搜索微信、钉钉、企业微信等等，根据这些信息溯源会达到更好的反制效果。

案例一：事后反制

在一次攻防演练客户现场，我方作为总防，在公网部署了Weblogic蜜罐，在内网也搭建了AD域和漏洞服务，在溯源时，发现了其中一个攻击者的百度ID进而找到对应的网络ID，并且通过nps未授权漏洞直接登录到nps后台，就可以看到攻击者当前在攻击的目标单位。

案例二：事中反制

一次，给客户做了一个类似数据客户端的东西，把它放到数据平台的用户手册里面，测试账号密码都罗列好了，攻击者先通过最外层的沙箱如Weblogic沙箱，对方攻击进来之后，成功下载了用户手册和mark木马，在对方上线之后，我们成功获取到了攻击者的微信ID等信息。

案例三：只有溯源，没有反制

在一次攻防演练的后期，我们通过jsonp技术成功溯源到攻击者的百度ID，并进而获取到手机号、姓名等信息，甚至溯源到求学以及工作相关的经历，这属于纯溯源的案例。