溯源反制溯源手册V2.0.pdfVIP

溯源手册

本溯源手册，分技巧与实战两大篇幅旨在帮助大家可以快速上手并在实战中运用，

也可充当字典的作用，在溯源过程中可以翻一翻，更全面的溯源，故某些内容可

能会简化。

技巧篇

通常情况下，接到溯源任务时，获得的信息如下

攻击时间

攻击IP

预警平台

攻击类型

恶意文件

受攻击域名/IP

2026

其中IP是溯源入手的点。

攻击、攻击类型、恶意文件、攻击详情

通过攻击类型分析攻击详情的请求包，看有没有攻击者特征，通过获取到的IP

地址进行威胁情报查询来判断所用的IP具体是代理IP还是真实IP地址。

如端口扫描大概率为个人vps或空间搜索引擎，在接到大量溯源任务时可优先溯

源。

如命令执行大概率为未经任何隐匿的网络、移动网络、接到脚本扫描任务的肉鸡，

在接到大量溯源任务时可优先溯源。

如爬虫大概率为空间搜索引擎，可放到最后溯源。

如恶意文件可获得c2地址、未删除的带有敏