- 1
- 0
- 约2.74千字
- 约 6页
- 2026-07-17 发布于湖南
- 举报
应急溯源常见面试题
1.在护网中发现攻击者通过伪造IP发起攻击,如何尝试获取真实攻击源?
答案:
·TCP协议溯源:利用TCP协议三次握手特性,若攻击流量为TCP协议,可通过防火墙或流量设备捕获完整握手包,提取真实源IP(需确保设备开启tcp-syncookies防御)
·应用层日志分析:检查Web服务器日志(如Nginx/Apache),攻击者可能遗留XFF(XForwarded-For)、User-Agent等字段信息。
·反连技术:部署诱饵文件或链接(如伪造敏感文档、漏洞利用链接),诱导攻击者触发对指定服务器的反向连接,记录连接IP.
·威胁情报关联:比对攻击工具特征(如CobaltStrike证书、C2域名)与开源威胁情报平台(VirusTotal、微步在线),定位关联APT组织
2.如何通过DNS隐蔽隧道攻击的流量特征进行溯源?
答案:
流量特征检测:
高频DNS请求:检测异常域名请求频率(如单IP每秒数十次请求)
长域名或随机子域:例如结合威胁情报验证域名是否恶意,
请求类型异常:大量TXT或NULL记录查询。
溯源步骤:
a.提取DNS请求中的域名,通过WHOIS查询注册信息,关联攻击者邮或手机号
b.分析域名解析IP,定位C2服务器,结合服务器日志(如Apache访问日志)获取攻击者管理IP。
c.部署DNSSinkhole,将恶意域名解析到可控IP,记录连
原创力文档

文档评论(0)