IP研判的一个tips

昨天偶然想到的一个思路

 假设这样一个场景，某个IP地址突然对我方单位发起一次比较恶劣的攻击行为，但是呢，不清楚该IP是否具备溯源价值

于是我对这个IP查了下威胁情报【大厂的威胁情报都可以查一查，做个对比】：

https://x.threatbook.cn/             

标签为：傀儡机、垃圾邮件

端口开放情况：

80、443、8443     

看起来好像没啥问题，都是常规的web服务端口，不过访问后，发现这些端口目前都关闭了。

https://ti.360.cn/

提示是个代理

 

 

在通过网络空间搜索引擎分析下该IP开放的端口

1. fofa，没有数据
2. censys，开放一个端口，并且和我之后扫描出来的端口开放结果符合，但是协议识别有问题，http，并且获取了banner信息【HTTP/1.0 400 Bad Request     Client sent an HTTP request to an HTTPS server】。
3. zoomeye，显示的历史开放端口xx【与情报显示的开放端口不一致，19年7月的数据】，通过此端口的server信息，在搜索引擎检索，为代理服务器的软件。
4. shodan，显示的开放端口和情报上一致，但是没有显示端口对应banner或者ssl证书的相关信息。

最后还是选择扫描一下全端口

就开放了个某端口，识别出来该证书名

dallas410

拿着再去上述4大空间搜索引擎下检索

1. fofa，cert=""
2. 钟馗之言和shodan一样的语法，ssl:""

均可搜到该证书信息，其中有个email信息

 

secure@privateinternetaccess.com

拿出来搜索引擎检索下，发现是个vpn，还是个匿名的

 

 到此为止，对该IP也基本有了认知，就是一个vpn，对其溯源没有啥价值，如果师傅有更好的建议或者觉得文章那里有些问题，恳请在评论中斧正。