攻擊IP的反搜查

公司有防火牆或是對外服務有做Log紀錄的,應該常常都有感覺,雖然看到了攻擊者的IP,只能盲目的阻擋,卻不知道對方到底是誰,是不是就是差了點什麼?

的確,在實際的攻擊行為當中,大部份都來自於各大電信商提供的動態IP,這種今天給你用用,明天給我用用的IP位置,如果特別在防火牆上手動設定阻擋IP的條件,在某個程度上來說擋的實在是有點雞肋(原因不贅述)。

雖然不管三七二十一,只要來打的一律都擋,單靠這招殺遍天下也不是不可行,但我們能不能用一些方式來去了解攻擊者是誰,再去決定是否要進行阻擋,這樣也能增加一點自己的資安實力。

案例一:越南某公司的郵件伺服器發出攻擊

這件事發生在8/25晚上,小編正為了九月份的考試,在圖書館裡看書,就看著我的手機發出了登錄錯誤的警告信,正在我想著應該過沒多久就會發出IP封鎖信時,果然就看到了。


 
正好念書念到有點煩,就拿這個IP來練練手,我們就來查查這個IP到底是誰吧!
 
 
第一步,找出來源國家,結果沒想到是從越南來的。


 
 
第二步,來看看能否做DNS反解到網域,結果還真的有回應,我們得到了一個郵件伺服器的位置。


 
 
利用網域正解再來查一次,確定我沒有被瞎唬弄。


 
 
第三步,來看一下網站吧!


 
 
有中文的網頁,看來是一家有規模的公司。


 
小編是很想發信去問,為什麼來測試我的站台,難道是想轉職,幫我做弱掃嗎?但信最後當然是沒有發,因為大概連他們自己網管也不知道,他們的郵件伺服務器被拿來當跳板了吧!

但這個案例很明確的證明一件事,這種IP的類型屬於固定IP (BJ4),二話不說就可以直接擋了。
 
 

案例二:來自美國的黑IP

 
這個案例是發生在8/26,這次的暴力密碼攻擊發生在我的郵件伺服器上。


 

 
 
第一步,跟上一案例一樣,繼續找出攻擊IP來源國家,這次發現是從美國來的。


 
 
第二步,這次DNS也有反解到網域,才在想說運氣怎麼會這麼好……


 
 
正解DNS果然就出問題了,不論次網域或主網域都找不到東西。


 
 
第三步,用google 搜尋該網域,結果在Block List的網站上對應到這個位置,顯然是已經被人通報過很多次了。


 
 
如果懶得用我上面的指令來查資訊的,這邊也可以幫你查IP的資訊


 
 
小編順便也來通報一下吧!


 
 
還可以查這個IP被通報的過往紀錄。


 
 
需要這個Block List網站的,連結在下面。

https://www.abuseipdb.com/
 
 

總結:

如果有時間的話,找IP的故事對管理者來說可以了解攻擊行為的來源及增加對資安的認識,也可以協助各位決定哪些IP是要做阻擋的,甚至如果攻擊來源是你信任的IP,也要查清楚原因,如此也可降低資安的風險。

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.