IP溯源实验_知道一个ip是阿里云资源,如何溯源

概述

  测试对象：阿里云某服务器IP，购买了域名但没有备案。

  目标：找到该IP使用人的个人信息。手机号、邮箱、身份证三者得其一。

  Whois查询：查看域名的当前信息状态，包括域名是否已被注册、注册日期、过期日期、域名状态、DNS解析服务器等。

  相关站点：
IP定位：http://www.ipip.net/ip.html，城市级数据，通过经纬度定位到省份或城市。
站长工具：http://ip.tool.chinaz.com，查IP可以看区县级数据。whois查询。
微步情报https://x.threatbook.cn
政府ICP/IP地址/域名信息备案管理系统：https://beian.miit.gov.cn

  总结：只拿到了注册人的姓名拼音，没有拿到实质性的邮箱、手机号、身份证号等。

溯源过程

微步-拿到域名

  微步查询IP地址，查询到解析域名，即服务器购买但未备案使用的域名。
使用微步查域名，在whois的注册机构信息中找到姓名拼音，但没有邮箱和联系电话。

站长工具-无战果

  站长工具查IP：http://ip.tool.chinaz.com，查到运营商是阿里巴巴。
  IP-whois查询：站长工具http://tool.chinaz.com/ipwhois/，只能查到阿里云的邮箱。
  查询Internet Content Provider（网络内容提供商备案查询，简称ICP），输入域名，提示“未备案或备案取消”。

ICP/IP地址/域名信息备案管理系统-无战果

  在备案管理系统查询IP地址、域名地址，返回“暂无数据”。

阿里云客服

  采用投诉的方式，声称遭到恶意攻击，接到客户电话，没能获得个人信息。

经典溯源

蜜罐溯源

  攻防场景：在企业内网部署蜜罐去模拟各种常见的应用服务，诱导攻击者攻击。

  溯源方式：在攻击者入侵蜜罐时，蜜罐可以记录攻击者的入侵行为，获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

参考

  《【学习笔记】记一次服务器入侵溯源 | FreeBuf × 破壳学院训练营》，2019-04
https://www.cnblogs.com/linuxsec/articles/10777861.html