ip地址跳转后如何溯源

溯源思路：
1、攻击源捕获
安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等
日志与流量分析，异常的通讯流量、攻击源与攻击目标等
服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等
邮件钓鱼，获取恶意文件样本、钓鱼网站URL等
蜜罐系统，获取攻击者行为、意图的相关信息
2、溯源反制手段
21 IP定位技术
根据IP定位物理地址—代理IP
溯源案例：通过IP端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息
22 ID追踪术
ID追踪术，搜索引擎、社交平台、技术论坛、社工库匹配
溯源案例：利用ID从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息
23 网站url
域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护
溯源案例：通过攻击IP历史解析记录/域名，对域名注册信息进行溯源分析
24 恶意样本
提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析
溯源案例：样本分析过程中，发现攻击者的个人ID和QQ，成功定位到攻击者。
25 社交账号
基于JSONP跨域，获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
利用条件：可以找到相关社交网站的jsonp接口泄露敏感信息，相关网站登录未注销
3、攻击者画像
31 攻击路径
攻击目的：拿到权限、窃取数据、获取利益、DDOS等
网络代理：代理IP、跳板机、C2服务器等
攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
32 攻击者身份画像
虚拟身份：ID、昵称、网名
真实身份：姓名、物理位置
****：手机号、qq/微信、邮箱
组织情况：单位名称、职位信息

---