概述
测试对象:阿里云某服务器IP,购买了域名但没有备案。
目标:找到该IP使用人的个人信息。手机号、邮箱、身份证三者得其一。
Whois查询:查看域名的当前信息状态,包括域名是否已被注册、注册日期、过期日期、域名状态、DNS解析服务器等。
总结:只拿到了注册人的姓名拼音,没有拿到实质性的邮箱、手机号、身份证号等。
溯源过程
微步-拿到域名
站长工具-无战果
站长工具查IP:http://ip.tool.chinaz.com,查到运营商是阿里巴巴。
IP-whois查询:站长工具http://tool.chinaz.com/ipwhois/,只能查到阿里云的邮箱。
查询Internet Content Provider(网络内容提供商备案查询,简称ICP),输入域名,提示“未备案或备案取消”。
ICP/IP地址/域名信息备案管理系统-无战果
阿里云客服
采用投诉的方式,声称遭到恶意攻击,接到客户电话,没能获得个人信息。
经典溯源
蜜罐溯源
攻防场景:在企业内网部署蜜罐去模拟各种常见的应用服务,诱导攻击者攻击。
溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。
参考
《【学习笔记】记一次服务器入侵溯源 | FreeBuf × 破壳学院训练营》,2019-04
https://www.cnblogs.com/linuxsec/articles/10777861.html
