经常有朋友给我留言:我想学习安全技术,有什么快速的方法吗?其实我很想告诉他一个快捷的方法,可惜实在没有人。黑客技术需要很好的理解计算机、计算机网络、操作系统等课程的底层原理才可以深入,基础一定要打好。只要坚定就好。但是,请注意我必须说但是!虽然内功需要扎实的练习,但是快速学会几个打手势的动作还是可以的。今天我就教大家一些有用的东西。有了它们,你在遇到一些案例场景时也可以炫耀一下。
威胁情报世界各地每天都会发生无数的安全攻击。如果我们能够及时共享从这些攻击中提取的信息,我们就可以在这些攻击造成更大损失之前拦截它们的源头。这个东西其实就是威胁情报。威胁情报中的威胁信息称为IOC。常见的类型有:
IP地址
域名
网址
文件MD5/sha1/sha256
全球许多安全公司都建立了自己的威胁情报数据库。通过查询这些数据库,我们可以快速获得大量信息。首先我们来看看IP地址。众所周知,IP地址的数量是有限的。以IPv4为例,除去一些特殊地址,总共只有42亿多。我们都知道搜索引擎背后有一个爬虫,它专门爬行网站。还有一类爬虫,专门爬取IP地址。它一一爬取超过42亿个IP地址,然后一一爬取每个IP背后的65535个端口,并爬取它们打开的所有服务。通过爬取的信息,这类爬虫可以知道IP地址背后是否是Windows电脑、Macbook、Android手机、Linux服务器,甚至是摄像头、机器人、自动驾驶汽车……·有两个网站提供该信息的查询,分别是Shodan和ZoomEye。当我们遇到陌生的IP通信时,我们可以利用它们来查询并了解IP地址背后的信息。
ShodanShodan,国外网站,中文名:撒旦,是基督教中魔鬼的名字。顾名思义,这个网站相当恐怖、令人恐惧,可以挖掘出很多信息。
根据主页介绍,可以看到:Shodan是世界上第一个针对互联网连接设备的搜索引擎。当我们搜索上面的IP地址时,我们会看到这个IP背后的信息:
上面的地图显示了IP的地理位置。
ZoomEye 除了Shodan之外,国内还有一个类似的网站叫做ZoomEye,中文名:钟馗之眼,由国内公司智造创宇开发。
ZoomEye上提供的信息还显示了操作系统和软件版本信息:
除了IP 地址之外,whois 还经常在威胁情报中处理域名。事实上,无论是上面的Shodan还是ZoomEye,它们不仅可以查询IP地址,还可以查询域名。在查询域名的时候,必须提到一个重要的概念,就是whois信息。简单来说,whois就是一个用来查询域名是否被注册以及所注册域名的详细信息(如域名所有者、域名注册商)的数据库。可以提供whois信息查询的网站有很多,比如阿里云、站长之家等,下面以查询www.qq.com为例:
Whois信息可以获取域名注册时间、注册所在省份、注册人姓名、联系方式(电话、邮箱)等信息,对于溯源分析和社会工程研究非常有帮助。
除了IP地址和域名之外,VirusTotal文件是另一个重要的威胁情报信息。当我们在服务器上遇到可疑的电子邮件、附件或者陌生的进程文件时,如果我们不确定它们是否安全,我们可以使用VirusTotal进行分析。
这是一个集成了大量安全分析引擎、聚合了全球大量攻击样本文件信息的平台。如果您的示例文件在世界其他地方受到攻击,VirusTotal 可以快速告诉您此信息。
以上就是今天给朋友们介绍的全部内容。下次当你遇到可疑的IP、域名或文件时,你知道去哪里查找吗?