定位IP地址:如何确认网络攻击的来源
确定攻击来源的最佳方法
众所周知,即使攻击日志显示源IP地址来自特定国家,也未必能将其归因于该国。是否有更有效的方法来识别攻击来源?
攻击源定位的局限性与替代方案
除非与执法部门合作或有特定原因,否则确定攻击来源可能不值得投入精力。无论如何,定位IP地址只能提供有限的信息来阻止攻击——除了封锁源IP或源网络外别无他法。然而,如果攻击系统使用DHCP、代理、受感染系统、VPN、Amazon EC2或其他可以更改源IP的方法,封锁源IP将无效。此外,基于IP或子网的封锁需要持续维护,因为IP段会逐渐变化。
相比定义不允许连接的来源(即黑名单),定义允许连接的来源(即白名单)可能更为简便。这对于必须向公众开放的Web服务器或服务可能不可行,但对于需要有限互联网访问的内部系统,定义来源是可行且更安全的选择。这并不意味着在攻击期间不应封锁使用的IP,但需要理解黑名单和白名单的价值。
深入追踪攻击者来源
如果确实需要将攻击归因于某个国家,可以分析攻击中使用的反编译二进制文件,查找注释中的语言线索、软件报告的状态消息、通信日志、键盘映射、包含语言配置的操作系统版本或时区设置。这些设置可以提供有关攻击者的信息。