防溯源防水表——APT渗透攻击红队行动保障

阅读量    134343 | 评论 3

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

Hello各位~我是掌控安全学院的周末老师

背景

在HW攻防对抗中我们进行前期的信息收集时,我们的各种渗透行为很有可能暴露自己的ip,导致们在后期进行渗透攻击行为时很容易被对方溯源,并且通过ip找到你。

作为攻击方来说,我们必须比防御者更注重自己的安全问题,在我们进行渗透行为时我们也必须保障自己的安全,否则从一开始我们可能就输了。所以我们必须要有OPSEC的理念 ,OPSEC的全称是Operations security,即行动安全,这对我们来说尤为重要,所以我们的行为不能太粗糙,不要被轻易溯源。

img

 

ip溯源

网络攻击追踪溯源指的是利用各种手段追踪网络攻击的发起者,相关技术提供了定位攻击源和攻击路径,针对性反制或抑制网络攻击。首先当前的网络攻击溯源的第一层就是追踪溯源攻击主机,通常也称为ip追踪。

img

ip溯源是非常重要的一部分,它通过特殊的方式记录数据包的状态信息。当受害者受到入侵时,它可以重构出攻击路径,可信的找到入侵源,从而阻止正在发生的入侵行为。

所以我们要做的第一步就是尽量隐藏好自己的ip,保证自己不被溯源。

 

正文

如果我们直接用vps做服务器的话ip很容易就会泄露,从而导致被溯源,所以这里我们需要隐藏自己的ip,那么我们首先想到的就是ip代理。

代理服务器最大的优点:不用购买硬件,投资减少,甚至可免费使用。
代理服务器缺点:必须开启代理服务器主机才行、机器使用性能会降低、还会受到一些功能限制等
经常更换,烦的要死!好的时候确实不错!

这个时候问题来了,代理ip这么多免费收费均存在,甚至每个代理软件质量都不大一样,要如何进行选择呢?

首先我们百度代理ip发现网上有各种socks和https,http代理,那我们首先对这个IP代理进行信息收集一波

img

img

我们找到了这些,有付费有免费(有的有免费试用期可以苟一波),但是我们发现这个价格还是稍贵,免费的ip范围很小,且时长和ip数量达不到我们的要求

img

这条路走不通那怎么办呢?

这个时候一位热心的网友告诉了可以用秒拨来实现,于是我在某宝搞到了这个ROS双频路由器

我们来看一下我们选择秒拨的理由,秒拨的思路就是用国内的家庭宽带拨号上网(PPPoE),每一次断线之后就会重新获取一个新的ip,与时俱进的黑产掌握大量宽带线路资源,利用虚拟化和云计算的技术整体打包成了云服务,并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理。这种云服务交付给黑产用户其实就是云主机(俗称”秒拨机“),这里我们用的就是不断切换的家庭宽带来掩护我们。

img

下面我们要做的就是构建一个自己的代理ip池,ros可以实现单线多播,我们再做一个负载均衡(想要研究的可以去看一下vpn借线),某宝给的有具体方法,可以问卖家。之后我们要做的事情就处理这些ip,我们需要一个能够记录IP数量、过滤重复IP,全自动实现IP重复后自动重拨的脚本,下面是效果图,

img

一般电商平台上搜索“秒拨”,能看到不少拨号服务器动态换IP的商品,其功能介绍的核心内容大致为:“多窗口独立IP,独立MAC,每个IP服务器后台都会自动生成一个独立的MAC码,有效防封”;“支持每次登录游戏都自动变换IP, IP保证都是一个城市的,不会造成异地登录”;“单机最少支持1000个动态IP”。

其技术原理,是以Ros软路由、RADIUS认证服务器搭建“秒拨”动态IP集群,整合全国各地的ADSL动态IP、服务器线路、云主机静态IP和国际互联网链路,将多种网络IP资源捆绑集成,提供给下游用户使用,实现对用户原始IP的隐匿伪装,达到IP“秒级跳变”的效果。

“秒拨”动态IP提供的线路控制客户端,用以破解洞穿互联网行业的各类IP策略,可实现对其访问服务的源IP的“自动切换”、“秒级切换”、“断线重拨”、清理COOKIES缓存、虚拟网卡(MAC)信息、多地域IP资源调换。

img

到这里我们就实现了ip动态切换,达到了隐藏我们ip的目的。

 

最后

我们的目的是为了保障我们前期信息收集的行动安全,在这里我们要保障的就是自己的ip不被泄露,这里我们的思路就是用代理ip的方式,我们在网上找的那些因为上述因素都不满足我们的需求。最终只有自己动手,用秒拨的方式去达到了隐藏我们ip的目的,以此保障了我们渗透前期的行动安全。最后希望大家”注意安全“,永不秃头!

img

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多