ip-端口 nmap等工具
ip-域名 查到可能会不全,而且信息会一直变化,查到的信息需要进一步验证是否在时效内。
通用方法
参考ip访问后站点的https证书适用范围里的domain——证书配置异常时无效
微步在线——主要收集威胁情报
https://x.threatbook.com/v5/ip/x.x.x.x?source=top
在线工具
http://ip.yqie.com/iptodomain.aspx?ip=x.x.x.x
https://rapiddns.io/s/x.x.x.x#result
whois——信息有限
nslookup x.x.x.x——存在查不到但实际有的情况
参考:利用IP反查域名的几种方法 - 知乎 - https://zhuanlan.zhihu.com/p/382307227
【自动化】
依赖:可通过销售或者官网申请API key后,根据API 文档 - https://x.threatbook.com/v5/apiDocs 请求,查询到ip的威胁情报信息
输入:告警日志
操作:获取ip去重后的列表 对应调用接口获取情报信息
代码:已实现
效果:自动查询告警中源ip的威胁情报
限制:每天限制查询50次 1次可查100个。最好一次查询多个,避免浪费次数
频率情况:攻防演练期间、重保、周末、节假日调用量较高。
异常情况 代码调试或部署环境异常重启时会造成调用量增高
【其他取代方法】
注:IP地址归属判断的准确性取决于数据源的质量和更新频率,以及算法模型的准确性。
开源项目
KarStudio/BotDefender: 基于 IP 信誉的恶意攻击识别和阻止工具 - https://github.com/KarStudio/BotDefender
Loveforkeeps/ThreatReputationQuery: 基于威胁情报厂商服务平台API的即时Domain/IP/URL信誉查询系统 -https://github.com/Loveforkeeps/ThreatReputationQuery
Potato-py/getIpInfo: 将文本中含有的IP进行标记、添加IP物理位置标记,并进行输出。提取存在的外网IP,依赖奇安信威胁分析武器库进行批量自动化情报查询,展示IP信誉详情、实现检测详情、恶意详情以及数据统计,并输出xlsx表格。 - https://github.com/Potato-py/getIpInfo
NewBee119/Ti_Collector: 本项目致力于收集网上公开来源的威胁情报,主要关注信誉类威胁情报(如IP/域名等),以及事件类威胁情报。 - https://github.com/NewBee119/Ti_Collector
WHOIS查询
IP地址的:使用WHOIS查询工具,可以查找IP地址的注册信息。
企业专线通常会有专门的注册信息,
而云厂商可能会使用自己的注册信息。
住宅用户可能没有明确的注册信息。
通过查看注册信息,可以初步判断IP地址的归属。
ASN查询
使用ASN查询工具,可以查找IP地址所属的自治系统号(ASN)。
企业专线通常会有自己的ASN,
而云厂商也会有独立的ASN。
住宅用户通常会使用互联网服务提供商(ISP)的ASN。
通过查看ASN信息,可以初步判断IP地址的归属。
反向DNS查询
使用反向DNS查询工具,可以查找IP地址的域名。
企业专线和云厂商通常会有自己的域名,
而住宅用户可能没有明确的域名。
通过查看域名,可以初步判断IP地址的归属。
商业IP数据库
(如MaxMind、IP2Location等)
提供了详细的IP地址归属信息,包括企业专线、云厂商和住宅用户等分类。这些数据库通常会提供API或本地数据库文件,您可以根据IP地址查询其归属信息。
评论区