入侵溯源服务

计算机网络追踪溯源技术指的是通过计算机网络定位攻击源地址的技术， 它涉及到的机器包括攻击者、被攻击者、跳板、僵尸机、反射器等。

• 攻击者(ARacker Host)指发起攻击的真正起点，也是追踪溯源希望发现的目标。

• 被攻击者(Victim Host)指受到攻击的主机，也是攻击源追踪的起点。

• 跳板机(Stepping Stone)指已经被攻击者危及，并作为其通信管道和隐藏身份的主机。

• 僵尸机(Zombie)指已经被攻击者危及，并被其用作发起攻击的主机。

• 反射器(Reflector)指未被攻击者危及，但在不知情的情况下参与了攻击。 

入侵溯源服务是指通过技术手段确定网络攻击者身份或位置及其中间介质的过程。身份指攻击者名字、帐号或与之有关系的类似信息；位置包括其地理位置或虚拟地址：如IP地址、MAC地址等。追踪溯源过程还能够提供其他辅助信息，比如攻击路径和攻击时序等。

通过入侵溯源服务可以帮助网络管理者定位真正的攻击源，以采取多种安全策略和手段，从源头抑制，防止网络攻击带来更大破坏，并记录攻击过程，为司法取证提供必要的信息支撑。

（1）攻击者是谁，有什么样的背景？

（2）攻击者的目的是什么？

（3）攻击者用的什么样的攻击手段？

（4）攻击者用的什么样的攻击工具？

（5）攻击过程是怎样的？

最终协助客户在确认根源后，根据信息系统弱点报告进行安全加固指导，避免系统遭受二次攻击

入侵溯源的流程：

在签订服务合同后，为保障客户的利益，联旭科技将同时和客户签订相应的保密协议。确定双方的权利和责任后，将按照下图所示流程进行入侵溯源服务实施。

入侵溯源服务的内容

1、了解现状

根据客户的要求，联旭科技提供的入侵溯源服务分为实时溯源服务以及事后溯源服务二种模式。实时溯源是指在网络行为发生过程中，寻找事件的发起者。事后溯源是指网络行为发生以后，依据相关设备上的日志信息查找事件的发起者 。

提供的入侵溯源服务人员会根据客户描述的现象进行网络和怀疑受到攻击的业务系统进行初步分析和判断，并了解实际情况和疑似受到攻击系统的网络拓扑和安全设备部署情况等基础信息。

2、收集信息

根据前期了解的基本情况，收集客户的详细网络架构、业务系统架构、网络设备日志、业务系统日志、主机日志、数据数日志等相关的信息。

3、制定方案

根据前期所收集的信息，以及事件的紧急程度和影响范围大小及业务系统的重要程度，参照网络安全相关的技术手段，，制定本次入侵溯源服务实施方案，并与客户共同确认方案的可靠性和可行性。

4、溯源实施

依照与客户共同确认的入侵溯源方案，按步骤进行入侵溯源实施，通过对日志的分析和过滤，结合IP库、黑客工具指纹库、黑客攻击手法库以及其他互联网安全厂商共享的资源，采用诸如分组标记溯源法（节点取样技术、非IP地址标记技术等）、发送特定ICMP溯源法、日志记录溯源、链路测试溯源等方法进行入侵反追踪的实施。进而了解并能知道攻击者的目的背景以及攻击者是谁。

5、整理证据

 在完成溯源实施后，服务人员会记录下攻击者的历史记录,也就是所谓的黑客“指纹”入库。通过对攻击者的行为进行分析匹配，包括攻击者使用的IP地址、服务器位置、开放哪些端口、是否存在“黑客IP”数据库内，通过还原攻击者的整个攻击过程，纪录攻击者的指纹信息入库，帮助攻击溯源进行取证。

6、封堵漏洞

在收集和整理完黑客入侵证据后，服务人员针对在溯源过程中发现的(诸如漏洞、弱密码、权限过大、违规外连等)问题，提出对应的解决办法，并经过与客户的讨论后，进行漏洞的封堵，以免这些漏洞被二次利用。

7、总结

针对具体的网络入侵溯源服务项目，在完成溯源之后，将整个溯源的过程和相关信息进行整理，编制成相应的总结报告。一方面是便于客户进行事件证据归档，另一方面的便于客户在后续的信息安全管理和维护中有一个案例学习和参考，便于客户自身的信息安全技能的提升。

您的收益：

1) 快速发现和定位入侵所在，减少所受到的损害。

2) 完善的证据收集手段，为您提供必要的法律证据。

3) 有效的加固建议，避免系统二次受到入侵，降低经济损失。