一、渗透测试行动的蜜罐反制

（1）商用型

近年来越来越多的厂商选择部署商用蜜罐来诱导攻击者，衡量蜜罐好坏的关键因素为诱捕能力，即为诱惑捕捉能力。利用蜜罐可以做到：获取攻击者的P（真实IP，代理IP等）、ID、操作系统、设备信息等，也可通过诱饵进行钓鱼反制。蜜罐常见形式可以直观的分为web页面型，命令行型，windows型等。

web页面例如weblogic、phpmyadmin、crm等，攻击者可进行弱口令登陆，暴力破解，历史漏洞，后台shell等，蜜罐页面中会插入溯源jsonp，例如百度、163、腾讯、新浪的对攻击者的ID进行溯源蓝队也可以根据这个思路自己收集一些jsonp用于自制蜜罐中。web型蜜罐的识别方法为查看数据包，如果数据包中出现了很多的不属于该网站的js信息，很大程度上为蜜罐。另外溯源js经常会在页面上产生一个细小的像素点，通过像素点也可以来判断是否踩到了蜜罐。

命令行的例如redis（最常见也是攻击者最容易踩到的）、ssh等，此类获取到的信息偏向于IP，对于ID有一定难度。windows蜜罐例如win7，xp等，其中包含一些历史漏洞，可以对攻击者进行反制。

现在的蜜罐除了上述的基本功能外，都有一些自己的花样，例如诱饵（邮件诱饵，github等），反制诱饵等。这里的反制诱可以理解为红队的钓鱼文件，例如在某网站下载链接嵌入一个反制exe，当攻击者点开始便可获得攻击者电脑权限，利用查看文件等操作溯源，从而达到反制的目的。

（2）开源型

比较出名的开源蜜罐有beef、hfish等，beef自带功能强大，可以部署出一套完整的蜜网来进行迷惑攻击者。

钓鱼邮件溯源，红队有时会采用钓鱼邮件的方式来进行攻击，一些安全意识薄弱的员工便会打开该邮件从而上钩，如果钓到了运维，并且运维电脑上存有未加密的公司服务器信息等，可以说差不多是沦陷。攻击者在伪造钓鱼邮件时，有时出于疏忽，会泄露自己的邮件服务器地址，从而被溯源，下边来看一个例子。红队在发送邮件诱饵时，没有进行伪造，导致自己的邮件服务器泄露，从而被蓝队溯源到真人。

三、IP进行溯源

在对入侵IP进行分类时发现一个IP，应该为攻击者的代理断掉了，通过微步等工具进行信息查询发现其备案域名，域名指向某公司，接下来对域名进行whois，根据邮箱手机号进行社工库查询，从而获取攻击者信息。

四、红队遗留工具进行溯源

案例1、某单位服务器沦陷，登上服务器对其进行溯源，在e盘找到了红队人员自己编写的工具，上边留有攻击者qq，在社工库中进行查询从而溯源获取红队真实身份信息，案例2、对攻击者上传的工具进行分析，物理路径中包含了文件的名称。

在github进行搜索找到该项目和攻击者ID，

在知乎，微博等平台对该用户进行搜索综合，或者利用支付宝微信转账的方式获取攻击者真实信息。