防溯源防水表—APT渗透攻击红队行动保障

高质量的安全文章，安全offer面试经验分享

尽在 # 掌控安全EDU #

Hello各位~我是掌控安全学院的周末老师

背景

在重要的攻防对抗中进行前期的信息收集时，我们的各种渗透行为很有可能暴露自己的ip，导致们在后期进行渗透攻击行为时很容易被对方溯源，并且通过ip找到你。

作为攻击方来说，我们必须比防御者更注重自己的安全问题，在我们进行渗透行为时我们也必须保障自己的安全，否则从一开始我们可能就输了。

所以我们必须要有OPSEC的理念 ，OPSEC的全称是Operations security，即行动安全，这对我们来说尤为重要，所以我们的行为不能太粗糙，不要被轻易溯源。

ip溯源

网络攻击追踪溯源指的是利用各种手段追踪网络攻击的发起者，相关技术提供了定位攻击源和攻击路径，针对性反制或抑制网络攻击。首先当前的网络攻击溯源的第一层就是追踪溯源攻击主机，通常也称为ip追踪。

ip溯源是非常重要的一部分，它通过特殊的方式记录数据包的状态信息。当受害者受到入侵时，它可以重构出攻击路径，可信的找到入侵源，从而阻止正在发生的入侵行为。

所以我们要做的第一步就是尽量隐藏好自己的ip，保证自己不被溯源。

正文

如果我们直接用vps做服务器的话ip很容易就会泄露，从而导致被溯源，所以我们需要隐藏自己的ip，一般人首先想到的就是ip代理。

代理服务器最大的优点：不用购买硬件，投资减少，甚至可免费使用。 代理服务器缺点：必须开启代理服务器主机才行、机器使用性能会降低、还会受到一些功能限制等

经常更换，烦的要死！好的时候确实不错！

问题来了，代理ip这么多免费收费均存在，甚至每个代理软件质量都不大一样，要如何进行选择呢？

首先我们百度代理ip发现网上有各种socks和https，http代理，那我们首先对这个IP代理进行信息收集一波

我们找到了这些，有付费有免费（有的有免费试用期可以苟一波）

但是我们发现这个价格还是稍贵，免费的ip范围很小，且时长和ip数量达不到我们的要求

这条路走不通那怎么办呢？

我们通过秒拨来实现，于是我在某宝搞到了这个ROS双频路由器。

我们来看一下我们选择秒拨的理由

秒拨的思路就是用国内的家庭宽带拨号上网（PPPoE），每一次断线之后就会重新获取一个新的ip。

与时俱进的黑产掌握大量宽带线路资源，利用虚拟化和云计算的技术整体打包成了云服务，并利用ROS(软路由)对虚拟主机以及宽带资源做统一调配和管理。

这种云服务交付给黑产用户其实就是云主机（俗称”秒拨机“），这里我们用的就是不断切换的家庭宽带来掩护我们。

下面我们要做的就是构建一个自己的代理ip池，ros可以实现单线多播，我们再做一个负载均衡（想要研究的可以去看一下V**借线）

某宝给的有具体方法，可以问卖家。之后我们要做的事情就处理这些ip，我们需要一个能够记录IP数量、过滤重复IP，全自动实现IP重复后自动重拨的脚本，下面是效果图

一般电商平台上搜索“秒拨”，能看到不少拨号服务器动态换IP的商品

其功能介绍的核心内容大致为：

“多窗口独立IP，独立MAC";

"每个IP服务器后台都会自动生成一个独立的MAC码，有效防封”；

“支持每次登录游戏都自动变换IP， IP保证都是一个城市的，不会造成异地登录”；

“单机最少支持1000个动态IP”。

其技术原理，是以Ros软路由、RADIUS认证服务器搭建“秒拨”动态IP集群，整合全国各地的ADSL动态IP、服务器线路、云主机静态IP和国际互联网链路；

将多种网络IP资源捆绑集成，提供给下游用户使用，实现对用户原始IP的隐匿伪装，达到IP“秒级跳变”的效果。

“秒拨”动态IP提供的线路控制客户端，用以破解洞穿互联网行业的各类IP策略，可实现对其访问服务的源IP的“自动切换”、“秒级切换”、“断线重拨”、清理COOKIES缓存、虚拟网卡（MAC）信息、多地域IP资源调换。

到这里我们就实现了ip动态切换，达到了隐藏我们ip的目的。

最后

我们的目的是为了保障我们前期信息收集的行动安全，这里要保障的就是自己的ip不被泄露，用代理ip、秒拨的方式达到隐藏目的，以此保障大家渗透前期的行动安全。

最后希望大家”注意安全“，永不秃头！