牛逼！學(xué)會這幾招，你也可以變強(qiáng)

經(jīng)常有小伙伴給我留言：我想學(xué)安全方面的技術(shù)，有沒有什么速成的辦法？

其實我很想告訴他速成的辦法，但遺憾的是真的沒有，黑客技術(shù)需要對計算機(jī)底層原理、計算機(jī)網(wǎng)絡(luò)、操作系統(tǒng)等課程有相當(dāng)了解的基礎(chǔ)上才能有所深度，還得要把基礎(chǔ)打扎實才行啊。

但是，注意我要說但是了！

雖然內(nèi)功需要扎實修煉，但是快速學(xué)幾個招式來比劃比劃還是可以的，今天就教給大家?guī)讉€有用的東西，有了它們，遇到一些案例場景的時候，你也可以來秀一秀。

威脅情報

全球每天在發(fā)生無數(shù)安全攻擊事件，如果我們能及時共享這些攻擊事件中提取的信息，就能在攻擊造成更大范圍的損失之前，對這些攻擊源進(jìn)行攔截阻止。

這個東西其實就是威脅情報。

威脅情報中的威脅信息，叫IOC，常見的類型有：

• IP地址
• 域名
• URL
• 文件MD5/sha1/sha256

全球有很多安全公司都有建立自己的威脅情報數(shù)據(jù)庫，通過查詢這些數(shù)據(jù)庫，我們能快速獲取很多信息。

首先來看IP地址，眾所周知，IP地址的數(shù)量是有限的，就拿IPv4來說，總共也就42億多個，還要除開其中一些特殊的地址。

我們都知道搜索引擎背后有一個爬蟲，專門爬網(wǎng)站的。還有一類爬蟲，專門爬IP地址，42億多個IP地址挨個爬，再對每個IP背后的65535個端口挨個爬，爬它們開放的所有服務(wù)。通過爬取的信息，這類爬蟲能夠知道這個IP地址背后是一個Windows電腦，還是一個Macbook，是一個Android手機(jī)，還是一個Linux服務(wù)器，甚至是一個攝像頭、一個機(jī)器人、一輛自動駕駛的汽車···

有兩個網(wǎng)站提供這些信息的查詢，分別是Shodan和ZoomEye。當(dāng)我們遇到陌生的IP通信時，就可以通過它們來查詢了解一下這個IP地址背后的信息。

Shodan

Shodan，國外的網(wǎng)站，中文名：撒旦，是基督教中魔鬼的名字。這個網(wǎng)站名如其名，相當(dāng)恐怖和可怕，能挖掘到很多信息。

根據(jù)主頁介紹可以看到：Shodan是世界上第一個聯(lián)網(wǎng)設(shè)備的搜索引擎。

當(dāng)我們在上面搜索IP地址時，將為我們展現(xiàn)這個IP背后的信息：

上面的地圖展示了IP所在的地理位置。

ZoomEye

除了Shodan，國內(nèi)也有一個類似的網(wǎng)站，叫做ZoomEye，中文名：鐘馗之眼，由國內(nèi)的知道創(chuàng)宇公司研發(fā)。

ZoomEye上提供的信息還顯示了操作系統(tǒng)和軟件版本信息：

whois

除了IP地址，威脅情報中經(jīng)常會打交道的還有域名。其實，上面的Shodan也好，ZoomEye也好，他們除了能查詢IP地址，還能查詢域名。

查詢域名，一個重要的概念不得不提，那就是whois信息。簡單來說，whois就是一個用來查詢域名是否已經(jīng)被注冊，以及注冊域名的詳細(xì)信息的數(shù)據(jù)庫（如域名所有人、域名注冊商）。

有很多網(wǎng)站都可以提供whois信息查詢，比如阿里云、站長之家等等。

下面以查詢www.qq.com為例：

whois信息可以得到域名注冊時間、注冊所在省份、注冊人名字、聯(lián)系方式（電話、郵箱）等等信息，這對于溯源分析和社會工程學(xué)調(diào)研都非常有幫助。

VirusTotal

除了IP地址、域名以外，文件是另一個重要的威脅情報信息。

當(dāng)我們遇到可疑的郵件、附件，服務(wù)器上陌生的進(jìn)程文件時，如果拿不準(zhǔn)是不是安全，可以借助VirusTotal進(jìn)行分析。

這是一個集成了大量安全分析引擎的平臺，匯總了全球大量的攻擊樣本文件信息，如果你的樣本文件曾經(jīng)在世界上別的地方做過攻擊，那VirusTotal能很快告訴你這一信息。

以上就是今天為小伙伴們介紹的全部內(nèi)容了，下次遇到可疑的IP、域名、文件，知道該去哪里研究了吧？

下一次想看什么，歡迎評論區(qū)留言告訴我~

往期推薦

急死！CPU被挖礦了，卻找不到哪個進(jìn)程！

年輕人不講武德，居然在簡歷中藏木馬！

打錢！我的數(shù)據(jù)庫被黑客勒索了！