威胁情报

全球每天在发生无数安全攻击事件，如果我们能及时共享这些攻击事件中提取的信息，就能在攻击造成更大范围的损失之前，对这些攻击源进行拦截阻止。

这个东西其实就是威胁情报。

威胁情报中的威胁信息，叫IOC，常见的类型有：

IP地址
域名
URL
文件MD5/sha1/sha256

全球有很多安全公司都有建立自己的威胁情报数据库，通过查询这些数据库，我们能快速获取很多信息。

首先来看IP地址，众所周知，IP地址的数量是有限的，就拿IPv4来说，总共也就42亿多个，还要除开其中一些特殊的地址。

我们都知道搜索引擎背后有一个爬虫，专门爬网站的。还有一类爬虫，专门爬IP地址，42亿多个IP地址挨个爬，再对每个IP背后的65535个端口挨个爬，爬它们开放的所有服务。通过爬取的信息，这类爬虫能够知道这个IP地址背后是一个Windows电脑，还是一个Macbook，是一个Android手机，还是一个Linux服务器，甚至是一个摄像头、一个机器人、一辆自动驾驶的汽车···

有两个网站提供这些信息的查询，分别是Shodan和ZoomEye。当我们遇到陌生的IP通信时，就可以通过它们来查询了解一下这个IP地址背后的信息。

Shodan

Shodan，国外的网站，中文名：撒旦，是基督教中魔鬼的名字。这个网站名如其名，相当恐怖和可怕，能挖掘到很多信息。

根据主页介绍可以看到：Shodan是世界上第一个联网设备的搜索引擎。

当我们在上面搜索IP地址时，将为我们展现这个IP背后的信息：

上面的地图展示了IP所在的地理位置。

ZoomEye

除了Shodan，国内也有一个类似的网站，叫做ZoomEye，中文名：钟馗之眼，由国内的知道创宇公司研发。

ZoomEye上提供的信息还显示了操作系统和软件版本信息：

whois

除了IP地址，威胁情报中经常会打交道的还有域名。其实，上面的Shodan也好，ZoomEye也好，他们除了能查询IP地址，还能查询域名。

查询域名，一个重要的概念不得不提，那就是whois信息。简单来说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。

有很多网站都可以提供whois信息查询，比如阿里云、站长之家等等。

下面以查询www.qq.com为例：

whois信息可以得到域名注册时间、注册所在省份、注册人名字、联系方式（电话、邮箱）等等信息，这对于溯源分析和社会工程学调研都非常有帮助。

VirusTotal

除了IP地址、域名以外，文件是另一个重要的威胁情报信息。

当我们遇到可疑的邮件、附件，服务器上陌生的进程文件时，如果拿不准是不是安全，可以借助VirusTotal进行分析。

这是一个集成了大量安全分析引擎的平台，汇总了全球大量的攻击样本文件信息，如果你的样本文件曾经在世界上别的地方做过攻击，那VirusTotal能很快告诉你这一信息。

以上就是今天为小伙伴们介绍的全部内容了，下次遇到可疑的IP、域名、文件，知道该去哪里研究了吧？

linux 网站

上一篇：kali破解wifi握手包-GPU破解，速度翻番好几倍
下一篇：黑客通过Kali Linux设置一个钓鱼网站原来这么简单

推荐两个关于安全的使用网站，使用后感觉太可怕了

威胁情报

Shodan

ZoomEye

whois

VirusTotal

相关推荐

为什么有人认为Linux不如macOS?

linux系统实用篇-8、系统配置与优化

Linux中如何启用root用户

6款Linux常用远程连接工具，你最中意哪一款?

如何远程执行Linux命令和脚本?大技霸来教你

Windows如何远程linux(桌面版)

执手的Linux运维小知识:sshpass工具简化ssh密码输入

如何使用 Linux find 命令查找文件?

Rackspace的所有平台将支持Ubuntu Linux

这次答应我，一举拿下 I/O 多路复用