【安全百科】《威胁情报小百科》第5期:几张小手工画告诉你什么是IP情报
干货满满的《威胁情报小百科》第5期来了,每周一点小知识,本期主题是IP情报。
5个维度开启本期百科:1、什么是IP情报?2、IP情报包含哪些维度?3、IP情报的作用?4、我们积累了多少IP情报?5、如何在我们的TI平台查询域名情报?
一、什么是IP情报
IP情报是指:通过基于IP视角衍生或积累出各种维度的数据。
简单说下IP的含义:IP地址被用来给Internet上的电脑一个编号。大家日常见到的情况是每台联网的PC上都需要有IP地址,才能正常通信。
(PS:IP地址可不是终身号码)
IP和域名的关系?
如果把IP比作一个人住址的“门牌号”,域名就好比个人的名字,通过这个人的名字,找到他的住址,然后获取他的信息。
拿威胁情报TI平台首页举例:输入后查找域名ti.dbappsecurity.com.cn,
根据网络协议,利用DNS域名解析服务器,解析出对应的IP地址为“115.236.55.100”,找到对应的服务内容,返回页面信息供你查看。
链路如下:
输入域名----域名解析服务器(dns)解析成ip地址---访问IP地址---完成访问的内容---返回信息
二、IP情报包含哪些维度?
IP情报的维度数据有:相关威胁情报、地理位置、ASN、相关解析域名、相关URL、相关通讯样本、相关事件情报、网络类型、用户类型、开放端口、数字证书等。
(通过一个IP地址,可以深度分析多维度数据)
三、IP情报的作用?
*IP对于黑客来说,是一种进行网络攻击的资源。
每台服务器上都有IP才能互相通信,如C2服务器:黑客利用病毒木马,使目标机器可以单独发起连接请求,发送回攻击者机器,在该机器上C2服务器正在打开/侦听端口上运行/侦听。 一旦成功,攻击者就可以根据C2服务器的效率来访问受害计算机上的任何内容。
* IP对于防御来说,是一种进行网络防护的对象。
- 如区分黑IP(如恶意IP等)、白IP、风险IP(如扫描IP等);
- 找出历史解析域名,相关URL地址,相关事件等,多维度分析威胁情报。
四、我们积累了多少IP情报?
(1)安恒威胁情报中心拥有42+亿IP基础数据;
(2)我们积累了2000+万恶意IP情报。
五、如何在我们的TI平台查询IP情报?
1.登录威胁情报TI首页:https://ti.dbappsecurity.com.cn/
2.搜索框输入想查询的IP:
3.点击查询,获得你需要的IP情报:
开源情报、通讯样本、相关URL、相关事件、历史解析域名、开放端口,可视化……你想知道的,这里都有~
还可以与网友进行情报评论互动,快来探索一下!
威胁情报TI首页:https://ti.dbappsecurity.com.cn
以上就是IP情报的基本知识点,下期你们想了解什么?