一、工具背景
背景:
1、通过白名单过滤功能,防止攻防期间误封客户业务IP。
2、在攻防演练期间,对于重保值守人员,某些客户要求对攻击IP都进行分析溯源,发现攻击IP的时候,需要针对攻击IP进行分析,如果有关键信息输出报告,针对该需求,产生了这个工具。
二、功能实现
实际功能是在去年发布的V1.2命令行版本上新增,核心功能通过溯源扩展,增加GUI。
1、可导入或单条添加自定义白名单,复制IP从白名单中进行过滤,单次最多支持1000IP;
2、支持对过滤后的非白名单IP一键溯源,主要溯源内容:归属地、端口、IP绑定域名、域名whois、域名ICP备案。
3、支持对溯源后的IP批量导出html报告、批量导出excel。
4、支持对溯源结果进行筛选、搜索、排查。
5、支持对过滤之后的白名单增加归属地复制。
三、主要功能
1、可以点击添加白名单按钮添加单条白名单。
2、如果需要导入多网段白名单,可以选择excel导入或者json导入:
点击到名单,选择已经编辑好的白名单
导入后会展示在白名单管理里面,选择状态可以将白名单禁用或启用。
注意:提取IP地址按钮是将输入的IP全部再次提取,不会经过白名单,如果要提取非白名单地址,请点击复制非白名单IP。
3、过滤IP:选择勾选归属地后,过滤之后可以点击复制非白名单地址,会将归属地放到IP地址后面。如果不需要归属地,则可以在复制前去掉显示归属地选项,提取IP地址是将所有IP地址全部提出,不经过白名单过滤。
4、点击溯源按钮后,会对输入的IP先进行过滤,然后将非白名单IP再进行溯源分析
5、溯源结果可以筛选绑定了域名的IP,还可筛选未绑定域名的IP,可以筛选后将其清空,如下图,可以选择指定IP导出溯源报告。
6、如果查询到了域名,icp等信息,都将在溯源报告中展示。
7、可将未溯源到域名的结果过滤后清空,只留下绑定了域名的IP。
8、如下图,IP溯源到了绑定的域名,然后域名查到了whois信息和ICP备案信息导出后的报告。
9、最后,可以在系统配置里面配置你需要扫描的端口信息和溯源线程数量、过滤线程数量
10、工具获取:关注公众号后,回复:ip溯源工具,即可获取下载链接
四、工具获取
https://github.com/xingyunsec/IPTraceabilityTool
原文始发于微信公众号(事件响应回忆录):蓝队值守利器-IP白名单过滤与溯源工具2.0GUI版本发布
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论