公司系统被攻击

背景

最近公司 web 应用系统（部署在 aliyun ）被攻击。索性以前做过等保也或许是因为发现的及时，ban 了对方 ip ，所以没出啥事儿。但事后复盘还是有点不爽，想问问诸位大佬，在安全、风控之类的事情上是怎么做的。

疑问

我该如何通过已有的对方 ip 知道对方是什么样的公司 or 人（目前 aliyun 已经反馈那一批 ip 都是一个公司的，但涉及隐私，无法告知公司名称）。结合一些对方渗透的手段，我们怀疑可能跟公司内部信息泄露（比如离职员工）有关，所以比较好奇对方的信息。不过这个好像涉及黑产了，应该正常渠道是获取不到的，如果有门路的老哥，可以提点下老弟。
大家有用到哪些封控产品或者阅读过哪些和风控 or 监控 or 安全相关的文章，欢迎分享。
- 我知道的 aliyun 有 WAF （应用防火墙），不过在上述事情上面，waf 没有发挥任何作用。。。
- 还有一些比如类似代理的产品（就是流量会经过它，它会对 ip 进行甄别），好像也都没啥用，感觉还是得有一套针对用户行为分析的东西。

xguanren

40 天前

你要知道他做了什么才能去做防护手段呀.先打好日志.做好蜜罐,看看对方究竟是使用了什么手段吧.因为你没有说对方究竟是干了什么.是爬取信息了还是入侵攻击你们了.还是 ddos cc 你们了..对方不出拳.你去猜测对方使用了什么功法.你怎么知道呢...无非就是前期上一些通用规则呗.就好像你说的 aliyun 的 waf 经过很多年发展.内置了一套模型去甄别.但是具体还是要看你们公司遭遇了什么

whileFalse

40 天前

我对 aws waf 比较熟，aws 中暴力破解可以用访问频率限制防住，注入可以用标准的反注入规则防，路径遍历和漏洞基本就不归 waf 管了，但可以通过 ip 白名单等其他方式提高安全性。能防住的这些也要根据你的业务去针对性的设置并根据 waf 日志不断调整，安全层面的东西不是一蹴而就的，你面对的攻击者是活人。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1040742

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.