上个月临下班,告警群弹出:某服务器外连可疑IP。按常规封禁后,第二天同样的事再次发生——换了个IP,同一台服务器。我们意识到,这不是偶然,是被盯上了。而仅靠封IP的被动防御,在企业级安全运营中已捉襟见肘。
一、溯源困境:IP查到了,然后呢?
被入侵后,我们第一时间切外网、翻日志,锁定了一个境外IP——WHOIS只显示运营商信息,动态IP,无租用人信息。免费情报库只给了个“疑似恶意”,具体恶意在哪?不知道。
更棘手的是,日志里还有几十个类似IP,遍布全球,显然是代理池在轮换。人工逐个查?不现实。我们意识到:依赖人工和免费情报的应急响应,根本无法支撑企业的常态化安全运营。
二、破局:不看IP本身,看IP用来干什么
后来我们用了一个能查IP应用场景的商用接口,批量跑完这批IP。结果发现:
- 大部分IP标注为“数据中心”,少数标注为“家庭宽带”。家庭宽带出现在攻击流量里,基本是黑客的代理出口。
- 筛出所有“家庭宽带”IP后,发现它们的攻击路径高度一致,明显是自动化工具在扫。
- 部分IP的历史解析记录关联过几个陌生域名,顺着域名又挖出两台被忽略的跳板机。
这次之后,我们在应急响应流程里加了一步:拿到可疑IP,先查应用场景和历史解析。数据中心IP重点排查C2;家庭宽带IP直接封网段。
三、策略升级:从封单个IP到动态处置
过去在防火墙上配黑名单,攻击者换IP比我们封得快(曾记录一个源24小时换200+IP)。后来调整策略:不封单个IP,而是根据IP类型做动态处置。
- 来自“数据中心”的IP,频繁访问非业务端口,拉黑整个C段。
- 来自“家庭宽带”的IP,高频访问登录接口,限速+验证码,挡住自动化脚本。
这套逻辑跑下来,告警量降了四成,误报大幅减少。现在我们写安全剧本时,直接调用IP情报接口标签:
- IF 家庭宽带 AND 风险偏高 THEN 滑块验证
- IF 数据中心 AND 历史解析过恶意域名 THEN 自动封禁24小时
四、合规救急:准确的地理位置救了复审
等保复审时,合规审计人员要求提供核心系统访问日志,需追溯到IP的地理位置和运营商。免费库把IP“注册地”当“使用地”,查出一堆“中国北京”的美国IP。我们换商用接口重跑历史日志,清晰分出国内宽带和海外IDC,报告顺利过关。准确IP数据帮我们避开了合规风险。
五、给企业安全建设者的三点建议
- IP信息要与业务日志联动:不只知IP恶意,更要快速关联它访问了什么系统、什么接口,才能准确评估影响。
- 自动化查询是规模化运营前提:上百个告警必须走API。我们告警触发后自动调接口,拉取IP类型、风险标签、地理位置,钉钉推给值班人,决策效率翻倍。
- 免费情报够用吗? 免费能说“可能有问题”,但企业安全需要“具体什么问题、怎么处置”。准确、结构化的数据是自动化决策的基础。我们用的IP数据云(或其他商用库),关键是字段够细,能支撑安全策略。
IP虽基础,但在企业安全中用好它,应急、防御、合规都能事半功倍。溯源时多知道一点IP背景,少走好几小时弯路。
