黑客攻击的来源在多大程度上可以被正确识别?

黑客攻击的来源在多大程度上可以被正确识别?

我有一个问题这个问题,其中有人显示了试图入侵其系统的终端历史记录。

输出中有一行表明黑客来自中国。许多答案都提到了这一说法,但没有人怀疑。该行如下所示:

Accept-Language: zh-cn

这意味着对方更喜欢中文。黑客下载某些工具的 IP 地址是中文。然而,类似于这里的主要问题...这是否说明黑客在中国?

是否有可能人们只是为了让它出现攻击来自中国?或者还有其他线索指向这一点?

他们仍然可以使用英语或任何其他语言来工作。

我想象一下,例如一个英国人坐在莫斯科的网吧里,通过厄瓜多尔的 VPN 进行路由……

报告的统计数据是否在媒体上或者例如美国政府X根据更可靠的信息,有多少比例的网络战/黑客攻击源自中国?如果是,那么是哪些?

答案1

我很高兴有人提出这个问题,因为我在读到这个问题时也有同样的想法。

Accept-Language: zh-cn

当我看到这个时,我首先想到的是有人从他们的浏览器复制了 HTTP 请求标头,但没有理解它的作用。

即使在正常请求中,这通常也是不必要的,在这种情况下,URL 可能用于下载不需要翻译的二进制资产。这只是浪费空间。

该行不一定表示任何内容,但它可能假设表示攻击者的浏览器语言设置。

在二进制文件中发现的 IP 地址确实表明了一些事情,但这并不意味着攻击者在中国,可能只是他们入侵了中国的一些服务器。

每次看到这样的统计数据,我都会心存疑虑。我不确定除了 IP 地址之外,这些数据还基于什么。

答案2

在这种情况下,攻击者似乎通过 Microsoft Azure 云服务器发起攻击来隐藏身份。因此,如果 Microsoft 没有日志,则很难确定攻击的来源。

然而,下载文件的 IP 地址来自中国。这一点以及上面提到的那行,是我们在没有进一步日志的情况下最接近的了解。

请记住,中国并不以自由开放的互联网而闻名。相反,我上次查的时候,那里任何形式的基本托管服务都极其昂贵。情况可能已经改变,但中国以外的人不太可能会花费太多精力在那里租用服务器,并费尽心思让它看起来像是来自中国。

这是 100% 确定的吗?不,完全不是。但有可能吗?我想是的。

至于媒体,我认为这种形式对意见和各个媒体及其消息来源过于开放,无法给出确切的答案。

相关内容