P溯源工具使用说明 温馨提示: 该工具运行时不会对目标ip主动扫描,但是会调用第三方接口,所以会存在对互联网发送大量HTTP请求情况,如果网络环境比较特殊的场景下请勿使用该工具,避免引起不必要的麻烦。 免责声明: 此工具仅限于学习交流,请在下载后24小时内删除,请勿非法使用该工具,用户承担因使用此工具而导致的所有法律和相关责任!作者不承担任何法律责任! IP_Traceability_ToolV1.2.exe 哈希: SHA1:6af02048374523ff27869e810f972314041a9390 md5: 1cbff565d5eb28f46e2718a979c86f27 一、工具背景背景: 在攻防演练期间,对于重保值守人员,某些客户要求对攻击IP都进行分析溯源,发现攻击IP的时候,需要针对攻击IP进行分析,如果有关键信息输出报告,针对该需求,产生了这个工具。 二、功能实现V1.2修改:1.把基于本地telnet的IP端口查询方式改成调用接口查询。 2.whois信息查询接口单一,增加多个接口,确保whois信息查询的准确性。 3.增加多线程技术,提高程序运行速度。 4.修复cdn查询过长的bug。 5.更新过滤ip地址,现在输入的IP可以加其他字符,会自动过滤出字符串里面存在的IP。 6.增加IP反查域名的接口,新增接口报错和成功写入日志文件。 7.优化更新ip归属地的获取,增加2个接口,确保归属地查询到。 8.端口查询优化,增加端口查询接口。 9.整改企业微信推送方式,从原本一个IP推送一次变成IP查询一轮推送一次,每轮查询的IP个数可以在配置文件里面修改。 10.修改日志输出格式,所有日志输出格式固定。 11.增加每轮查询后程序延时,确保接口不会频繁请求而请求失败。 V1.1新增:1.新增将查询到的word报告发送至企业微信。 v1.0功能:1.实现支持多IP查询,会自动对IP进行去重,去掉非公网IP,去掉非IP; 2.实现基于IP查询归属地的情况; 3.实现基于IP查询端口开放情况,基于telnet的方式探测端口是否开放,查询端口:21, 22, 23, 80, 135, 137, 138, 443, 888, 8888, 1433, 3306, 3389, 8080, 8081, 8082, 9090, 9091, 9092, 50050; 4.实现基于IP查询域名绑定的情况; 5.实现基于查询出的域名查询whois和icp备案的情况; 6.实现整合内容输出为文本文件和word文件,如果一个IP没有绑定域名,那么认为这个IP没有价值,则输出文本文件,如果绑定了域名,则输出word; 7.实现将内容输出至企业微信机器人。 三、使用手册1、程序的config.ini是配置文件,[icpapi]下面的appid和key的icp备案兜底付费查询接口,icp备案一共调用三个接口,会先调用两个免费接口,如果两个免费接口都没有查询到数据,则会调用第三个付费接口,建议申请添加appid和key,appid和key填写位置如下:申请地址:https://www.icpapi.com/user.html 2、配置文件中[scanport]下的open参数是指是否开启端口扫描,默认设置为0,如果要扫描端口需要设置为1,port里面是需要扫描的端口,可以修改。 3、配置文件中的[wechat]下的send设置是否使用企业微信机器人发送提醒,设置为0不开启,设置为1开启,如果设置为1,则需要添加企业微信机器人的apikey,如下图所示: 4、配置完成后即可开始使用,将需要查询的IP放到ip.txt文件下,无需去重。 5、双击运行:IP_Traceability_ToolV1.2.exe,等待程序运行结束。
6、程序运行时,如果配置了企业微信机器人接口,会将查询到的结果使用机器人发送查询结果和报告。 7、如果查询到了域名,则认为这个IP属于高价值溯源IP,会在output_word下按照日期创建文件夹生成word报告并发送至企业微信,如果没有查到域名,则认为这个IP属于低价值溯源IP,会在output_txt下按照日期创建文件夹生成文本文件。
8、程序的运行日志,可在logs目录下查看,以当前日期命名的log文件
|