LgzBr/Project-2---ip-investigation-

# Project-2---ip-investigation- 威胁情报调查 - 可疑 IP 分析 这个项目是关于什么的？ 该项目模拟了 SOC 分析师对可疑 IP 地址进行调查的过程。我在研究在线威胁 IP 活动时发现了 IP 地址 185.220.101.45，并决定对其进行调查。 使用的工具 在开始这个项目之前，我做了一些研究，以了解 SOC 分析师通常使用哪些工具来调查可疑的 IP 地址。我找到了几个选项，但决定选择 AbuseIPDB 和 VirusTotal，因为这两个工具在我的当前学习阶段最容易理解。 AbuseIPDB 是一个社区数据库，安全专业人员会在其中报告恶意 IP。它提供了一个快速的滥用置信度分数和历史记录——当 IP 看起来可疑时，分析师通常会首先检查它。 VirusTotal 同时将 IP 地址与 90 多家安全厂商进行比对。不依赖单一来源，你可以在几秒钟内获得数十家公司的共识。 我的发现 通过同时使用这两个工具，我能够清晰地了解该 IP 的行为： AbuseIPDB 返回了一个 96% 的滥用置信度分数，来自近 600 个不同来源的超过 6,500 份报告，最早可追溯到 2020 年 12 月。 VirusTotal 有 94 家安全厂商中的 18 家将其标记为恶意，确认存在活跃的暴力破解攻击，最近一次发生在调查前 4 天。 该 IP 是一个 Tor 出口节点，因为我搜索后发现它常被用于隐藏攻击者身份，使得追踪来源变得困难。 观察到的攻击类型包括：暴力破解、SQL 注入、Web 应用攻击、DDoS 和端口扫描。 截至 2026 年 4 月，该 IP 仍在积极报告恶意活动。 报告格式说明 在这个项目中，我整理了一份调查报告，记录了所有发现。布局和格式是在 AI 的帮助下构建的，作为一种学习练习。 我想指出的是，在真实的 SOC 环境中，每家公司都有自己的报告方式——他们自己的模板、格式和内部标准。我想这里创建的报告旨在模拟那种体验，并练习工作的文档部分，而不是代表一个通用标准。 我创建这个项目是为了研究和模拟 SOC 分析师的日常流程，使用各种工具。 谢谢。

标签：AbuseIPDB, Ask搜索, CISA项目, DDoS, DNS 解析, DNS通配符暴力破解, IP调查, PoC, Tor出口节点, VirusTotal, Web应用攻击, 取证调查, 可疑IP, 多模态安全, 威胁情报, 安全报告, 开发者工具, 恶意IP, 情报分析, 攻击溯源, 数据可视化, 数据统计, 暴力破解, 端口扫描, 网络安全, 网络安全审计, 网络诊断, 逆向工具, 隐私保护