CN111835758A - 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 - Google Patents
基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 Download PDFInfo
- Publication number
- CN111835758A CN111835758A CN202010662646.1A CN202010662646A CN111835758A CN 111835758 A CN111835758 A CN 111835758A CN 202010662646 A CN202010662646 A CN 202010662646A CN 111835758 A CN111835758 A CN 111835758A
- Authority
- CN
- China
- Prior art keywords
- node
- tcp
- transparent proxy
- proxy
- trapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,包括以下步骤:业务方诱捕节点流量转发;业务方诱捕节点动态实现虚拟IP模拟;诱捕节点端口扫描监控;透明代理节点TCP/UPD流量转发;多转发节点场景下的流量实现对应节点定位;该方法是通过在透明代理处读取传输层协议的头部信息,实现攻击流量溯源,并将攻击流量以攻击者的真实IP透明转发到真实的蜜罐服务中,实现应用层的正确请求解析及响应;由于该代理层是基于TCP/UDP实现,因此支持所有TCP/UDP协议类型的蜜罐。
Description
技术领域
本发明涉及网络信息安全及软件技术领域,特别是一种基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法。
背景技术
蜜罐作为一种主动诱导黑客的安全产品工具,在安全产品市场中扮演着越来越重的角色,而针对蜜罐的攻击行为溯源则是蜜罐产品研发过程中的重中之重。目前市面上对攻击者行为溯源的方式主要是通过对具体的蜜罐所涉及的服务组件例如tomcat、nginx、mysql等进行定向的日志收集,针对用户的来源进行区分,对于原生日志中无法记录的信息,只能通过修改源码等开发难度较大的手段来实现。存在该问题的实质性原因是当攻击流量到达应用层后,由于各应用服务的自身解析方式的不同且服务提供的日志审计详细程度的不同,会导致应用日志存在攻击者信息不完全的问题。
发明内容
为解决现有技术中存在的问题,本发明的目的是提供一种基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,该方法是通过在透明代理处读取传输层协议的头部信息,实现攻击流量溯源,并将攻击流量以攻击者的真实IP透明转发到真实的蜜罐服务中,实现应用层的正确请求解析及响应;由于该代理层是基于TCP/UDP实现,因此支持所有TCP/UDP协议类型的蜜罐。
为实现上述目的,本发明采用的技术方案是:一种基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,包括以下步骤:
(1)业务方诱捕节点流量转发:部署在业务方网络中,并将访问该业务节点的流量首次转发到后端诱捕节点,转发过程实现数据加密且支持优化的代理协议,并通过代理协议将用户信息及节点信息转发至透明代理节点;
(2)业务方诱捕节点动态实现虚拟IP模拟:根据从所述诱捕节点处拉取到的节点配置,进行虚拟多IP模拟;
(3)诱捕节点端口扫描监控:在诱捕节点处进行扫描流量监控,实现全流量端口扫描监控,发现扫描行为上报至云端日志收集系统;
(4)透明代理节点TCP/UPD流量转发:将业务网络中各诱捕节点的访问流量透明转发到后端真实的蜜罐服务中,实现透明代理;
(5)多转发节点场景下的流量实现对应节点定位:利用透明代理节点获取到所有诱捕节点的来源及目的两方的信息,利用攻击流量来源及节点信息映射,以实现攻击节点定位。
作为一种优选的实施方式,还包括以下步骤:
云端分析程序对攻击日志进行泛化及入库:通过读取日志收集系统中的收集到的各类日志,分析当前日志内容,综合当前日志的信息及透明代理记录到redis中的请求信息,对日志进行分析、溯源、泛化、入库等操作。
作为另一种优选的实施方式,所述诱捕节点采用SOCKET+EPOLL架构实现节点转发,收到SOCKET连接之后,接受数据并向后端透明代理服务器建立对应的转发连接并转发数据。
作为另一种优选的实施方式,所述代理协议的原理为在连接建立后,数据转发前,先发送一个固定格式的携带请求信息,包括请求来源IP、来源端口、目的IP、目的端口、节点IP、节点MAC的特定数据包。
作为另一种优选的实施方式,虚拟IP模拟采用python第三方库实现,同时虚拟IP均对应本机的LO回环网络。
作为另一种优选的实施方式,攻击节点的定位具体包括在透明代理节点记录流量的来源端口、来源IP、以及对应的真实蜜罐服务的端口及IP、时间戳信息,并以HASH结构存储在redis中,便于后续云端分析。
本发明的有益效果是:
本发明解决了不同服务的蜜罐的自身日志部分信息缺失导致攻击溯源难的问题,能保证在后端蜜罐服务种类不断新增的情况下,对基于相同传输层(TCP/UDP)的蜜罐攻击使用同一种方法实现溯源,极大的降低了TCP/UPD类型的各类蜜罐开发的难度,并且使得蜜罐的诱捕节点可以简易地部署在各个业务方的内网中。
附图说明
图1为本发明实施例原理框图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
实施例1
如图1所示,一种基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,包括以下步骤:
(1)业务方诱捕节点流量转发:
采用SOCKET+EPOLL架构实现节点转发程序,该节点因为设计部署在业务方网络中,无法对网络路由进行配置,因此采用普通代理方式,但是需要通过代理协议将用户信息及节点信息转发至透明代理节点。普通代理的原理即为,收到SOCKET连接之后,接受数据并向后端透明代理服务器建立对应的转发连接转发数据。代理协议实质原理是在连接建立后,数据转发前,先发送一个固定格式的携带请求信息,包括请求来源IP、来源端口、目的IP、目的端口、节点IP、节点MAC的特定数据包。
(2)业务方诱捕节点可动态实现虚拟IP模拟:
为了提升诱捕节点在业务方网络中的诱捕概率,同时节约服务器资源,采用同一台服务器进多IP动态虚拟的方式。诱捕节点需要与云端通讯拉取蜜罐部署配置,根据配置动态虚拟出对应的IP。虚拟方法采用python第三方库实现,同时虚拟IP均对应本机的lo回环网络,这一措施使得虚拟IP时并不需要提供当前主机的具体网卡名,具有很好的移植性。
(3)诱捕节点端口扫描监控:
采用代理之后,后端蜜罐仅能拿到三次TCP建立完成后的流量,而无法获取到扫描流量,因此,需要在诱捕节点出进行扫描流量监控,采用全端口TCP流量抓包的方式进行扫描监控,并将一段时间内的扫描流量的Flag缓存并上报,用于分析扫描类型分析。
(4)透明代理节点TCP/UPD流量转发:
Linux内核支持一种名为tproxy的机制,tproxy允许本机socket绑定在一个非本机IP上,因此利用该特性,可以使用socket绑定在真实用户IP上,将业务网络中诱捕节点的访问流量透明转发到后端真实蜜罐,实现透明代理。在这种情况下,为了实现正常的网络回包,需要对本机及后端蜜罐服务器进行相应的路由及网关配置,使其回包能够正常通信。
(5)多转发节点场景下的流量实现对应节点定位:
代理服务器实现对TCP及UDP流量的透明代理。同时在代理处可以记录下流量的来源端口、来源IP、以及对应的真实蜜罐服务的端口及IP、时间戳等信息,并以HASH结构存储在redis中,便于后续云端分析系统使用。
(6)诱捕节点与透明代理节点辅助功能通信:
诱捕节点向透明代理节点通过socket加密上报本节点心跳及资源使用情况等,通过预留一个通信端口并统一数据加密传输的方法进行数据通信,同时通过该端口可以扩展其他一些辅助的通信功能。
(7)云端分析程序对攻击日志进行泛化及入库:
通过读取hpfeeds中的收集到的各类日志,根据当前日志中的有限信息如根据时间戳就近原则+来源端口及IP等从redis中查询节点信息,查询请求来源信息,进行日志泛化,并进行分析及入库。
实施例2
一种基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,本实施例的硬件结构主要包括蜜罐诱捕节点、透明代理节点、蜜罐服务、云端分析系统。其中蜜罐诱捕节点及透明代理节点是实现溯源的最基本模块。具体包括以下步骤:
(1)业务方诱捕节点配置拉取:
采用python实现,采用建立socket并发送请求拉取申请字符串的方式,定时向后端透明代理服务器发起配置拉取请求,收到响应后,解密响应,获得节点配置。
(2)业务方诱捕节点虚拟IP:
根据拉取到的配置,采用python第三方库pyroute2中的IPDB类虚拟出配置中的节点IP,以供后续步骤使用。
(3)诱捕节点端口扫描监控:
虚拟IP完成后,更新端口扫描程序抓包规则,使其监控当前虚拟ip列表中的所有流量包,并将一段时间内的扫描流量的Flag缓存并上报至日志分析系统hpfeeds,用于分析扫描类型分析。
(4)诱捕节点与透明代理节点辅助功能通信:
诱捕节点向透明代理节点通过socket加密上报本节点心跳及资源使用情况等。
(5)业务方诱捕节点流量转发:
采用python实现,根据步骤(1)拉取到的配置,新增对应端口的socket绑定在本机的虚拟ip的各对应端口上,等待接收客户端请求。接收到客户端请求时,根据配置文件,与后端透明代理服务器对应地址简历socket,发出第一个代理协议包,代理协议的具体数据包内容如:"PROXY TCP4源ip目的ip源端口目的端口诱捕节点节点mac%s%s\r\n",经后端代理服务器确认无误后,开始转发客户端数据。
(6)透明代理节点TCP/UPD流量转发:
设置路由规则,本实施例规则如下:
iptables-t mangle-A PREROUTING-p tcp-s[蜜罐服务器ip]-j MARK--set-xmark 0x1/0xfffffff
ip route add 0.0.0.0/0via[透明代理ip]dev ens160 table 100
ip rule add fwmark 1lookup 100
设置好路由规则之后,透明代理在接收到诱捕节点的数据是,判断是否是首次连接,如果非合法,则断开诱捕节点连接请求。如果是则解析代理协议的合法性,合法则获取代理协议中的信息,将其存储在redis中,便于后续云端分析系统使用,并创建一个绑定在真实的用户来源ip的socket,向后端真实蜜罐发起连接并转发数据。
(7)蜜罐日志记录:
用户请求通过两次代理到达蜜罐服务,蜜罐服务对其进行响应,并进行日志记录,日志记录上发至日志收集系统hpfeeds。
(8)云端分析程序分析:
云端分析系统在接收到通过读取hpfeeds中的收集到的各类日志,分析当前日志内容,综合当前日志的信息及透明代理记录到redis中的请求信息,对日志进行分析、溯源、泛化、入库等操作。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (6)
1.一种基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,其特征在于,包括以下步骤:
(1)业务方诱捕节点流量转发:部署在业务方网络中,并将访问该业务节点的流量首次转发到后端诱捕节点,转发过程实现数据加密且支持优化的代理协议,并通过代理协议将用户信息及节点信息转发至透明代理节点;
(2)业务方诱捕节点动态实现虚拟IP模拟:根据从所述诱捕节点处拉取到的节点配置,进行虚拟多IP模拟;
(3)诱捕节点端口扫描监控:在诱捕节点处进行扫描流量监控,实现全流量端口扫描监控,发现扫描行为上报至云端日志收集系统;
(4)透明代理节点TCP/UPD流量转发:将业务网络中各诱捕节点的访问流量透明转发到后端真实的蜜罐服务中,实现透明代理;
(5)多转发节点场景下的流量实现对应节点定位:利用透明代理节点获取到所有诱捕节点的来源及目的两方的信息,利用攻击流量来源及节点信息映射,以实现攻击节点定位。
2.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,其特征在于,还包括以下步骤:
云端分析程序对攻击日志进行泛化及入库:通过读取日志收集系统中的收集到的各类日志,分析当前日志内容,综合当前日志的信息及透明代理记录到redis中的请求信息,对日志进行分析、溯源、泛化、入库等操作。
3.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,其特征在于,所述诱捕节点采用SOCKET+EPOLL架构实现节点转发,收到SOCKET连接之后,接受数据并向后端透明代理服务器建立对应的转发连接并转发数据。
4.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,其特征在于,所述代理协议的原理为在连接建立后,数据转发前,先发送一个固定格式的携带请求信息,包括请求来源IP、来源端口、目的IP、目的端口、节点IP、节点MAC的特定数据包。
5.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,其特征在于,虚拟IP模拟采用python第三方库实现,同时虚拟IP均对应本机的LO回环网络。
6.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法,其特征在于,攻击节点的定位具体包括在透明代理节点记录流量的来源端口、来源IP、以及对应的真实蜜罐服务的端口及IP、时间戳信息,并以HASH结构存储在redis中,便于后续云端分析。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010662646.1A CN111835758A (zh) | 2020-07-10 | 2020-07-10 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010662646.1A CN111835758A (zh) | 2020-07-10 | 2020-07-10 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111835758A true CN111835758A (zh) | 2020-10-27 |
Family
ID=72900070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010662646.1A Pending CN111835758A (zh) | 2020-07-10 | 2020-07-10 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111835758A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112491817A (zh) * | 2020-11-12 | 2021-03-12 | 中国联合网络通信集团有限公司 | 一种基于蜜罐技术的溯源方法、装置及蜜罐设备 |
CN112738128A (zh) * | 2021-01-08 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种新型蜜罐组网方法及蜜罐系统 |
CN113055396A (zh) * | 2021-03-26 | 2021-06-29 | 深信服科技股份有限公司 | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
CN113364729A (zh) * | 2021-04-07 | 2021-09-07 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
CN114006772A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
CN115664844A (zh) * | 2022-11-17 | 2023-01-31 | 博智安全科技股份有限公司 | 基于协议代理的蜜罐伪装模拟方法、装置及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕系统及方法 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
CN110855659A (zh) * | 2019-11-07 | 2020-02-28 | 四川长虹电器股份有限公司 | redis蜜罐部署系统 |
CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
-
2020
- 2020-07-10 CN CN202010662646.1A patent/CN111835758A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕系统及方法 |
CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
CN110855659A (zh) * | 2019-11-07 | 2020-02-28 | 四川长虹电器股份有限公司 | redis蜜罐部署系统 |
CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112491817A (zh) * | 2020-11-12 | 2021-03-12 | 中国联合网络通信集团有限公司 | 一种基于蜜罐技术的溯源方法、装置及蜜罐设备 |
CN112738128A (zh) * | 2021-01-08 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种新型蜜罐组网方法及蜜罐系统 |
CN113055396A (zh) * | 2021-03-26 | 2021-06-29 | 深信服科技股份有限公司 | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
CN113055396B (zh) * | 2021-03-26 | 2023-02-03 | 深信服科技股份有限公司 | 一种跨终端溯源分析的方法、装置、系统和存储介质 |
CN113364729A (zh) * | 2021-04-07 | 2021-09-07 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
CN113364729B (zh) * | 2021-04-07 | 2023-11-21 | 苏州瑞立思科技有限公司 | 一种基于udp代理协议的用户认证方法 |
CN114006772A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
CN114006772B (zh) * | 2021-12-30 | 2022-04-12 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
CN115664844A (zh) * | 2022-11-17 | 2023-01-31 | 博智安全科技股份有限公司 | 基于协议代理的蜜罐伪装模拟方法、装置及电子设备 |
CN115664844B (zh) * | 2022-11-17 | 2024-02-23 | 博智安全科技股份有限公司 | 基于协议代理的蜜罐伪装模拟方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111835758A (zh) | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 | |
US10133591B2 (en) | Network traffic data in virtualized environments | |
US9253149B2 (en) | Method for providing an internal server with a shared public IP address | |
CN104580192B (zh) | 应用程序的网络访问请求的处理方法和装置 | |
US11374905B2 (en) | Methods and systems for efficient cyber protections of mobile devices | |
Beverly et al. | Forensic carving of network packets and associated data structures | |
CN113243099A (zh) | 对服务提供商网络处的虚拟网络的网络流量进行镜像 | |
US8898265B2 (en) | Determining data flows in a network | |
US20150350154A1 (en) | Using Distributed Network Elements to Send Authoritative DNS Responses | |
CN111131544A (zh) | 一种实现nat穿越的方法 | |
WO2021063028A1 (zh) | 为业务提供网络服务的方法、装置和计算设备 | |
WO2017096888A1 (zh) | 域名解析系统的实现方法及装置 | |
US20140337471A1 (en) | Migration assist system and migration assist method | |
WO2017219813A1 (zh) | 一种流量处理方法及透明缓存系统 | |
CN114518969A (zh) | 进程间通信方法、系统、存储介质和计算机设备 | |
CN107995321A (zh) | 一种vpn客户端代理dns的方法及装置 | |
CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
US11743236B2 (en) | Generating an application-based proxy auto configuration | |
WO2021135493A1 (zh) | 一种家庭网关访问方法、装置、系统处理器及存储介质 | |
CN114710560A (zh) | 数据处理方法、系统及代理设备、终端设备 | |
CN114338496B (zh) | 一种资源转发方法、装置、终端和计算机存储介质 | |
US7434297B1 (en) | Tracking computer infections | |
CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
WO2015117380A1 (zh) | 一种远程桌面协议网关进行路由交换的方法、设备及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201027 |
|
RJ01 | Rejection of invention patent application after publication |