CN112118258B - 在蜜罐场景下获取攻击者信息的系统及方法 - Google Patents
在蜜罐场景下获取攻击者信息的系统及方法 Download PDFInfo
- Publication number
- CN112118258B CN112118258B CN202010982410.6A CN202010982410A CN112118258B CN 112118258 B CN112118258 B CN 112118258B CN 202010982410 A CN202010982410 A CN 202010982410A CN 112118258 B CN112118258 B CN 112118258B
- Authority
- CN
- China
- Prior art keywords
- tcp
- honeypot
- attacker
- information
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在蜜罐场景下获取攻击者信息的系统,包括蜜罐分析区以及多个分别与所述蜜罐分析区连接的业务区,所述业务区用于部署对攻击者的攻击行为进行诱捕的蜜罐诱捕节点;所述蜜罐分析区用于部署TCP转发模块和真实攻击信息获取模块;本发明还公开了一种在蜜罐场景下获取攻击者信息的方法,本发明解决了在蜜罐场景下获取真实攻击者IP地址端口等信息需要修改蜜罐应用层代码、环境兼容性差、性能低的问题。
Description
技术领域
本发明涉及网络安全技术领域,特别是一种在蜜罐场景下获取攻击者信息的系统及方法。
背景技术
目前在蜜罐场景下采用的方法一是通过透明代理的方式进行攻击者真实IP地址和端口的传输,具体流程是通过蜜罐代理客户端获取到攻击TCP流量后,在应用层封装包且将攻击者真实IP地址和端口传递给透明代理,透明代理通过tproxy技术伪造来源IP地址和端口为攻击者信息连接真实蜜罐,该技术方案存在的缺陷是配置复杂且局限、跨网络或者云环境下丢包,缺陷是由于以下原因导致:(1)因为蜜罐在网络层拿到的真实的IP地址回报的时候必须将蜜罐的网关配置成透明代理;(2)由于透明代理通过tproxy技术伪造来源IP地址和端口连接真实蜜罐,在云环境或者跨网络时候TCP连接包会被丢弃,且无法携带其他信息。
在蜜罐场景下采用的方法二是通过映射的方式进行攻击者真实IP地址和端口以及连接蜜罐的IP地址和端口进行关联,具体流程是通过蜜罐代理客户端获取到攻击TCP流量后,在应用层封装包且将攻击者真实IP地址和端口传递给转发代理,转发代理分配自身的连接IP和端口,并将攻击者来源IP地址和端口进行关联存储,通过代理分配自身的连接IP和端口连接真实蜜罐,真实蜜罐通过关联存储获取攻击者信息,该技术方案存在的缺陷是大流量对应异常且有时延,缺陷是由于以下原因导致:(1)在流量较大的情况可能会导致转发代理自身的连接IP和端口不够使用;(2)蜜罐先拿到的是代理自身的连接IP和端口,然后再通过关联存储获取攻击者信息。
在蜜罐场景下采用的方法三是通过部署蜜罐到诱捕区域,具体流程是蜜罐直接暴露给攻击者发现,该技术方案存在的缺陷是蜜罐本身安全性较弱、蜜罐部署无法复用,缺陷是由于以下原因导致:(1)蜜罐本身是将弱点暴露进行诱捕,在真实业务区域进行部署会导致容易感染真实业务;(2)在真实业务区域部署无法针对其他业务进行复用。
发明内容
为解决现有技术中存在的问题,本发明的目的是提供一种在蜜罐场景下获取攻击者信息的系统及方法,本发明解决了在蜜罐场景下获取真实攻击者IP地址端口等信息需要修改蜜罐应用层代码、环境兼容性差、性能低的问题。
为实现上述目的,本发明采用的技术方案是:一种在蜜罐场景下获取攻击者信息的系统,包括蜜罐分析区以及多个分别与所述蜜罐分析区连接的业务区,所述业务区用于部署对攻击者的攻击行为进行诱捕的蜜罐诱捕节点;所述蜜罐分析区用于部署TCP转发模块和真实攻击信息获取模块,其中:
所述TCP转发模块,在应用层通过提供自定义IP选项将攻击者信息关联到内核套接字,在内核层将攻击者信息添加到TCP选项中,不修改源IP、源端口、目的IP和目的端口,并通过TCP转发模块自身IP端口连接真实攻击信息获取模块;
所述真实攻击信息获取模块,在内核层检测是TCP转发模块的流量,将TCP转发模块的流量中攻击者信息提取到内核套接字进行存储,并hook应用层获取TCP连接信息的内核函数,蜜罐应用层无需任何修改;
作为本发明的进一步改进,所述真实攻击信息获取模块在应用层还提供自定义IP选项获取除攻击者IP和端口额外的信息。
本发明还提供一种在蜜罐场景下获取攻击者信息的方法,包括以下步骤:
(1)攻击者攻击蜜罐诱捕节点:攻击者攻击蜜罐诱捕节点某个端口,并进行TCP连接和攻击数据传输;
(2)蜜罐诱捕节点获取到攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息;
(3)诱捕节点检测到攻击后,与TCP转发模块建立第一TCP连接;
(4)诱捕节点将攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息通过第一TCP连接发送给TCP转发模块;
(5)TCP转发模块接收到第一TCP连接内的攻击信息,将攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息分别进行提取;
(6)TCP转发模块创建第一TCP套接字,用于连接目标蜜罐,并通过自定义IP选项将攻击者IP端口、MAC地址信息传递给内核;
(7)内核接收到攻击者IP端口、MAC地址信息后,将IP端口、MAC地址信息与TCP转发模块的应用层第一TCP套接字关联存储;
(8)TCP转发模块根据目标蜜罐信息,创建与目标蜜罐的第二TCP连接;
(9)TCP转发模块所在服务器内核检测所述第二TCP连接已经配置自定义IP选项,则将攻击者IP端口、MAC地址信息取出,新增TCP自定义选项头和TCP自定义选项内容,将攻击者IP端口、MAC地址信息存储在TCP自定义选项内容;如果TCP转发模块所在服务器内核未检测到所述第二TCP连接配置自定义IP选项,则不处理;
(10)TCP转发模块所在服务器内核添加完成TCP自定义IP选项后,重新计算以太帧相关校验和,并将TCP握手报文发送给目标蜜罐;
(11)目标蜜罐的真实攻击信息模块检测到TCP握手报文,检查该TCP握手报文是否携带TCP自定义IP选项头;如果检测到携带TCP自定义IP选项头,则将TCP自定义IP选项头和内容解析得到攻击者信息存储到与连接对应的第二TCP套接字;如果未检测到携带TCP自定义IP选项头则不处理;
(12)蜜罐应用层接收连接后创建与连接对应的第二TCP套接字,并在应用层调用getpeername获取攻击者IP和端口信息;
(13)蜜罐内核层检测到第二TCP套接字在获取攻击者IP和端口信息,就将真实攻击者IP和端口信息返回,而不返回TCP转发模块的IP和端口信息;
(14)蜜罐应用层如果需要获取额外的攻击者MAC地址等其他信息,调用自定义IP选项进行获取攻击者额外信息;
(15)蜜罐内核层检测到TCP第二TCP套接字在获取攻击者其他信息,就将攻击者其他信息返回;
(16)TCP转发模块与目标蜜罐建立起第二TCP连接,TCP转发模块将攻击者TCP负荷通过所述第二TCP连接发送给目标蜜罐,完成整个攻击者TCP负荷、攻击者IP端口、MAC地址信息的传递。
本发明的有益效果是:
本发明通过内的TCP转发模块、真实攻击信息获取模块2个模块,达到在蜜罐应用层不进行额外开发和路由配置的情况下获取攻击者IP地址端口等信息,也可针对性提供IP选项提供额外信息获取,针对原有方案提升较大的分析效率和场景适应。
附图说明
图1为本发明实施例的系统框图;
图2为本发明实施例的流程框图。
具体实施方式
下面结合附图对本发明的实施例进行详细说明。
实施例
如图1所示,一种在蜜罐场景下获取攻击者信息的系统,包括:
(1)业务区:用于部署诱捕节点,不直接与蜜罐部署在同一区域,便于不同业务的复用;
(2)蜜罐分析区:用于部署TCP转发模块和真实攻击信息获取模块,业务区与蜜罐分析区分开部署,提高业务区的安全性和真实蜜罐的可控性;其中:
TCP转发模块,在应用层通过提供自定义IP选项将攻击者信息关联到内核套接字,在内核层将攻击者信息添加到TCP选项中,不修改源IP、源端口、目的IP和目的端口,并通过TCP转发模块自身IP端口连接真实蜜罐,跨网传输不受影响;
真实攻击信息获取模块,在内核层检测是TCP转发模块的流量,将TCP转发模块的流量中攻击者信息提取到内核套接字进行存储,并hook应用层获取TCP连接信息的内核函数,蜜罐应用层无需任何修改,且在应用层也提供自定义IP选项获取除攻击者IP和端口额外的信息。
如图2所示,本实施例还提供一种在蜜罐场景下获取攻击者信息的方法,包括以下步骤:
(1)攻击者攻击蜜罐诱捕节点:攻击者攻击蜜罐诱捕节点某个端口,并进行TCP连接和攻击数据传输;
(2)蜜罐诱捕节点获取到攻击者TCP负荷、攻击者IP端口MAC等、以及目标蜜罐信息;
(3)蜜罐诱捕节点检测到攻击后,与TCP转发模块建立TCP连接1;
(4)蜜罐诱捕节点将攻击者TCP负荷、攻击者IP端口MAC等、以及目标蜜罐信息通过TCP连接1发送给TCP转发模块;
(5)TCP转发模块接收到TCP连接1内的攻击信息,将攻击者TCP负荷、攻击者IP端口MAC等、以及目标蜜罐信息分别进行提取;
(6)TCP转发模块创建TCP套接字1,用于连接目标蜜罐,并通过自定义IP选项将攻击者IP端口MAC等信息传递给内核;
(7)Linux内核接收到攻击者IP端口MAC等信息后,将该信息与TCP转发模块的应用层TCP套接字1关联存储;
(8)TCP转发模块根据目标蜜罐信息,创建与目标蜜罐的TCP连接2,然后调用connect系统函数对其进行网络连接;
(9)TCP转发模块所在服务器内核检测该TCP连接2已经配置自定义IP选项,则将攻击者IP端口MAC取出,新增TCP自定义选项头和TCP自定义选项内容,将攻击者IP端口MAC存储在TCP自定义选项内容;如果TCP转发模块所在服务器内核未检测到该TCP连接配置自定义IP选项则不处理;
(10)TCP转发模块所在服务器内核添加完成TCP自定义选项后,重新计算以太帧相关校验和,并将TCP握手报文发送给目标蜜罐;
(11)在目标蜜罐上内核真实攻击信息模块检测到TCP握手报文,检查该握手报文是否携带TCP自定义选项头;如果检测到携带TCP自定义选项头,将TCP自定义选项头和内容解析得到攻击者信息存储到蜜罐该连接对应的TCP套接字2;如果未检测到携带自定义TCP自定义选项头则不处理;
(12)蜜罐应用层接收连接后创建该连接对应的TCP套接字2,并在应用层调用getpeername获取攻击者IP和端口信息,该步骤为蜜罐自身触发不需要额外开发,任何蜜罐可以直接部署使用该方法;
(13)蜜罐机器内核层检测到TCP套接字2在获取攻击者IP和端口,就将真实攻击者IP和端口信息返回,而不返回TCP转发模块的IP和端口信息;
(14)蜜罐应用层如果需要获取额外的攻击者MAC地址等其他信息,调用自定义IP选项进行获取攻击者额外信息,该步骤为在蜜罐中二次开发,以便提供更多攻击者信息;
(15)蜜罐机器内核层检测到TCP套接字2在获取攻击者MAC地址等其他信息,就将攻击者MAC地址等其他信息返回;
(16)上述步骤后TCP转发模块与目标蜜罐建立起TCP连接2,TCP转发模块将攻击者TCP负荷通过该连接发送给目标蜜罐,完成整个攻击者TCP负荷、攻击者IP端口MAC等信息的传递。
本实施例通过在TCP转发模块、真实攻击信息获取模块中采用自定义IP选项、TCP选项和内核hook的方法,解决在蜜罐场景下获取真实攻击者IP地址端口等信息需要修改蜜罐应用层代码、环境兼容性差、性能低的问题。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (1)
1.一种在蜜罐场景下获取攻击者信息的方法,其特征在于,应用于在蜜罐场景下获取攻击者信息的系统,所述的系统包括蜜罐分析区以及多个分别与所述蜜罐分析区连接的业务区,所述业务区用于部署对攻击者的攻击行为进行诱捕的蜜罐诱捕节点,不直接与蜜罐部署在同一区域,便于不同业务的复用;所述蜜罐分析区用于部署TCP转发模块和真实攻击信息获取模块,业务区与蜜罐分析区分开部署,提高业务区的安全性和真实蜜罐的可控性;
所述的方法包括以下步骤:
(1)攻击者攻击蜜罐诱捕节点:攻击者攻击蜜罐诱捕节点某个端口,并进行TCP连接和攻击数据传输;
(2)蜜罐诱捕节点获取到攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息;
(3)诱捕节点检测到攻击后,与TCP转发模块建立第一TCP连接;
(4)诱捕节点将攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息通过第一TCP连接发送给TCP转发模块;
(5)TCP转发模块接收到第一TCP连接内的攻击信息,将攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息分别进行提取;
(6)TCP转发模块创建第一TCP套接字,用于连接目标蜜罐,并通过自定义IP选项将攻击者IP端口、MAC地址信息传递给内核;
(7)内核接收到攻击者IP端口、MAC地址信息后,将IP端口、MAC地址信息与TCP转发模块的应用层第一TCP套接字关联存储;
(8)TCP转发模块根据目标蜜罐信息,创建与目标蜜罐的第二TCP连接;
(9)TCP转发模块所在服务器内核检测所述第二TCP连接已经配置自定义IP选项,则将攻击者IP端口、MAC地址信息取出,新增TCP自定义选项头和TCP自定义选项内容,将攻击者IP端口、MAC地址信息存储在TCP自定义选项内容;如果TCP转发模块所在服务器内核未检测到所述第二TCP连接配置自定义IP选项,则不处理;
(10)TCP转发模块所在服务器内核添加完成TCP自定义IP选项后,重新计算以太帧相关校验和,并将TCP握手报文发送给目标蜜罐;
(11)目标蜜罐的真实攻击信息模块检测到TCP握手报文,检查该TCP握手报文是否携带TCP自定义IP选项头;如果检测到携带TCP自定义IP选项头,则将TCP自定义IP选项头和内容解析得到攻击者信息存储到与连接对应的第二TCP套接字;如果未检测到携带TCP自定义IP选项头则不处理;
(12)蜜罐应用层接收连接后创建与连接对应的第二TCP套接字,并在应用层调用getpeername获取攻击者IP和端口信息;
(13)蜜罐内核层检测到第二TCP套接字在获取攻击者IP和端口信息,就将真实攻击者IP和端口信息返回,而不返回TCP转发模块的IP和端口信息;
(14)蜜罐应用层如果需要获取额外的攻击者MAC地址等其他信息,调用自定义IP选项进行获取攻击者额外信息;
(15)蜜罐内核层检测到TCP第二TCP套接字在获取攻击者其他信息,就将攻击者其他信息返回;
(16)TCP转发模块与目标蜜罐建立起第二TCP连接,TCP转发模块将攻击者TCP负荷通过所述第二TCP连接发送给目标蜜罐,完成整个攻击者TCP负荷、攻击者IP端口、MAC地址信息的传递。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010982410.6A CN112118258B (zh) | 2020-09-17 | 2020-09-17 | 在蜜罐场景下获取攻击者信息的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010982410.6A CN112118258B (zh) | 2020-09-17 | 2020-09-17 | 在蜜罐场景下获取攻击者信息的系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112118258A CN112118258A (zh) | 2020-12-22 |
| CN112118258B true CN112118258B (zh) | 2021-06-29 |
Family
ID=73801114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010982410.6A Active CN112118258B (zh) | 2020-09-17 | 2020-09-17 | 在蜜罐场景下获取攻击者信息的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112118258B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037777B (zh) * | 2021-04-09 | 2021-12-03 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10255445B1 (en) * | 2006-11-03 | 2019-04-09 | Jeffrey E. Brinskelle | Identifying destinations of sensitive data |
| CN103078753B (zh) * | 2012-12-27 | 2016-07-13 | 华为技术有限公司 | 一种邮件的处理方法、装置和系统 |
| CN103327134B (zh) * | 2013-06-13 | 2016-09-21 | 国家电网公司 | 一种基于dhcp服务的网络数据重定向方法及装置 |
| US10581915B2 (en) * | 2016-10-31 | 2020-03-03 | Microsoft Technology Licensing, Llc | Network attack detection |
| CN107347067B (zh) * | 2017-07-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种网络风险监控方法、系统及安全网络系统 |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN111431881B (zh) * | 2020-03-18 | 2020-11-20 | 广州锦行网络科技有限公司 | 一种基于windows操作系统的诱捕节点实现方法及装置 |
-
2020
- 2020-09-17 CN CN202010982410.6A patent/CN112118258B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112118258A (zh) | 2020-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
| US7814228B2 (en) | System and method for using data encapsulation in a virtual network | |
| US10412008B2 (en) | Packet processing method, apparatus, and system | |
| CN108111523B (zh) | 数据传输方法和装置 | |
| CN110999265B (zh) | 管理云计算服务端点和虚拟机之间的网络连接性 | |
| CN110601902B (zh) | 一种基于区块链网络的交互数据处理方法及装置 | |
| CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
| CN112118258B (zh) | 在蜜罐场景下获取攻击者信息的系统及方法 | |
| CN109361784B (zh) | 一种在四层代理网络环境下获取客户端真实ip的方法 | |
| JP2008066945A (ja) | 攻撃検出システム及び攻撃検出方法 | |
| CN105743878A (zh) | 使用蜜罐的动态服务处理 | |
| CN109547452B (zh) | Linux网桥设备上实现TCP透明代理的方法及系统 | |
| CN111262721B (zh) | 虚拟内网加速方法、系统、配置方法、装置、设备、介质 | |
| CN104852826A (zh) | 一种环路检测方法及装置 | |
| US10819617B1 (en) | Loop-back packet for determining operational capabilities of border relay device | |
| CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
| CN113923076A (zh) | 一种基于sd-wan的以太网二层数据交换方法 | |
| CN105577579A (zh) | 业务功能链中协议报文的处理方法、系统及业务功能节点 | |
| CN114301993A (zh) | 一种数据传输方法、装置、终端设备和存储介质 | |
| CN111866216A (zh) | 基于无线网络接入点的nat设备检测方法及系统 | |
| CN112039854A (zh) | 一种数据传输方法、装置和存储介质 | |
| US20060133413A1 (en) | Retaining capability of handling original type messages in an upgraded computer system | |
| JP2005072701A (ja) | インタフェース提供装置 | |
| CN113839909B (zh) | 数据报文处理的方法、装置和系统 | |
| US20230098972A1 (en) | Preventing dhcp pool exhaustion and starvation with centralized arp protocol messages |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |