CN112333203A - 一种基于中间人技术的高交互蜜罐系统的rdp会话方法 - Google Patents
一种基于中间人技术的高交互蜜罐系统的rdp会话方法 Download PDFInfo
- Publication number
- CN112333203A CN112333203A CN202011343306.9A CN202011343306A CN112333203A CN 112333203 A CN112333203 A CN 112333203A CN 202011343306 A CN202011343306 A CN 202011343306A CN 112333203 A CN112333203 A CN 112333203A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- rdp
- attacker
- proxy server
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000005516 engineering process Methods 0.000 title claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 41
- 238000007405 data analysis Methods 0.000 claims abstract description 22
- 230000006854 communication Effects 0.000 claims abstract description 13
- 238000004891 communication Methods 0.000 claims abstract description 11
- 238000007726 management method Methods 0.000 claims abstract description 11
- 238000004458 analytical method Methods 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 20
- 230000008569 process Effects 0.000 claims description 18
- 239000004576 sand Substances 0.000 claims description 9
- 238000012790 confirmation Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000003993 interaction Effects 0.000 abstract description 6
- 238000011160 research Methods 0.000 abstract description 4
- 230000000007 visual effect Effects 0.000 description 6
- 238000005422 blasting Methods 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 239000000203 mixture Substances 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005336 cracking Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 235000012907 honey Nutrition 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Abstract
本发明属于网络安全技术领域,具体涉及一种基于中间人技术的高交互蜜罐系统的RDP会话方法。本发明的蜜罐系统包括蜜罐代理服务器、蜜罐主机、RDP数据解析模块、日志管理模块和入侵检测系统;入侵检测系统客户端安装在蜜罐主机内;蜜罐代理服务器由RDP代理客户端和RDP代理服务端组成,RDP代理服务端与攻击者进行加密通信,RDP代理客户端与蜜罐主机进行加密通信。本发明解决了目前在对于RDP蜜罐的研究主要以模拟RDP协议的低交互蜜罐为主,这种方式提供的交互性有限,获取的信息也十分有限,并且容易被攻击者识别的问题。本发明提高了RDP蜜罐的交互能力、信息收集能力和伪装能力。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于中间人技术的高交互蜜罐系统的RDP会话方法。
背景技术
远程桌面协议(Remote Desktop Protocol,RDP)在会话创建期间存在安全漏洞,攻击者利用此类漏洞可以绕过身份验证直接利用RDP协议传播恶意程序。同时,RDP协议也容易遭受口令爆破、DOS攻击和中间人攻击。RDP协议除了已暴露的安全问题以外,也存在未知的安全问题。因此需要引入一种主动防御策略,用以应对攻击者对RDP协议随时随地发起的无处不在的攻击和威胁。
为了应对RDP协议所面临的威胁,可以利用高交互蜜罐技术研究和学习针对RDP协议的攻击行为,并有针对性的制定防御策略,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。由于RDP协议是微软公司的私有协议,无法直接对windows远程桌面服务程序进行修改。因此需要采用中间人的方式对RDP协议进行监控和分析,即需要在客户端和服务端之间增加一个蜜罐代理服务器,之后对RDP数据进行数据逐层解析并储存以供后续分析,通过这种方式可以准确地记录攻击过程。
蜜罐技术通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。蜜罐技术按照蜜罐系统提供给攻击者的交互等级划分为低交互式蜜罐技术和高交互式蜜罐技术。低交互蜜罐仅能模拟一些简单的服务,为攻击者提供有限的交互。而高交互式蜜罐则使用完全真实的系统为攻击者提供更为全面和真实的交互性,从而可以获取攻击者更为全面的信息。因此为了更全面的记录攻击者的攻击过程和攻击方式,利用高交互蜜罐技术实现对RDP蜜罐的开发。
RDP蜜罐的关键是如何对RDP协议进行分析和信息收集,蔡新儒等人,分析了RDP协议的通信过程和所面临的安全问题,发现其存在中间人攻击等漏洞,之后对漏洞进行验证并提出双向认证的验证方案用于改善RDP协议的安全性;樊皓等人,从运维审计的角度介绍了RDP协议所面临的安全问题,提出一种基于中间人的RDP数据采集方案,该方案在完成审计任务的同时可有效降低传输时延,提高用户体验。此外,Danchenko等人,通过利用蜜罐系统模拟远程桌面服务吸引攻击者,并收集其攻击行为的信息;Fan W等人,提出一种由诱饵、捕获器和协调器组成的蜜罐架构,提高了蜜罐的捕获效率;Baykara M等人提出一种基于软件定义交换的集中式虚拟局域网安全检测方法。
发明内容
本发明的目的在于提供一种基于中间人技术的高交互蜜罐系统的RDP会话方法。
本发明的目的通过如下技术方案来实现:蜜罐系统包括蜜罐代理服务器、蜜罐主机、RDP数据解析模块、日志管理模块和入侵检测系统;所述的入侵检测系统包括入侵检测系统服务端和入侵检测系统客户端,入侵检测系统客户端安装在蜜罐主机内;所述的蜜罐代理服务器由RDP代理客户端和RDP代理服务端组成,RDP代理服务端与攻击者进行加密通信,RDP代理客户端与蜜罐主机进行加密通信;具体包括以下步骤:
步骤1:当蜜罐代理服务器收到攻击者向蜜罐主机发出的连接请求时,蜜罐代理服务器向蜜罐主机发出RDP连接请求;RDP数据解析模块对攻击者的连接时间进行记录;
步骤2:蜜罐主机向蜜罐代理服务器发送公钥PubKS和自身随机串Rands;
步骤3:蜜罐代理服务器保存公钥PubKS和蜜罐主机的随机串Rands后,用自身随机串Randm、公钥PubKm和公钥的消息认证码MAC封装成数据包发送给攻击者;
步骤4:攻击者收到蜜罐代理服务器发送的数据包后,保存蜜罐代理服务器的随机串Randm,并利用自身随机串Randc和蜜罐代理服务器的公钥PubKm进行RSA加密,生成密文C′=EncRSA(Randc,PubKm)并发送至蜜罐代理服务器;
步骤5:蜜罐代理服务器收到密文C′后,使用私钥PriKM进行解密,获得攻击者的随机串Randc;蜜罐代理服务器利用自身随机串Randm和蜜罐主机的公钥PubKS进行RSA加密,生成密文C=EncRSA(Randm,PubKs)并发送给蜜罐主机;
步骤6:蜜罐主机收到密文C后,使用私钥PriKS进行解密,获得蜜罐代理服务器的随机串Randm;至此蜜罐主机和蜜罐代理服务器都共同拥有对方的随机串Rands和Randm,蜜罐代理服务器与攻击者和RDP蜜罐主机成功建立连接;蜜罐主机和蜜罐代理服务器之间的RDP会话秘钥为SKeysm=GEN(Rands,Randm);攻击者和蜜罐服务器之间的会话秘钥为SKeyCm:SKeysm=GEN(Randc,Randm);
步骤7:在攻击者与蜜罐主机的RDP会话过程中,蜜罐主机中的入侵检测系统客户端通过执行log分析、文件完整性检查、windows注册表监控和rootkit检测,实现对RDP蜜罐主机监控;入侵检测系统客户端将收集到的数据发送给入侵检测系统服务端;入侵检测系统服务端对数据进行编码分析形成日志文件并存储在日志管理模块;RDP数据解析模块对整个会话过程中产生的数据包和数据载荷进行统计和记录,对攻击者传输的RDP数据包采取分层解析,解析出的信息存储在日志管理模块,用于还原攻击者的攻击过程。
本发明还可以包括:
所述的蜜罐主机内配置有高危漏洞,用于提高蜜罐系统对攻击者的吸引诱骗能力;所述的RDP数据解析模块记录已部署的高危漏洞的特征,当攻击者利用该漏洞对蜜罐主机进行攻击时,RDP数据解析模块会对此攻击进行判断,当攻击者触发漏洞特征时,RDP数据解析模块会根据漏洞特征对攻击者的攻击方式进行标记和记录。
所述的步骤7中RDP数据解析模块对攻击者传输的RDP数据包进行分层解析的方法具体为:
步骤7.1:在TCP/IP层解析中对攻击者的IP和访问端口进行捕获,同时对攻击者的TCP连接过程进行记录,记录完成后将TCP数据分为TPKT和FAST DATA;TCP/IP层保存TPKT内数据并将其传输至TPKT层;
步骤7.2:TPKT层的PDU只包含Version、Length和Payload字段,TPKT层将数据流分离为单独的消息并传输至X.224层;
步骤7.3:X.224层对X.224协议进行解析,对攻击者建立RDP连接时产生的初始连接响应进行记录,包括连接请求响应、连接确认响应和断开连接请求响应等信息;解析完成后X.224层将X.224协议内PDU转发至MCS层;
步骤7.4:MCS层对RDP连接时所创建的虚拟通道名称、通道ID等信息进行捕获和记录。并将MCS协议内PDU转发到SEC层;
步骤7.5:在SEC层内存有攻击者发送的RDP Exchange PDU,该PDU内包含加密的32字节随机数,该随机数用于生成会话密钥,可以对SEC层内数据进行加密解密,解密后数据为真正的RDP层数据,将该数据传输至RDP层;
步骤7.6:在RDP层解析中获取攻击者的用户和密码信息,包括鼠标操作和位图信息。
本发明的有益效果在于:
本发明解决了目前在对于RDP蜜罐的研究主要以模拟RDP协议的低交互蜜罐为主,这种方式提供的交互性有限,获取的信息也十分有限,并且容易被攻击者识别的问题。本发明提供的一种基于中间人技术的高交互蜜罐系统的RDP会话方法提高了RDP蜜罐的交互能力、信息收集能力和伪装能力。
附图说明
图1为本发明中蜜罐系统的架构图。
图2为本发明中RDP数据解析模块进行数据解析的流程图。
图3为RDP蜜罐容器部署图。
图4为爆破攻击测试图。
具体实施方式
下面结合附图对本发明做进一步描述。
本发明针对目前在对于RDP蜜罐的研究主要以模拟RDP协议的低交互蜜罐为主,这种方式提供的交互性有限,获取的信息也十分有限,并且容易被攻击者识别的问题。为了提高RDP蜜罐的交互能力、信息收集能力和伪装能力,本发明提出了一种基于中间人技术的高交互蜜罐系统的RDP会话方法。
一种基于中间人技术的高交互蜜罐系统的RDP会话方法,蜜罐系统包括蜜罐代理服务器、蜜罐主机、RDP数据解析模块、日志管理模块和入侵检测系统;所述的入侵检测系统包括入侵检测系统服务端和入侵检测系统客户端,入侵检测系统客户端安装在蜜罐主机内;所述的蜜罐代理服务器由RDP代理客户端和RDP代理服务端组成,RDP代理服务端与攻击者进行加密通信,RDP代理客户端与蜜罐主机进行加密通信;所述的蜜罐主机内配置有高危漏洞,用于提高蜜罐系统对攻击者的吸引诱骗能力;所述的RDP数据解析模块记录已部署的高危漏洞的特征,当攻击者利用该漏洞对蜜罐主机进行攻击时,RDP数据解析模块会对此攻击进行判断,当攻击者触发漏洞特征时,RDP数据解析模块会根据漏洞特征对攻击者的攻击方式进行标记和记录。
步骤1:当蜜罐代理服务器收到攻击者向蜜罐主机发出的连接请求时,蜜罐代理服务器向蜜罐主机发出RDP连接请求;RDP数据解析模块对攻击者的连接时间进行记录;
步骤2:蜜罐主机向蜜罐代理服务器发送公钥PubKS和自身随机串Rands;
步骤3:蜜罐代理服务器保存公钥PubKS和蜜罐主机的随机串Rands后,用自身随机串Randm、公钥PubKm和公钥的消息认证码MAC封装成数据包发送给攻击者;
步骤4:攻击者收到蜜罐代理服务器发送的数据包后,保存蜜罐代理服务器的随机串Randm,并利用自身随机串Randc和蜜罐代理服务器的公钥PubKm进行RSA加密,生成密文C′=EncRSA(Randc,PubKm)并发送至蜜罐代理服务器;
步骤5:蜜罐代理服务器收到密文C′后,使用私钥PriKM进行解密,获得攻击者的随机串Randc;蜜罐代理服务器利用自身随机串Randm和蜜罐主机的公钥PubKS进行RSA加密,生成密文C=EncRSA(Randm,PubKs)并发送给蜜罐主机;
步骤6:蜜罐主机收到密文C后,使用私钥PriKS进行解密,获得蜜罐代理服务器的随机串Randm;至此蜜罐主机和蜜罐代理服务器都共同拥有对方的随机串Rands和Randm,蜜罐代理服务器与攻击者和RDP蜜罐主机成功建立连接;蜜罐主机和蜜罐代理服务器之间的RDP会话秘钥为SKeysm=GEN(Rands,Randm);攻击者和蜜罐服务器之间的会话秘钥为SKeyCm:SKeysm=GEN(Randc,Randm);
步骤7:在攻击者与蜜罐主机的RDP会话过程中,蜜罐主机中的入侵检测系统客户端通过执行log分析、文件完整性检查、windows注册表监控和rootkit检测,实现对RDP蜜罐主机监控;入侵检测系统客户端将收集到的数据发送给入侵检测系统服务端;入侵检测系统服务端对数据进行编码分析形成日志文件并存储在日志管理模块;RDP数据解析模块对整个会话过程中产生的数据包和数据载荷进行统计和记录,对攻击者传输的RDP数据包采取分层解析,解析出的信息存储在日志管理模块,用于还原攻击者的攻击过程。
RDP数据解析模块对攻击者传输的RDP数据包进行分层解析的方法具体为:
步骤7.1:在TCP/IP层解析中对攻击者的IP和访问端口进行捕获,同时对攻击者的TCP连接过程进行记录,记录完成后将TCP数据分为TPKT和FAST DATA;TCP/IP层保存TPKT内数据并将其传输至TPKT层;
步骤7.2:TPKT层的PDU只包含Version、Length和Payload字段,TPKT层将数据流分离为单独的消息并传输至X.224层;
步骤7.3:X.224层对X.224协议进行解析,对攻击者建立RDP连接时产生的初始连接响应进行记录,包括连接请求响应、连接确认响应和断开连接请求响应等信息;解析完成后X.224层将X.224协议内PDU转发至MCS层;
步骤7.4:MCS层对RDP连接时所创建的虚拟通道名称、通道ID等信息进行捕获和记录。并将MCS协议内PDU转发到SEC层;
步骤7.5:在SEC层内存有攻击者发送的RDP Exchange PDU,该PDU内包含加密的32字节随机数,该随机数用于生成会话密钥,可以对SEC层内数据进行加密解密,解密后数据为真正的RDP层数据,将该数据传输至RDP层;
步骤7.6:在RDP层解析中获取攻击者的用户和密码信息,包括鼠标操作和位图信息。
本发明中蜜罐代理服务器由RDP代理客户端和RDP代理服务端构RDP代理服务器构成,其中RDP代理服务端与攻击者进行加密通信,RDP代理客户端与RDP蜜罐主机进行加密通信。蜜罐代理服务器与攻击者和蜜罐主机分别建立了RDP连接,两条RDP连接会话保持两套密钥。
采用OSSEC作为基于主机的入侵检测系统,其中入侵检测系统客户端部署在RDP蜜罐主机内,服务端部署在docker容器内。入侵检测系统,用于记录攻击者对蜜罐主机的恶意操作。
RDP数据解析模块会对RDP代理客户端和RDP代理服务端接收的数据进行解密和分析,得到攻击者身份信息、口令信息、鼠标和键盘输入指令、图像命令和应答数据,并记录攻击者的攻击行为。解析出的RDP会话中身份信息和口令信息、应答数据存储于日志文件中;鼠标和键盘指令、图像命令,形成回放文件。
组建可视化数据展示平台。利用ELK技术实现对捕获的攻击信息的进行传输、存储和可视化展示。可视化数据展示平台由Logstash、Elasticsearch和Kibana构成,其中Logstash负责把蜜罐代理容器和OSSEC容器内的数据传输给Elasticsearch,再利用Kibana把数据可视化展示出来。生成RDP蜜罐协同控制模块。利用docker-compose对各个模块所在容器进行协调控制,统一部署。
本发明采用真实的远程桌面服务极大的提高了蜜罐的交互性能,其次RDP高交互蜜罐系统以docker容器为载体,利用docker-compose作为容器编排工具,解决了高交互蜜罐部署难维护难的问题。最后通过利用ELK技术实现攻击过程可视化展示。
RDP代理服务器由RDP代理客户端和RDP代理服务端构成,RDP代理服务器,其中RDP代理服务端与攻击者进行通信,RDP代理客户端与RDP蜜罐主机进行通信。RDP代理服务端负责与攻击者进行通信,当攻击者发送连接请求时,会对连接请求进行响应和初始化,并进入RDP会话连接保持阶段。利用RDP会话连接,接收攻击者发送的RDP数据包,重新组装后传送给RDP代理客户端。RDP代理客户端负责与RDP蜜罐主机建立连接,将来自代理服务端的数据包重新组装后发送给RDP蜜罐主机。RDP代理客户端还需要接收蜜罐主机发送的响应数据包,并发送给RDP代理服务端。
基于中间人蜜罐代理服务器与客户端和服务端分别进行秘钥协商,建立RDP会话。对于客户端来说蜜罐代理端是服务器,由它向客户端提供远程桌面服务;而对于服务器来说,蜜罐代理服务器又充当客户端,把鼠标,键盘信息发送给服务器。因此,基于中间人蜜罐代理服务器秘钥协商方案共分四步完成。
第一步当客户端向蜜罐代理服务器发出连接请求。蜜罐代理服务器收到请求后,向RDP服务器发出RDP连接请求。之后,RDP服务器向蜜罐代理服务器发送公钥PubKS和服务器随机串Rands,代理服务器保存公钥和随机串。之后,蜜罐代理服务器用自身随机串Randm、公钥PubKm和公钥的消息认证码(Message Authentication Code,MAC)封装成数据包发送给客户端。
第二步客户端收到蜜罐代理服务器包含Randm、PubKm和MAC的数据包后保存Randm。之后利用客户端随机串Randc和PubKm进行RSA加密生密文C′.并发送至蜜罐代理服务器。其中密文C:C=EncRSA(Randc,PubKm)。
第三步,蜜罐代理服务器收到C′后,使用私钥PriKM进行解密,并获得客户端Randc。之后,代理服务器利用PubKS和Randm进行RSA加密得到C′:C′=EncRSA(Randm,PubKs)。
第四步,RDP服务端收到密文C后,利用私钥PriKS对C进行解密并获得Randm。至此RDP服务器和蜜罐代理服务器都共同拥有对方的随机串Rands和Randm。之后可计算出RDP服务器和蜜罐代理服务器之间的RDP会话秘钥SKeysm:SKeysm=GEN(Rands,Randm)。
同理客户端和蜜罐服务器之间的会话秘钥为SKeyCm:SKeysm=GEN(Randc,Randm)。
最终,蜜罐代理服务器与RDP客户端和服务端成功建立连接。在之后的通信中,蜜罐代理服务器将利用这两个RDP会话,对来往数据进行数据解密。
采用OSSEC作为基于主机的入侵检测系统,它通过执行log分析、文件完整性检查、windows注册表监控和rootkit检测,实现对RDP蜜罐主机监控。由于OSSEC采用客户端服务器架构,所以入侵检测系统客户端部署在RDP蜜罐主机内,服务端部署在docker容器内。客户端把收集数据到的数据发送给服务端,服务端对数据进行编码分析形成日志文件,最终由ELK对日志进行传输、储存和展示。
如图2所示,RDP解析模块采用对RDP协议分层解析的方式,逐层对RDP数据包进行解析,每一层的工作是对PDU(协议数据单元)进行解析,并丢弃无用信息,把需要的信息继续转发到下一层。
首先当攻击者发起RDP连接时,该模块会对攻击者的连接时间进行记录,并对双方通信过程进行解析。首先为TCP/IP层解析,在该层中会对攻击者的IP和访问端口进行捕获,同时也会对其TCP连接过程进行记录。当记录完成后,TCP/IP层会转发所有数据,并提供一种在连接上开始使用TLS的方法。之后将TCP数据分为TPKT和FAST DATA,而TPKT内数据将被保留下来并传输到下一层。接下来进入TPKT层,TPKT的PDU只包含Version、Length和Payload字段,在该层中,仅需将数据流分离为单独的消息。
随后,TPKT数据分离后进入X.224层,其中X.224协议为面向连接的传输协议这个协议的作用就是进行传输连接的建立,通过对该层协议进行解析,可以对攻击者建立RDP连接时产生的初始连接响应进行记录,包括连接请求响应、连接确认响应和断开连接请求响应等信息,随后将X.224协议内PDU转发到MCS层进行进一步解析。
进入MCS层后,由于MCS(多点通信协议)是一种多点通信服务,其中GCC(通用会议控制)负责管理这些频道。GCC允许创建和删除由MCS提供的会话连接和控制资源。该协议的每个功能都有一个通道,每种通道都实现了不同的功能。针对不同类型的通道,将用户ID和通道ID进行绑定,对不同类型的通道进行分离。对此在MCS层中,将会对RDP连接时所创建的虚拟通道名称、通道ID等信息进行捕获和记录。随后将MCS协议内PDU转发到SEC层。
在SEC层内存有攻击者发送的RDP ExchangePDU,该PDU内包含加密的32字节随机数,该随机数用于生成会话密钥,可以对SEC层内数据进行加密解密。解密后数据为真正的RDP层数据,在RDP层内可以获取攻击者的用户和密码信息,还包括鼠标操作和位图信息,这些信息可用于还原攻击者的攻击过程。另外,RDP数据解析模块会对整个连接过程产生的数据包和数据载荷进行统计和记录。
此外,通过在RDP蜜罐内配置高危漏洞,如CVE-2019-0708漏洞、Bluekeep漏洞等已知漏洞,可用于提高RDP蜜罐对攻击者的吸引诱骗能力。同时,RDP数据解析模块会记录已部署高危漏洞的特征,当攻击利用该漏洞对RDP蜜罐进行攻击者时,RDP解析模块会对此攻击进行判断,当攻击者触发漏洞特征时,解析模块会根据漏洞特征对攻击者的攻击方式进行标记和记录。最终所有数据按照表1所示数据字段进行分类,并交由可视化数据展示模块进行处理。
表1字段解析表
字段名称 | 字段含义 | 字段名称 | 字段含义 |
timestamp | 时间戳 | ChannelId | 通道ID |
Client IP | 客户端IP | ChannelName | 通道名称 |
Clientaddress | 客户端地址 | ClientName | 客户端名称 |
payload | 数据载荷 | ConnectionTime | 连接总时间 |
username | 用户名 | Password | 密码 |
SessionID | 会话ID | Domain | 域名 |
Agent Ip | 客户端IP | IP Position | Ip所在位置 |
Vulnerability Type | 漏洞类型 | Packets Number | 数据包总数 |
可视化数据展示模块由Logstash容器、Elasticsearch容器和Kibana容器共同构成。其中Logstash负责把RDP数据解析模块内数据和入侵检测系统内数据传输给Elasticsearch,再利用Kibana把数据可视化展示出来。
RDP蜜罐协同控制模块利用docker-compose实现对容器的协同控制,其中Compose是用于定义和运行多容器Docker应用程序的工具。通过Compose,使用YML文件来配置应用程序需要的所有服务。然后,通过docker-composeup-d命令就可以从YML文件配置中创建并启动所有服务。如图3所示所有容器由dockers-compose同一控制,其中蜜罐代理容器包含蜜罐代理服务器和RDP解析模块,OSSEC容器为入侵检测系统服务端,日志管理系统由Logstash容器、Elasticsearch容器和Kibana容器共同构成。
针对暴力破解测试本发明利用RDP爆破工具对RDP蜜罐系统进行爆破测试,其中测试所用爆破字典共有10条用户名信息和400条密码信息。捕获的攻击次数如图4所示,爆破攻击持续时间为10分钟,其峰值次数为451次。通过测试可知RDP蜜罐系统可有效记录针对RDP协议暴力破解攻击。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种基于中间人技术的高交互蜜罐系统的RDP会话方法,其特征在于:蜜罐系统包括蜜罐代理服务器、蜜罐主机、RDP数据解析模块、日志管理模块和入侵检测系统;所述的入侵检测系统包括入侵检测系统服务端和入侵检测系统客户端,入侵检测系统客户端安装在蜜罐主机内;所述的蜜罐代理服务器由RDP代理客户端和RDP代理服务端组成,RDP代理服务端与攻击者进行加密通信,RDP代理客户端与蜜罐主机进行加密通信;具体包括以下步骤:
步骤1:当蜜罐代理服务器收到攻击者向蜜罐主机发出的连接请求时,蜜罐代理服务器向蜜罐主机发出RDP连接请求;RDP数据解析模块对攻击者的连接时间进行记录;
步骤2:蜜罐主机向蜜罐代理服务器发送公钥PubKS和自身随机串Rands;
步骤3:蜜罐代理服务器保存公钥PubKS和蜜罐主机的随机串Rands后,用自身随机串Randm、公钥PubKm和公钥的消息认证码MAC封装成数据包发送给攻击者;
步骤4:攻击者收到蜜罐代理服务器发送的数据包后,保存蜜罐代理服务器的随机串Randm,并利用自身随机串Randc和蜜罐代理服务器的公钥PubKm进行RSA加密,生成密文C′=EncRSA(Randc,PubKm)并发送至蜜罐代理服务器;
步骤5:蜜罐代理服务器收到密文C′后,使用私钥PriKM进行解密,获得攻击者的随机串Randc;蜜罐代理服务器利用自身随机串Randm和蜜罐主机的公钥PubKS进行RSA加密,生成密文C=EncRSA(Randm,PubKs)并发送给蜜罐主机;
步骤6:蜜罐主机收到密文C后,使用私钥PriKS进行解密,获得蜜罐代理服务器的随机串Randm;至此蜜罐主机和蜜罐代理服务器都共同拥有对方的随机串Rands和Randm,蜜罐代理服务器与攻击者和RDP蜜罐主机成功建立连接;蜜罐主机和蜜罐代理服务器之间的RDP会话秘钥为SKeysm=GEN(Rands,Randm);攻击者和蜜罐服务器之间的会话秘钥为SKeyCm:SKeysm=GEN(Randc,Randm);
步骤7:在攻击者与蜜罐主机的RDP会话过程中,蜜罐主机中的入侵检测系统客户端通过执行log分析、文件完整性检查、windows注册表监控和rootkit检测,实现对RDP蜜罐主机监控;入侵检测系统客户端将收集到的数据发送给入侵检测系统服务端;入侵检测系统服务端对数据进行编码分析形成日志文件并存储在日志管理模块;RDP数据解析模块对整个会话过程中产生的数据包和数据载荷进行统计和记录,对攻击者传输的RDP数据包采取分层解析,解析出的信息存储在日志管理模块,用于还原攻击者的攻击过程。
2.根据权利要求1所述的一种基于中间人技术的高交互蜜罐系统的RDP会话方法,其特征在于:所述的蜜罐主机内配置有高危漏洞,用于提高蜜罐系统对攻击者的吸引诱骗能力;所述的RDP数据解析模块记录已部署的高危漏洞的特征,当攻击者利用该漏洞对蜜罐主机进行攻击时,RDP数据解析模块会对此攻击进行判断,当攻击者触发漏洞特征时,RDP数据解析模块会根据漏洞特征对攻击者的攻击方式进行标记和记录。
3.根据权利要求1或2所述的一种基于中间人技术的高交互蜜罐系统的RDP会话方法,其特征在于:所述的步骤7中RDP数据解析模块对攻击者传输的RDP数据包进行分层解析的方法具体为:
步骤7.1:在TCP/IP层解析中对攻击者的IP和访问端口进行捕获,同时对攻击者的TCP连接过程进行记录,记录完成后将TCP数据分为TPKT和FAST DATA;TCP/IP层保存TPKT内数据并将其传输至TPKT层;
步骤7.2:TPKT层的PDU只包含Version、Length和Payload字段,TPKT层将数据流分离为单独的消息并传输至X.224层;
步骤7.3:X.224层对X.224协议进行解析,对攻击者建立RDP连接时产生的初始连接响应进行记录,包括连接请求响应、连接确认响应和断开连接请求响应等信息;解析完成后X.224层将X.224协议内PDU转发至MCS层;
步骤7.4:MCS层对RDP连接时所创建的虚拟通道名称、通道ID等信息进行捕获和记录。并将MCS协议内PDU转发到SEC层;
步骤7.5:在SEC层内存有攻击者发送的RDP Exchange PDU,该PDU内包含加密的32字节随机数,该随机数用于生成会话密钥,可以对SEC层内数据进行加密解密,解密后数据为真正的RDP层数据,将该数据传输至RDP层;
步骤7.6:在RDP层解析中获取攻击者的用户和密码信息,包括鼠标操作和位图信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011343306.9A CN112333203A (zh) | 2020-11-26 | 2020-11-26 | 一种基于中间人技术的高交互蜜罐系统的rdp会话方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011343306.9A CN112333203A (zh) | 2020-11-26 | 2020-11-26 | 一种基于中间人技术的高交互蜜罐系统的rdp会话方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112333203A true CN112333203A (zh) | 2021-02-05 |
Family
ID=74307924
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011343306.9A Pending CN112333203A (zh) | 2020-11-26 | 2020-11-26 | 一种基于中间人技术的高交互蜜罐系统的rdp会话方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112333203A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113114692A (zh) * | 2021-04-16 | 2021-07-13 | 恒安嘉新(北京)科技股份公司 | 一种5g独立组网的移动网络蜜罐系统 |
CN114499915A (zh) * | 2021-09-28 | 2022-05-13 | 北京卫达信息技术有限公司 | 一种虚拟节点与蜜罐结合的诱捕攻击方法、装置及系统 |
CN115086068A (zh) * | 2022-07-19 | 2022-09-20 | 电子科技大学 | 一种网络入侵检测方法和装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209954A (zh) * | 2015-05-08 | 2016-12-07 | 中国科学院声学研究所 | 一种rdp明文数据解析方法及装置 |
-
2020
- 2020-11-26 CN CN202011343306.9A patent/CN112333203A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209954A (zh) * | 2015-05-08 | 2016-12-07 | 中国科学院声学研究所 | 一种rdp明文数据解析方法及装置 |
Non-Patent Citations (2)
Title |
---|
张孟洋: "《蜜罐技术在入侵检测系统中的应用设计》", 《丽水学院学报》 * |
王悦: "《RDP协议的安全性分析与中间人攻击》", 《万方学位论文库》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113114692A (zh) * | 2021-04-16 | 2021-07-13 | 恒安嘉新(北京)科技股份公司 | 一种5g独立组网的移动网络蜜罐系统 |
CN114499915A (zh) * | 2021-09-28 | 2022-05-13 | 北京卫达信息技术有限公司 | 一种虚拟节点与蜜罐结合的诱捕攻击方法、装置及系统 |
CN115086068A (zh) * | 2022-07-19 | 2022-09-20 | 电子科技大学 | 一种网络入侵检测方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11496475B2 (en) | Methods and systems for data traffic based adaptive security | |
Rösler et al. | More is less: On the end-to-end security of group chats in signal, whatsapp, and threema | |
CN112333203A (zh) | 一种基于中间人技术的高交互蜜罐系统的rdp会话方法 | |
Recabarren et al. | Hardening stratum, the bitcoin pool mining protocol | |
Barradas et al. | Poking a hole in the wall: Efficient censorship-resistant Internet communications by parasitizing on WebRTC | |
Lucena et al. | Syntax and semantics-preserving application-layer protocol steganography | |
Wang et al. | Security implications of transport layer protocols in power grid synchrophasor data communication | |
CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
Thankappan et al. | Multi-Channel Man-in-the-Middle attacks against protected Wi-Fi networks: A state of the art review | |
Praseed et al. | Multiplexed asymmetric attacks: Next-generation DDoS on HTTP/2 servers | |
Abdullaziz et al. | Lightweight authentication mechanism for software defined network using information hiding | |
CN114938312B (zh) | 一种数据传输方法和装置 | |
CN115549932A (zh) | 一种面向海量异构物联网终端的安全接入系统及接入方法 | |
Mannan et al. | Secure public instant messaging: A survey | |
WO2016065787A1 (zh) | 一种rdp数据采集装置及方法 | |
Sentanoe et al. | SSHkex: Leveraging virtual machine introspection for extracting SSH keys and decrypting SSH network traffic | |
GB2488753A (en) | Encrypted communication | |
CN113849815A (zh) | 一种基于零信任和机密计算的统一身份认证平台 | |
Atighetchi et al. | Safe configuration of TLS connections | |
CN112003842A (zh) | 高交互蜜罐系统和蜜罐防护方法 | |
Knöchel et al. | Analysing attackers and intrusions on a high-interaction honeypot system | |
CN115150076A (zh) | 一种基于量子随机数的加密系统及方法 | |
CN112333088B (zh) | 一种兼容性即时通信传输方法 | |
Zheng et al. | Application-based TCP hijacking | |
Bistarelli et al. | A survey of steganography tools at layers 2-4 and HTTP |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210205 |