CN113783885A - 一种蜜罐网络代理方法及相关装置 - Google Patents
一种蜜罐网络代理方法及相关装置 Download PDFInfo
- Publication number
- CN113783885A CN113783885A CN202111088657.4A CN202111088657A CN113783885A CN 113783885 A CN113783885 A CN 113783885A CN 202111088657 A CN202111088657 A CN 202111088657A CN 113783885 A CN113783885 A CN 113783885A
- Authority
- CN
- China
- Prior art keywords
- source address
- data packet
- proxy server
- port
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种蜜罐网络代理方法,包括:接收流量代理服务端发送的第一数据包;确定第一数据包对应的流量代理客户端的源地址与源地址端口;将第一数据包的源地址与源地址端口对应替换为流量代理客户端的源地址与源地址端口后,将第一数据包发送给被代理蜜罐节点;接收代理蜜罐节点返回的第二数据包;确定第二数据包对应的流量代理服务端的源地址与源地址端口;将第二数据包的目的地址与目的地址端口对应替换为流量代理服务端的源地址与源地址端口后,将第二数据包发送给流量代理服务端。该方法可获取被代理流量的真实的源地址与源地址端口,并且成本较低。本申请还公开了一种蜜罐网络代理装置、设备及计算机可读存储介质,均具有上述技术效果。
Description
技术领域
本申请涉及网络技术领域,特别涉及一种蜜罐网络代理方法;还涉及一种蜜罐网络代理装置、设备以及计算机可读存储介质。
背景技术
蜜罐网络是通过虚拟化的手段实现的蜜罐节点组成的网络。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对这些诱饵实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
通过流量代理节点把流量引到对应的蜜罐节点,是一种低成本实现蜜罐捕获能力的方式。而且可以把流量代理的软件部署至真实的业务环境进一步拓攻击面。在有限虚拟化资源的情况下最大限度的提升蜜罐网络的攻击记录捕获能力。
然而,由于从代理客户端到被代理蜜罐的流量源地址、源地址端口会被替换成代理服务器的地址与端口,从而导致被代理后的流量所触发的攻击记录源地址与端口为代理服务器的源地址与端口,使被代理服务无法感知真实客户端地址。对此,虽然有代理方案通过制定特定的数据包来实现源地址信息的传递,但是实施成本较高,且需要对应的被代理服务端协议支持。
因此,提供一种低成本、能够获取被代理流量的真实的源地址与端口的网络代理方案已成为本领域技术人员亟待解决的技术问题。
发明内容
本申请的目的是提供一种蜜罐网络代理方法,够获取被代理流量的真实的源地址与源地址端口,并且成本低。本申请的另一个目的是提供一种蜜罐网络代理装置、设备以及计算机可读存储介质,均具有上述技术效果。
为解决上述技术问题,本申请提供了一种蜜罐网络代理方法,包括:
接收流量代理服务端发送的第一数据包;
确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;
将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;
接收所述代理蜜罐节点返回的第二数据包;
确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;
将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
可选的,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口以及确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口包括:
通过iptables确定所述第一数据包对应的流量代理客户端的源地址与源地址端口以及确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
可选的,所述确定所述第一数据包对应的流量代理客户端的源地址与源地址端口包括:
根据所述流量代理服务端下发的源地址转换规则,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口。
可选的,所述确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口包括:
根据所述流量代理服务端下发的目的地址转换规则,确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
可选的,所述代理服务端下发所述源地址转换规则与所述目的地址转换规则包括:
所述代理服务端通过shell指令下发所述源地址转换规则与所述目的地址转换规则。
为解决上述技术问题,本申请还提供了一种蜜罐网络代理装置,包括:
第一接收模块,用于接收流量代理服务端发送的第一数据包;
第一确定模块,用于确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;
第一替换模块,用于将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;
第二接收模块,用于接收所述代理蜜罐节点返回的第二数据包;
第二确定模块,用于确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;
第二替换模块,用于将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
可选的,所述第一确定模块具体用于根据所述流量代理服务端下发的源地址转换规则,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口。
可选的,所述第二确定模块具体用于根据所述流量代理服务端下发的目的地址转换规则,确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
为解决上述技术问题,本申请还提供了一种蜜罐网络代理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一项所述的蜜罐网络代理方法的步骤。
为解决上述技术问题,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述的蜜罐网络代理方法的步骤。
本申请所提供的蜜罐网络代理方法,包括:接收流量代理服务端发送的第一数据包;确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;接收所述代理蜜罐节点返回的第二数据包;确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
可见,本申请所提供的蜜罐网络代理方法,在流量代理服务端向被代理蜜罐节点发送数据时,会将流量代理服务端发送的数据的源地址与源地址端口替换为相应的流量代理客户端的源地址与源地址端口,以此使被代理蜜罐节点可以获知数据的真实的源地址与源地址端口。在被代理蜜罐节点向流量代理服务端返回数据时,会将被代理蜜罐节点返回的数据的目的地址与目的地址端口替换为流量代理服务端的源地址与源地址端口,以此使数据可以正常有效返回给流量代理服务端,确保网络代理流程的正常有效进行。采用在网络代理流程中通过进行地址转换的方式,在不用修改原系统的基础上,可以使被代理蜜罐节点可以获知数据的真实的源地址与源地址端口,成本较低,并且可以实现完全透明代理。
本申请所提供的蜜罐网络代理装置、设备以及计算机可读存储介质均具有上述技术效果。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种蜜罐网络代理方法的流程示意图;
图2为本申请实施例所提供的一种蜜罐网络代理流程示意图;
图3为本申请实施例所提供的一种蜜罐网络代理装置的示意图;
图4为本身亲实施例所提供的一种蜜罐网络代理设备的示意图。
具体实施方式
本申请的核心是提供一种蜜罐网络代理方法,够获取被代理流量的真实的源地址与源地址端口,并且成本低。本申请的另一个核心是提供一种蜜罐网络代理装置、设备以及计算机可读存储介质,均具有上述技术效果。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参考图1,图1为本申请实施例所提供的一种蜜罐网络代理方法的流程示意图,参考图1所示,该方法包括:
S101:接收流量代理服务端发送的第一数据包;
S102:确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;
S103:将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;
具体的,攻击者发起的数据首先由流量代理客户端发送给流量代理服务端,流量代理服务端再进一步将数据发送给被代理蜜罐节点。在流量代理服务端将数据进一步发送给被代理蜜罐节点时,数据的源地址与源地址端口已经由流量代理客户端的源地址与源地址端口变成了流量代理服务端的源地址与源地址端口,导致被代理蜜罐节点无法获知数据的真实源地址与真实源地址端口。为此,本申请在流量代理服务端与被代理蜜罐节点之间设置了中间环节,由此中间环节首先接收流量代理服务端发送的数据,并确定该数据对应的流量代理客户端的源地址与源地址端口。在确定了数据的真实源地址与真实源地址端口之后,中间环节进行源地址替换,将数据的源地址与源地址端口替换成数据的真实源地址与真实源地址端口,即将数据的源地址与源地址端口由流量代理服务端的源地址与源地址端口替换为相应的流量代理客户端的源地址与源地址端口,进而再将包含真实源地址与真实源地址端口的数据发送给被代理蜜罐节点,以使被代理蜜罐节点获知数据的真实源地址与真实源地址端口。
其中,在一种具体的实施方式中,所述确定所述第一数据包对应的流量代理客户端的源地址与源地址端口的方式为:根据所述流量代理服务端下发的源地址转换规则,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口。
具体而言,流量代理服务端向中间环节下发源地址转换规则,该源地址转换规则包含源地址、源地址端口、替换后的源地址以及替换后的源地址端口。源地址转换规则中的源地址与源地址端口是流量代理服务端的源地址与源地址端口。替换后的源地址是指数据的真实的源地址即数据对应的流量代理客户端的源地址,替换后的源地址端口是指数据的真实的源地址端口即数据对应的流量代理客户端的源地址端口。
中间环节根据此源地址转换规则,即可确定出数据真实的源地址与真实的源地址端口,进而将数据的源地址与源地址端口替换为真实的源地址与源地址端口。
S104:接收所述代理蜜罐节点返回的第二数据包;
S105:确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;
S106:将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
具体的,代理蜜罐节点接收到包含真实的源地址与真实的源地址端口的数据后,被代理蜜罐节点进一步会向流量代理服务端返回相关数据。由于被代理蜜罐节点接收的数据是包含真实的源地址与真实的源地址端口的数据,所以被代理蜜罐节点返回的数据的目的地址就是该真实的源地址,被代理蜜罐节点返回的数据的目的地址端口就是该真实的源地址端口。然而,真实的源地址是流量代理客户端的源地址,而非流量代理服务端的源地址,真实的源地址端口是流量代理客户端的源地址端口,而非流量代理服务端的源地址端口,因此,被代理蜜罐节点返回的数据无法正常返回给流量代理服务端。
为此,在被代理蜜罐节点返回数据时,中间环节再次发挥地址转换的作用。中间环节首先接收被代理蜜罐节点返回的数据,并确定该数据要返回到的流量代理服务端的源地址与源地址端口。在确定了流量代理服务端的源地址与源地址端口之后,中间环节进行目的地址替换,将数据的目的地址由流量代理客户端的源地址替换成流量代理服务端的源地址,将数据的目的地址端口由流量代理客户端的源地址替换成流量代理服务端的源地址端口。进而再将目的地址与目的地址端口对应替换为流量代理服务端的源地址与源地址端口的数据返回给流量代理服务端,以使流量代理服务端接收到数据后进一步将数据发送给流量代理客户端,以此完成代理流程。
其中,在一种具体的实施方式中,所述确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口的方式为:根据所述流量代理服务端下发的目的地址转换规则,确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
具体而言,流量代理服务端向中间环节下发目的地址转换规则,该目的地址转换规则包含目的地址、目的地址端口、替换后的目的地址以及替换后的目的地址端口。目的地址转换规则中的目的地址与目的地址端口是指向流量代理客户端的目的地址与目的地址端口。替换后的目的地址是指向流量代理服务端的目的地址,替换后的目的地址端口是指向流量代理服务端的目的地址。也就是说,替换后的目的地址是流量代理服务端的源地址,替换后的目的地址端口是流量代理服务端的源地址端口。
中间环节根据此目的地址转换规则,即可确定出流量代理服务端的源地址与源地址端口,进而将被代理蜜罐节点返回的数据的目的地址与目的地址端口对应替换为流量代理服务端的源地址与源地址端口。
可以明白的是,第一数据包是指流量代理服务端向被代理蜜罐节点发送的数据包,第二数据包是指被代理蜜罐节点向流量代理服务端发送的数据包。第一、第二的表述是为了区分流量代理服务端发送的数据与被代理蜜罐节点发送的数据包,而不作为大小、优先级等的限定。
进一步,所述代理服务端下发所述源地址转换规则与所述目的地址转换规则的方式可以为:所述代理服务端通过shell指令下发所述源地址转换规则与所述目的地址转换规则。
具体而言,本实施例中,流量代理服务端具体通过shell指令下发源地址转换规则与目的地址转换规则。
shell命令实现如下
创建源地址转换规则:
iptables-t nat-A POSTROUTING-p tcp-s"源地址"--sport“源地址端口”-d“目的地址”--dport“目的地址端口”-j SNAT--to-source“替换后的源地址”:“替换后的源地址端口”
创建目的地址转换规则:
iptables-t nat-A PREROUTING-p tcp-s"源地址"--sport“源地址端口”-d“目的地址”--dport“目的地址端口”-j DNAT--to-destination“替换后的目的地址”:替换后的目的地址端口"
删除源地址转换规则:
iptables-t nat-D POSTROUTING-p tcp-s"源地址"--sport“源地址端口”-d“目的地址”--dport“目的地址端口”-j SNAT--to-source“替换后的源地址”:“替换后的源地址端口”
删除目的地址转换规则:
iptables-t nat-D PREROUTING-p tcp-s"源地址"--sport“源地址端口”-d“目的地址”--dport“目的地址端口”-j DNAT--to-destination“替换后的目的地址”:替换后的目的地址端口"
进一步,在上述实施例的基础上,作为一种优选的实施方式,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口以及确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口包括:通过iptables确定所述第一数据包对应的流量代理客户端的源地址与源地址端口以及确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
具体而言,本实施例中,流量代理服务端与被代理蜜罐节点之间的中间环节为iptables。iptables为Linux平台下的包过滤防火墙,具有完成封包过滤、封包重定向和网络地址转换等功能。
参考图2所示,以iptables作为流量代理服务端与被代理蜜罐节点之间的中间环节的网络代理流程可以如下:攻击者访问流量代理客户端,流量代理客户端向流量代理服务端发送连接建立请求。流量代理服务端收到连接建立请求并读取请求中的源地址与目的地址信息,并对iptables下发地址转换规则,包括源地址转换规则与目的地址转换规则。流量代理服务端在下发地址转换规则后,绑定地址转换规则中的指定端口并向指定的蜜罐地址创建TCP连接。流量代理客户向代理服务端端发送封包后的数据。流量代理服务端收到流量代理客户端发送的数据包并解包,通过建立的TCP连接发送数据。流量代理服务端收到被代理蜜罐节点返回的数据,打包向流量代理客户端发送。流量代理客户端将收到的数据向攻击者发回。在流量代理服务端向被代理蜜罐节点发送数据与被代理蜜罐节点向流量代理服务端返回数据的过程中,iptables负责根据地质转换规则进行地址转换。
综上所述,本申请所提供的蜜罐网络代理方法,在流量代理服务端向被代理蜜罐节点发送数据时,会将流量代理服务端发送的数据的源地址与源地址端口替换为相应的流量代理客户端的源地址与源地址端口,以此使被代理蜜罐节点可以获知数据的真实的源地址与源地址端口。在被代理蜜罐节点向流量代理服务端返回数据时,会将被代理蜜罐节点返回的数据的目的地址与目的地址端口替换为流量代理服务端的源地址与源地址端口,以此使数据可以正常有效返回给流量代理服务端,确保网络代理流程的正常有效进行。采用在网络代理流程中通过进行地址转换的方式,在不用修改原系统的基础上,可以使被代理蜜罐节点可以获知数据的真实的源地址与源地址端口,成本较低,并且可以实现完全透明代理。
本申请还提供了一种蜜罐网络代理装置,下文描述的该装置可以与上文描述的方法相互对应参照。请参考图3,图3为本申请实施例所提供的一种蜜罐网络代理装置的示意图,结合图3所示,该装置包括:
第一接收模块10,用于接收流量代理服务端发送的第一数据包;
第一确定模块20,用于确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;
第一替换模块30,用于将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;
第二接收模块40,用于接收所述代理蜜罐节点返回的第二数据包;
第二确定模块50,用于确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;
第二替换模块60,用于将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
在上述实施例的基础上,可选的,所述第一确定模块20通过iptables确定所述第一数据包对应的流量代理客户端的源地址与源地址端口,所述第二确定模块50通过iptables确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
在上述实施例的基础上,可选的,所述第一确定模块20具体用于根据所述流量代理服务端下发的源地址转换规则,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口。
在上述实施例的基础上,可选的,所述第二确定模块50具体用于根据所述流量代理服务端下发的目的地址转换规则,确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
在上述实施例的基础上,可选的,所述代理服务端通过shell指令下发所述源地址转换规则与所述目的地址转换规则。
本申请还提供了一种蜜罐网络代理设备,参考图4所示,该设备包括存储器1和处理器2。
存储器1,用于存储计算机程序;
处理器2,用于执行计算机程序实现如下的步骤:
接收流量代理服务端发送的第一数据包;确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;接收所述代理蜜罐节点返回的第二数据包;确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
对于本申请所提供的设备的介绍请参照上述方法实施例,本申请在此不做赘述。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下的步骤:
接收流量代理服务端发送的第一数据包;确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;接收所述代理蜜罐节点返回的第二数据包;确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本申请所提供的计算机可读存储介质的介绍请参照上述方法实施例,本申请在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、设备以及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的蜜罐网络代理方法、装置、设备以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围。
Claims (10)
1.一种蜜罐网络代理方法,其特征在于,包括:
接收流量代理服务端发送的第一数据包;
确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;
将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;
接收所述代理蜜罐节点返回的第二数据包;
确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;
将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
2.根据权利要求1所述的蜜罐网络代理方法,其特征在于,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口以及确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口包括:
通过iptables确定所述第一数据包对应的流量代理客户端的源地址与源地址端口以及确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
3.根据权利要求1所述的蜜罐网络代理方法,其特征在于,所述确定所述第一数据包对应的流量代理客户端的源地址与源地址端口包括:
根据所述流量代理服务端下发的源地址转换规则,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口。
4.根据权利要求3所述的蜜罐网络代理方法,其特征在于,所述确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口包括:
根据所述流量代理服务端下发的目的地址转换规则,确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
5.根据权利要求4所述的蜜罐网络代理方法,其特征在于,所述代理服务端下发所述源地址转换规则与所述目的地址转换规则包括:
所述代理服务端通过shell指令下发所述源地址转换规则与所述目的地址转换规则。
6.一种蜜罐网络代理装置,其特征在于,包括:
第一接收模块,用于接收流量代理服务端发送的第一数据包;
第一确定模块,用于确定所述第一数据包对应的流量代理客户端的源地址与源地址端口;
第一替换模块,用于将所述第一数据包的源地址与源地址端口对应替换为所述流量代理客户端的源地址与源地址端口后,将所述第一数据包发送给被代理蜜罐节点;
第二接收模块,用于接收所述代理蜜罐节点返回的第二数据包;
第二确定模块,用于确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口;
第二替换模块,用于将所述第二数据包的目的地址与目的地址端口对应替换为所述流量代理服务端的源地址与源地址端口后,将所述第二数据包发送给所述流量代理服务端。
7.根据权利要求6所述的蜜罐网络代理装置,其特征在于,所述第一确定模块具体用于根据所述流量代理服务端下发的源地址转换规则,确定所述第一数据包对应的流量代理客户端的源地址与源地址端口。
8.根据权利要求6所述的蜜罐网络代理装置,其特征在于,所述第二确定模块具体用于根据所述流量代理服务端下发的目的地址转换规则,确定所述第二数据包对应的所述流量代理服务端的源地址与源地址端口。
9.一种蜜罐网络代理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述的蜜罐网络代理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的蜜罐网络代理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111088657.4A CN113783885B (zh) | 2021-09-16 | 2021-09-16 | 一种蜜罐网络代理方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111088657.4A CN113783885B (zh) | 2021-09-16 | 2021-09-16 | 一种蜜罐网络代理方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113783885A true CN113783885A (zh) | 2021-12-10 |
| CN113783885B CN113783885B (zh) | 2022-12-30 |
Family
ID=78851450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111088657.4A Active CN113783885B (zh) | 2021-09-16 | 2021-09-16 | 一种蜜罐网络代理方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113783885B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
| CN114915492A (zh) * | 2022-06-21 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
| CN116708041A (zh) * | 2023-08-07 | 2023-09-05 | 烽台科技(北京)有限公司 | 伪装代理方法、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3057283A1 (en) * | 2015-02-16 | 2016-08-17 | Alcatel Lucent | A method for mitigating a security breach, a system, a virtual honeypot and a computer program product |
| CN110557358A (zh) * | 2018-05-31 | 2019-12-10 | 武汉安天信息技术有限责任公司 | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 |
-
2021
- 2021-09-16 CN CN202111088657.4A patent/CN113783885B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3057283A1 (en) * | 2015-02-16 | 2016-08-17 | Alcatel Lucent | A method for mitigating a security breach, a system, a virtual honeypot and a computer program product |
| CN110557358A (zh) * | 2018-05-31 | 2019-12-10 | 武汉安天信息技术有限责任公司 | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
| CN114915492A (zh) * | 2022-06-21 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
| CN114915492B (zh) * | 2022-06-21 | 2024-03-05 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
| CN116708041A (zh) * | 2023-08-07 | 2023-09-05 | 烽台科技(北京)有限公司 | 伪装代理方法、装置、设备及介质 |
| CN116708041B (zh) * | 2023-08-07 | 2023-11-03 | 烽台科技(北京)有限公司 | 伪装代理方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113783885B (zh) | 2022-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113783885B (zh) | 一种蜜罐网络代理方法及相关装置 | |
| JP4690480B2 (ja) | ファイアウォールサービス提供方法 | |
| US7293108B2 (en) | Generic external proxy | |
| CA2182777C (en) | Security system for interconnected computer networks | |
| US6170012B1 (en) | Methods and apparatus for a computer network firewall with cache query processing | |
| US7391770B1 (en) | Network access control system and method using adaptive proxies | |
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
| US9917928B2 (en) | Network address translation | |
| JP4829982B2 (ja) | ピアツーピア通信の検出及び制御 | |
| CN107995324A (zh) | 一种基于隧道模式的云防护方法及装置 | |
| JPH11167538A (ja) | ファイアウォールサービス提供方法 | |
| JPH11163940A (ja) | パケット検証方法 | |
| CN105430059A (zh) | 智能客户端路由 | |
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| CN114389900A (zh) | 一种基于OpenResty异常流量捕获与拦截的方法和系统 | |
| CN114024731A (zh) | 报文处理方法及装置 | |
| CN116708041B (zh) | 伪装代理方法、装置、设备及介质 | |
| CN107241297B (zh) | 通信拦截方法及装置、服务器 | |
| CN104038494A (zh) | 一种记录攻击来源的方法及交换机 | |
| CN110213399A (zh) | 基于netfilter机制的dhcp服务器探测方法、存储介质及终端 | |
| CN109587204B (zh) | 一种访问公网的方法、装置和电子设备 | |
| EP3989509A1 (en) | Method for realizing network dynamics, system, terminal device and storage medium | |
| JP3549861B2 (ja) | 分散型サービス不能攻撃の防止方法および装置ならびにそのコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |