【技术实现步骤摘要】
在蜜罐场景下获取攻击者信息的系统及方法
本专利技术涉及网络安全
,特别是一种在蜜罐场景下获取攻击者信息的系统及方法。
技术介绍
目前在蜜罐场景下采用的方法一是通过透明代理的方式进行攻击者真实IP地址和端口的传输,具体流程是通过蜜罐代理客户端获取到攻击TCP流量后,在应用层封装包且将攻击者真实IP地址和端口传递给透明代理,透明代理通过tproxy技术伪造来源IP地址和端口为攻击者信息连接真实蜜罐,该技术方案存在的缺陷是配置复杂且局限、跨网络或者云环境下丢包,缺陷是由于以下原因导致:(1)因为蜜罐在网络层拿到的真实的IP地址回报的时候必须将蜜罐的网关配置成透明代理;(2)由于透明代理通过tproxy技术伪造来源IP地址和端口连接真实蜜罐,在云环境或者跨网络时候TCP连接包会被丢弃,且无法携带其他信息。在蜜罐场景下采用的方法二是通过映射的方式进行攻击者真实IP地址和端口以及连接蜜罐的IP地址和端口进行关联,具体流程是通过蜜罐代理客户端获取到攻击TCP流量后,在应用层封装包且将攻击者真实IP地址和端口传递给转发代理,转...
【技术保护点】
1.一种在蜜罐场景下获取攻击者信息的系统,其特征在于,包括蜜罐分析区以及多个分别与所述蜜罐分析区连接的业务区,所述业务区用于部署对攻击者的攻击行为进行诱捕的蜜罐诱捕节点;所述蜜罐分析区用于部署TCP转发模块和真实攻击信息获取模块,其中:/n所述TCP转发模块,在应用层通过提供自定义IP选项将攻击者信息关联到内核套接字,在内核层将攻击者信息添加到TCP选项中,不修改源IP、源端口、目的IP和目的端口,并通过TCP转发模块自身IP端口连接真实攻击信息获取模块;/n所述真实攻击信息获取模块,在内核层检测是TCP转发模块的流量,将TCP转发模块的流量中攻击者信息提取到内核套接字进行...
【技术特征摘要】
1.一种在蜜罐场景下获取攻击者信息的系统,其特征在于,包括蜜罐分析区以及多个分别与所述蜜罐分析区连接的业务区,所述业务区用于部署对攻击者的攻击行为进行诱捕的蜜罐诱捕节点;所述蜜罐分析区用于部署TCP转发模块和真实攻击信息获取模块,其中:
所述TCP转发模块,在应用层通过提供自定义IP选项将攻击者信息关联到内核套接字,在内核层将攻击者信息添加到TCP选项中,不修改源IP、源端口、目的IP和目的端口,并通过TCP转发模块自身IP端口连接真实攻击信息获取模块;
所述真实攻击信息获取模块,在内核层检测是TCP转发模块的流量,将TCP转发模块的流量中攻击者信息提取到内核套接字进行存储,并hook应用层获取TCP连接信息的内核函数,蜜罐应用层无需任何修改。
2.根据权利要求1所述的在蜜罐场景下获取攻击者信息的系统,其特征在于,所述真实攻击信息获取模块在应用层还提供自定义IP选项获取除攻击者IP和端口额外的信息。
3.一种在蜜罐场景下获取攻击者信息的方法,其特征在于,包括以下步骤:
(1)攻击者攻击蜜罐诱捕节点:攻击者攻击蜜罐诱捕节点某个端口,并进行TCP连接和攻击数据传输;
(2)蜜罐诱捕节点获取到攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息;
(3)诱捕节点检测到攻击后,与TCP转发模块建立第一TCP连接;
(4)诱捕节点将攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息通过第一TCP连接发送给TCP转发模块;
(5)TCP转发模块接收到第一TCP连接内的攻击信息,将攻击者TCP负荷、攻击者IP端口、MAC地址以及目标蜜罐信息分别进行提取;
(6)TCP转发模块创建第一TCP套接字,用于连接目标蜜罐,并通过自定义IP选项将攻击者IP端口、MAC地址信息传递给内核;
(7)内核接收到攻...
【专利技术属性】
技术研发人员:龚致,肖建,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。