【技术实现步骤摘要】
一种基于eBPF XDP从内网引流到蜜罐的方法和系统
[0001]本专利技术涉及网络安全
,尤其涉及一种基于eBPF XDP从内网引流到蜜罐的方法和系统。
技术介绍
[0002]随着互联网技术的不断发展,各种各样的网络技术出现,同时也导致了越来越多的网络安全事件发生,给网络安全带来了挑战。为了更好的实现网络安全的防护,越来越多的安全产品出现,比如WAF、蜜罐等。
[0003]蜜罐技术将被动防御变为了主动出击,在网络安全领域具有重要作用,其中内网蜜罐部署在局域网内部,通过模拟内网中其它业务资源或某个具体服务,开放对应端口等级攻击者进入,可以有效降低内网中其它业务被攻击的风险,同时及时发现威胁、发出告警。
[0004]目前蜜罐多部署在真实的Web系统同一环境下,需要在Web系统所在主机上开启端口作为蜜饵,将攻击流量引入到蜜罐中,这种引流方式需要在每个Web系统所在主机部署一个蜜罐,并且占用系统的端口资源,改变Web系统的网络拓扑,给实际应用带来不便,造成了资源浪费,增加了部署的复杂度。
[0005]因此,如何提供一种通用性好、高效、安全和低成本的将流量从内网引流至内网蜜罐的方法,成为亟待解决的技术问题。
技术实现思路
[0006]有鉴于此,为了克服现有技术的不足,本专利技术提供一种基于eBPF XDP从内网引流至蜜罐的方法和系统。
[0007]一方面,本专利技术提供一种基于eBPF XDP从内网引流至蜜罐的方法,包括:步骤S1:解析从内网到达内网服务器的流量,获得流量 ...
【技术保护点】
【技术特征摘要】
1.一种基于eBPF XDP从内网引流至蜜罐的方法,其特征在于,所述方法,包括:步骤S1:解析从内网到达内网服务器的流量,获得流量的网络五元组;步骤S2:根据网络五元组和流量处理策略筛选获得符合蜜罐引流条件的流量;步骤S3:将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内网服务器;步骤S4:在内网服务器上对接收的流量进行筛选和修改,将修改后的流量发送至攻击者。2.根据权利要求1所述的基于eBPF XDP从内网引流至蜜罐的方法,其特征在于,步骤S2,包括:采集内网服务器上已经被监听的端口,生成监听端口列表;配置敏感端口,根据配置的敏感端口,生成敏感端口列表;当流量的网络五元组中的目标端口不在监听端口列表中,且流量处理策略是阻断,丢弃流量;当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中,来源IP在IP白名单内,将流量放行至目标应用程序;当流量的网络五元组中的目标端口在监听列表中不在敏感端口列表中,将流量放行至目标应用程序;当流量的网络五元组中的目标端口不在监听端口列表中,且流量处理策略是转发,判定所述流量为符合蜜罐引流条件的流量;当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中,来源IP不在IP白名单内,且流量处理策略是阻断,丢弃流量;当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中,来源IP不在IP白名单内,且流量处理策略是转发,判定所述流量为符合蜜罐引流条件的流量。3.根据权利要求1所述的基于eBPF XDP从内网引流至蜜罐的方法,其特征在于,步骤S3,包括:步骤S31:将符合蜜罐引流条件的流量的网络五元组中来源IP修改为当前网卡IP地址,将目标IP修改为蜜罐系统IP地址,其它保持不变,生成修改后的流量数据包;步骤S32:记录修改前网络五元组和修改后网络五元组的对应关系,根据修改前网络五元组生成唯一key,将生成的唯一key附加到修改后的流量数据包中;步骤S33:将唯一key和五元组对应关系存储在 eBPF map中,通过网卡将修改后的流量数据包发送至蜜罐;步骤S34:采用蜜罐接收修改后的流量数据包后对流量添加诱捕配置,向内网服务器发送返回流量数据包。4.根据权利要求1所述的基于eBPF XDP从内网引流至蜜罐的方法,其特征在于,步骤S4,包括:步骤S41:在内网服务器检测到网卡接收到返回流量数据包后,通过筛选获得符合修改条件的返回流量数据包;步骤S42:修改步骤S41中筛选得到的返回流量数据包,将修改后的返回流量数据包发送至攻击者。
5.根据权利要求4所述的基于eBPF XDP从内网引流至蜜罐的方法,其特征在于,步骤S41中,通过筛选得到符合修改条件的返回流量数据包,包括:筛选网络五元组中的来源IP是内网蜜罐的IP的返回流量数据包,根据筛选后返回流量数据包中附加的唯一key在eBPF map中查找与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系,当查到与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系时,判定所述返回流量数据包符合修改条件。6.根据权利要求4所述的基于eBPF XDP从内网引流至蜜罐的方法,其特征在于,步骤S42中,修改步骤S41中筛选得到的返回流量数据包,包括:将筛选得到的返...
【专利技术属性】
技术研发人员:余登峰,张江伟,孙明远,
申请(专利权)人:中国电子系统技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。