摘要
基于诱捕节点,蜜罐可以实现攻击欺骗转移和资产隔离防护。但是现有诱捕节点的实现技术存在IP地址资源的分配和冲突的风险,日常维护要求高,需要配备专业的网管人员,增加人力成本。
本文锦行科技提出了一种新的基于windows操作系统的诱捕节点实现技术,利用Libuv库以及采用多进程服务架构技术,在诱捕节点模拟主机网络服务,并通过采用linux虚拟网卡技术的中间层服务实时转发到蜜罐主机中,实现整个攻击者攻击行为的监控及告警功能,解决了现有技术中存在IP地址资源的分配和冲突的风险,增加诱捕节点密度,同时降低了部署成本和维护成本,提高了系统稳定性。
背景技术
为了把攻击者攻击引入到蜜网的蜜罐主机中来,目前除了须有具备完善的系统监控和告警能力的蜜罐主机外,还要看诱捕节点的能力及在客户网络中的部署密度,充分的将攻击行为引入到蜜罐主机中来,让安全管理人员及时知道攻击者渗透了内网、知道哪些服务器被攻击、以及攻击者的具体攻击行为等。
现有诱捕节点的实现技术主要采用:
1.在现有各网段中新增物理服务器
在各网段中添加专门的物理服务器,在此机的物理网卡上配置多个虚拟网卡,并分配相应IP,通过策略路由的方式实现与蜜罐主机IP的互连。
2.在现有不太关键的服务器上安装虚拟机
在各网段中找一台在用但重要程度不高的服务器上安装虚拟机,在虚拟系统中在现有的网卡下配置多个虚拟网卡,并分配相应IP,通过策略路由的方式实现与蜜罐主机IP的互连。
3.通过虚拟网卡及策略路由或端口转发技术
在各网段中找一台在用但重要程度不高的服务器上安装多块物理网卡,在现有的网卡下配置多个虚拟网卡,并分配相应IP,通过策略路由的方式实现与蜜罐主机IP的互连。
但是上述方法中方法1部署物理服务器成本高昂,方法2和方法3不仅存在改造成本,同时还在存在兼容性的风险和节点可靠性依赖的风险,同时这3种方法都存在IP地址资源的分配和冲突的风险,日常维护要求高,需要配备专业的网管人员,增加人力成本。
诱捕节点实现技术
针对上述现有技术中存在的问题,锦行科技公布了一种基于windows操作系统的诱捕节点实现方法及装置。利用通过利用Libuv库以及采用多进程服务架构技术,在诱捕节点模拟主机网络服务,并通过采用linux虚拟网卡技术的中间层服务实时转发到蜜罐主机中,实现整个攻击者攻击行为的监控及告警功能,解决了现有技术中存在IP地址资源的分配和冲突的风险,增加诱捕节点密度,同时降低了部署成本和维护成本,提高了系统稳定性。
该实现方法包括如下步骤:
01.攻击者发起扫描连接;
02.启动windows诱捕节点转发服务,接收攻击者的扫描,并与攻击者建立连接;
03.windows诱捕节点将攻击者身份信息转发给linux中间层转发服务;
04.linux中间层转发服务根据攻击者身份信息,发起与蜜罐主机服务的连接请求;
05.蜜罐主机服务响应连接请求,并将连接响应转发给linux中间层转发服务;
06.linux中间层转发服务根据会话信息,将连接响应信息转发回windows诱捕节点;
07.windows 诱捕节点转发服务根据会话信息,将连接响应信息回应给攻击者。
该实现方法采用TCP/UDP网络协议。
所述windows诱捕节点转发服务采用多进程服务架构,每个进程对应一个蜜罐主机服务。同时,根据windows诱捕节点设备的资源情况,在单台windows诱捕节点中运行多个转发服务进程,代表连接多个蜜罐主机服务,实现一个节点模拟多个蜜罐主机服务的功能。此外,诱捕节点转发服务采用libuv库的异步IO通信机制,将攻击者身份信息、攻击行为信息通过开源的cereal序列化库打包,并异步发送给linux中间层转发服务。并通过异步回调机制将linux中间层转发服务转发的响应包进行解包处理后转发给攻击者。
其中,linux中间层转发服务采用多进程服务架构,每个进程对应多个windows诱捕节点服务及多个蜜罐主机。利用hash table技术实现会话管理,根据TCP/UDP的四元组信息,管理windows诱捕节点与蜜罐主机的连接信息,根据攻击者身份信息和hash table会话表实现简单NAT地址转换服务,将攻击者流量正确的转发到蜜罐主机中。同时,中间层转发服务采用了libuv的异步IO通信机制、cereal序列化库打包技术、linux TUN/TAP虚拟网卡和策略路由技术。
诱捕节点实现装置
基于上述方法,锦行科技还提供了一种基于windows操作系统的诱捕节点实现装置,包括:
1.攻击者单元
属于被诱捕的对象,提供持续攻击行为
2.windows诱捕节点单元
用于接收攻击者的扫描,并建立与攻击者的连接,将攻击者身份信息转发给linux中间层转发服务
3.linux中间层转发单元
用于接收攻击者身份信息,并依据身份信息建立与蜜罐主机服务的连接
4.蜜罐主机单元
用于响应连接请求,并将连接响应转发给linux中间层转发服务
所述windows诱捕节点单元内包括有多组windows诱捕节点转发服务进程,每组windows诱捕节点转发服务进程对应若干个攻击者单元,每组windows诱捕节点转发服务进程均与所述linux中间层转发单元连接,所述linux中间层转发单元连接有若干组蜜罐主机单元,每组蜜罐主机单元均对应一组windows诱捕节点转发服务进程。
结语
本发明同现有技术相比,具有如下优点:
1)本发明由于采用了libuv异步IO通信库,使用单进程服务并发数可达300个以上,网络吞吐率可达7MB每秒。
2)本发明中在网络数据包采用了cereal序列化库,该库采用侵入式二进制编码技术,使得单包编码率达92%以上。从而有效降低cpu使用率,节省了网络带宽。
3)本发明通过使用linux TUN/TAP虚拟网卡技术,解决了攻击数据到蜜罐主机的多网络透明传输。
4)本发明不需要在现有网络中添加物理服务机、不需分配额外的IP 地址资源,增加诱捕节点密度,又降低了部署成本和维护成本。
来源:freebuf.com 2021-05-31 10:57:47 by: dadadadudu
请登录后发表评论
注册