关于第三代蜜网流量控制的说明 – 作者:黑豹cyd0

在最近的HW期间，据传某市某单位由于部署的蜜网被攻击者控制，当成跳板机器，进一步控制攻击内网，结果造成内网受到攻击。现在国内很多基于蜜罐的厂商，都没有做流量控制，蜜罐就是一个活靶子，被攻陷之后，反而使网络安全的最后一道防线变成网络安全的第一个突破口。

基于此，江苏创宇盾的幻视-第三代动态欺骗防御平台(以下简称幻视)，在蜜网的三大核心功能之一——流量控制上，做了很强的限制，具体如下：

幻视的流量控制，采用“宽进严出”策略

为了记录入侵者所有攻击数据包，一般的安全厂商允许所有的蜜网访问，进入蜜网的数据不会对内网的安全造成威胁。但是，从蜜网向外面发起的连接就不一样了，其中可能包含入侵者对其他系统进行扫描和攻击的数据，必须对蜜网外出的网络连接进行控制。当蜜网主动发起外出连接，就说明蜜网主机已经被入侵者攻破了，而这些外出的连接很可能是入侵者利用蜜罐对其他系统发起的攻击连接，所以限制这些连接是非常必要的。幻视的流量控制，采用“宽进严出”策略，对蜜网主机外发的连接数量设置一个合理的阀值，追踪从所有蜜网主机外发的每一个连接，当蜜网外发的数量达到预设的阀值时，便会对其进行阻塞。从而避免了蜜网系统成为入侵者扫描、探测或者攻击其他系统的跳板。

采用路由器来进行数据控制

幻视采用路由器来进行数据控制，主要利用路由器的访问控制功能对外出的数据包进行过滤，以防止蜜网被用于攻击网络的其他部分，主要防止IP欺骗，Dos攻击或其他一些欺骗性攻击。

对蜜网主机进行定时快照恢复

幻视虚拟化技术，对蜜网主机进行定时快照恢复，由于幻视对发起的攻击检测是零误报，零漏报的，因此一旦告警就说明此攻击确实发生，如果不及时加以限制，可能导致病毒木马持久攻击。于是，当检测到攻击发起后的1小时，幻视将会把快照恢复到初始状态，使得攻击者的一切操作失效。

识别各种商业和非商业化扫描器，自由配置策略

能识别各种商业和非商业化扫描器，并可以自由配置策略，检测到扫描时，将对其进行封禁，防止蜜网虚拟的诱捕环境被有关单位误认为存在可利用的漏洞。

总结：幻视通过四个层面，对流量控制层面进行了多维度的深入优化，避免蜜网主机被攻击者利用，各单位可放心使用。

如需试用，请邮件联系:

emhlbmd6aGFveWlAdGlhbi1zZWMuY29t

【江苏创宇盾安全技术有限公司】

官网网址：cydsec.com

联系电话：025-58630787

联系地址：南京市雨花台区雨花大道2号

来源：freebuf.com 2020-09-18 18:27:55 by: 黑豹cyd0