技術分享 | 基於windows作業系統的錦行蜜罐新節點技術

廣州錦行科技發表於2021-05-31

摘要

基於誘捕節點,蜜罐可以實現攻擊欺騙轉移和資產隔離防護。但是現有誘捕節點的實現技術存在IP地址資源的分配和衝突的風險,日常維護要求高,需要配備專業的網管人員,增加人力成本。

本文錦行科技提出了一種新的基於windows作業系統的誘捕節點實現技術,利用Libuv庫以及採用多程式服務架構技術,在誘捕節點模擬主機網路服務,並透過採用linux虛擬網路卡技術的中間層服務實時轉發到蜜罐主機中,實現整個攻擊者攻擊行為的監控及告警功能,解決了現有技術中存在IP地址資源的分配和衝突的風險,增加誘捕節點密度,同時降低了部署成本和維護成本,提高了系統穩定性。

背景技術

為了把攻擊者攻擊引入到蜜網的蜜罐主機中來,目前除了須有具備完善的系統監控和告警能力的蜜罐主機外,還要看誘捕節點的能力及在客戶網路中的部署密度,充分的將攻擊行為引入到蜜罐主機中來,讓安全管理人員及時知道攻擊者滲透了內網、知道哪些伺服器被攻擊、以及攻擊者的具體攻擊行為等。

現有誘捕節點的實現技術主要採用:

1.在現有各網段中新增物理伺服器
在各網段中新增專門的物理伺服器,在此機的物理網路卡上配置多個虛擬網路卡,並分配相應IP,透過策略路由的方式實現與蜜罐主機IP的互連。

2.在現有不太關鍵的伺服器上安裝虛擬機器
在各網段中找一臺在用但重要程度不高的伺服器上安裝虛擬機器,在虛擬系統中在現有的網路卡下配置多個虛擬網路卡,並分配相應IP,透過策略路由的方式實現與蜜罐主機IP的互連。

3.透過虛擬網路卡及策略路由或埠轉發技術
在各網段中找一臺在用但重要程度不高的伺服器上安裝多塊物理網路卡,在現有的網路卡下配置多個虛擬網路卡,並分配相應IP,透過策略路由的方式實現與蜜罐主機IP的互連。

但是上述方法中方法1部署物理伺服器成本高昂,方法2和方法3不僅存在改造成本,同時還在存在相容性的風險和節點可靠性依賴的風險,同時這3種方法都存在IP地址資源的分配和衝突的風險,日常維護要求高,需要配備專業的網管人員,增加人力成本。

誘捕節點實現技術

針對上述現有技術中存在的問題,錦行科技公佈了一種基於windows作業系統的誘捕節點實現方法及裝置。利用透過利用Libuv庫以及採用多程式服務架構技術,在誘捕節點模擬主機網路服務,並透過採用linux虛擬網路卡技術的中間層服務實時轉發到蜜罐主機中,實現整個攻擊者攻擊行為的監控及告警功能,解決了現有技術中存在IP地址資源的分配和衝突的風險,增加誘捕節點密度,同時降低了部署成本和維護成本,提高了系統穩定性。

該實現方法包括如下步驟:

01.攻擊者發起掃描連線;

02.啟動windows誘捕節點轉發服務,接收攻擊者的掃描,並與攻擊者建立連線;

03.windows誘捕節點將攻擊者身份資訊轉發給linux中間層轉發服務;

04.linux中間層轉發服務根據攻擊者身份資訊,發起與蜜罐主機服務的連線請求;

05.蜜罐主機服務響應連線請求,並將連線響應轉發給linux中間層轉發服務;

06.linux中間層轉發服務根據會話資訊,將連線響應資訊轉發回windows誘捕節點;

07.windows 誘捕節點轉發服務根據會話資訊,將連線響應資訊回應給攻擊者。

該實現方法採用TCP/UDP網路協議
所述windows誘捕節點轉發服務採用多程式服務架構,每個程式對應一個蜜罐主機服務。同時,根據windows誘捕節點裝置的資源情況,在單臺windows誘捕節點中執行多個轉發服務程式,代表連線多個蜜罐主機服務,實現一個節點模擬多個蜜罐主機服務的功能。此外,誘捕節點轉發服務採用libuv庫的非同步IO通訊機制,將攻擊者身份資訊、攻擊行為資訊透過開源的cereal序列化庫打包,並非同步傳送給linux中間層轉發服務。並透過非同步回撥機制將linux中間層轉發服務轉發的響應包進行解包處理後轉發給攻擊者

其中,linux中間層轉發服務採用多程式服務架構,每個程式對應多個windows誘捕節點服務及多個蜜罐主機。利用hash table技術實現會話管理,根據TCP/UDP的四元組資訊,管理windows誘捕節點與蜜罐主機的連線資訊,根據攻擊者身份資訊和hash table會話表實現簡單NAT地址轉換服務,將攻擊者流量正確的轉發到蜜罐主機中。同時,中間層轉發服務採用了libuv的非同步IO通訊機制、cereal序列化庫打包技術、linux TUN/TAP虛擬網路卡和策略路由技術。

誘捕節點實現裝置

基於上述方法,錦行科技還提供了一種基於windows作業系統的誘捕節點實現裝置,包括:

1.攻擊者單元
屬於被誘捕的物件,提供持續攻擊行為

2.windows誘捕節點單元
用於接收攻擊者的掃描,並建立與攻擊者的連線,將攻擊者身份資訊轉發給linux中間層轉發服務

3.linux中間層轉發單元
用於接收攻擊者身份資訊,並依據身份資訊建立與蜜罐主機服務的連線

4.蜜罐主機單元
用於響應連線請求,並將連線響應轉發給linux中間層轉發服務

所述windows誘捕節點單元內包括有多組windows誘捕節點轉發服務程式,每組windows誘捕節點轉發服務程式對應若干個攻擊者單元,每組windows誘捕節點轉發服務程式均與所述linux中間層轉發單元連線,所述linux中間層轉發單元連線有若干組蜜罐主機單元,每組蜜罐主機單元均對應一組windows誘捕節點轉發服務程式。

結語

本發明同現有技術相比,具有如下優點:
1)本發明由於採用了libuv非同步IO通訊庫,使用單程式服務併發數可達300個以上,網路吞吐率可達7MB每秒
2)本發明中在網路資料包採用了cereal序列化庫,該庫採用侵入式二進位制編碼技術,使得單包編位元速率達92%以上。從而有效降低cpu使用率,節省了網路頻寬
3)本發明透過使用linux TUN/TAP虛擬網路卡技術,解決了攻擊資料到蜜罐主機的多網路透明傳輸
4)本發明不需要在現有網路中新增物理服務機、不需分配額外的IP 地址資源,增加誘捕節點密度,又降低了部署成本和維護成本


相關文章