技術分享 | 基於windows作業系統的錦行蜜罐新節點技術
摘要
基於誘捕節點,蜜罐可以實現攻擊欺騙轉移和資產隔離防護。但是現有誘捕節點的實現技術存在IP地址資源的分配和衝突的風險,日常維護要求高,需要配備專業的網管人員,增加人力成本。
本文錦行科技提出了一種新的基於windows作業系統的誘捕節點實現技術,利用Libuv庫以及採用多程式服務架構技術,在誘捕節點模擬主機網路服務,並透過採用linux虛擬網路卡技術的中間層服務實時轉發到蜜罐主機中,實現整個攻擊者攻擊行為的監控及告警功能,解決了現有技術中存在IP地址資源的分配和衝突的風險,增加誘捕節點密度,同時降低了部署成本和維護成本,提高了系統穩定性。
背景技術
為了把攻擊者攻擊引入到蜜網的蜜罐主機中來,目前除了須有具備完善的系統監控和告警能力的蜜罐主機外,還要看誘捕節點的能力及在客戶網路中的部署密度,充分的將攻擊行為引入到蜜罐主機中來,讓安全管理人員及時知道攻擊者滲透了內網、知道哪些伺服器被攻擊、以及攻擊者的具體攻擊行為等。
現有誘捕節點的實現技術主要採用:
1.在現有各網段中新增物理伺服器
在各網段中新增專門的物理伺服器,在此機的物理網路卡上配置多個虛擬網路卡,並分配相應IP,透過策略路由的方式實現與蜜罐主機IP的互連。
2.在現有不太關鍵的伺服器上安裝虛擬機器
在各網段中找一臺在用但重要程度不高的伺服器上安裝虛擬機器,在虛擬系統中在現有的網路卡下配置多個虛擬網路卡,並分配相應IP,透過策略路由的方式實現與蜜罐主機IP的互連。
3.透過虛擬網路卡及策略路由或埠轉發技術
在各網段中找一臺在用但重要程度不高的伺服器上安裝多塊物理網路卡,在現有的網路卡下配置多個虛擬網路卡,並分配相應IP,透過策略路由的方式實現與蜜罐主機IP的互連。
但是上述方法中方法1部署物理伺服器成本高昂,方法2和方法3不僅存在改造成本,同時還在存在相容性的風險和節點可靠性依賴的風險,同時這3種方法都存在IP地址資源的分配和衝突的風險,日常維護要求高,需要配備專業的網管人員,增加人力成本。
誘捕節點實現技術
針對上述現有技術中存在的問題,錦行科技公佈了一種基於windows作業系統的誘捕節點實現方法及裝置。利用透過利用Libuv庫以及採用多程式服務架構技術,在誘捕節點模擬主機網路服務,並透過採用linux虛擬網路卡技術的中間層服務實時轉發到蜜罐主機中,實現整個攻擊者攻擊行為的監控及告警功能,解決了現有技術中存在IP地址資源的分配和衝突的風險,增加誘捕節點密度,同時降低了部署成本和維護成本,提高了系統穩定性。
該實現方法包括如下步驟:
01.攻擊者發起掃描連線;
02.啟動windows誘捕節點轉發服務,接收攻擊者的掃描,並與攻擊者建立連線;
03.windows誘捕節點將攻擊者身份資訊轉發給linux中間層轉發服務;
04.linux中間層轉發服務根據攻擊者身份資訊,發起與蜜罐主機服務的連線請求;
05.蜜罐主機服務響應連線請求,並將連線響應轉發給linux中間層轉發服務;
06.linux中間層轉發服務根據會話資訊,將連線響應資訊轉發回windows誘捕節點;
07.windows 誘捕節點轉發服務根據會話資訊,將連線響應資訊回應給攻擊者。
該實現方法採用TCP/UDP網路協議。
所述windows誘捕節點轉發服務採用多程式服務架構,每個程式對應一個蜜罐主機服務。同時,根據windows誘捕節點裝置的資源情況,在單臺windows誘捕節點中執行多個轉發服務程式,代表連線多個蜜罐主機服務,實現一個節點模擬多個蜜罐主機服務的功能。此外,誘捕節點轉發服務採用libuv庫的非同步IO通訊機制,將攻擊者身份資訊、攻擊行為資訊透過開源的cereal序列化庫打包,並非同步傳送給linux中間層轉發服務。並透過非同步回撥機制將linux中間層轉發服務轉發的響應包進行解包處理後轉發給攻擊者。
其中,linux中間層轉發服務採用多程式服務架構,每個程式對應多個windows誘捕節點服務及多個蜜罐主機。利用hash table技術實現會話管理,根據TCP/UDP的四元組資訊,管理windows誘捕節點與蜜罐主機的連線資訊,根據攻擊者身份資訊和hash table會話表實現簡單NAT地址轉換服務,將攻擊者流量正確的轉發到蜜罐主機中。同時,中間層轉發服務採用了libuv的非同步IO通訊機制、cereal序列化庫打包技術、linux TUN/TAP虛擬網路卡和策略路由技術。
誘捕節點實現裝置
基於上述方法,錦行科技還提供了一種基於windows作業系統的誘捕節點實現裝置,包括:
1.攻擊者單元
屬於被誘捕的物件,提供持續攻擊行為
2.windows誘捕節點單元
用於接收攻擊者的掃描,並建立與攻擊者的連線,將攻擊者身份資訊轉發給linux中間層轉發服務
3.linux中間層轉發單元
用於接收攻擊者身份資訊,並依據身份資訊建立與蜜罐主機服務的連線
4.蜜罐主機單元
用於響應連線請求,並將連線響應轉發給linux中間層轉發服務
所述windows誘捕節點單元內包括有多組windows誘捕節點轉發服務程式,每組windows誘捕節點轉發服務程式對應若干個攻擊者單元,每組windows誘捕節點轉發服務程式均與所述linux中間層轉發單元連線,所述linux中間層轉發單元連線有若干組蜜罐主機單元,每組蜜罐主機單元均對應一組windows誘捕節點轉發服務程式。
結語
本發明同現有技術相比,具有如下優點:
1)本發明由於採用了libuv非同步IO通訊庫,使用單程式服務併發數可達300個以上,網路吞吐率可達7MB每秒。
2)本發明中在網路資料包採用了cereal序列化庫,該庫採用侵入式二進位制編碼技術,使得單包編位元速率達92%以上。從而有效降低cpu使用率,節省了網路頻寬。
3)本發明透過使用linux TUN/TAP虛擬網路卡技術,解決了攻擊資料到蜜罐主機的多網路透明傳輸。
4)本發明不需要在現有網路中新增物理服務機、不需分配額外的IP 地址資源,增加誘捕節點密度,又降低了部署成本和維護成本。
相關文章
- 技術分享 | "錦行杯"比賽 Writeup
- 淺析蜜罐技術
- 關於技術分享的一點感悟
- 基於雲技術的域名解析系統研究:傳統解析技術的侷限性
- 規避技術:全域性作業系統物件作業系統物件
- 【區塊鏈】前沿分享-基於區塊鏈技術的機器學習行業概述區塊鏈機器學習行業
- 關於技術分享的思考
- Linux 作業系統技術使用總結 (轉)Linux作業系統
- 護眼行業新零售系統開發技術部署行業
- 【技術向】基於jarm的Tor中繼節點遠端識別JAR中繼
- 基於雲技術的域名解析系統研究:雲解析技術的應用(國科雲)
- 資訊系統/技術與計量系統/技術
- 重要的技術創新節點容易發生在什麼地方?
- 技術解讀:Dragonfly 基於 P2P 的智慧映象加速系統 | 龍蜥技術Go
- PAXG質押節點挖礦智慧合約系統開發(成熟技術)丨DAPP技術框架APP框架
- SNP分享:SAP系統有哪些介面技術?
- 網路安全中什麼是蜜罐技術?蜜罐的分類有哪些?
- 作業系統I/O模型及輪詢技術演變作業系統模型
- WinXP等多個版本作業系統技術支援將到期作業系統
- 目標主機作業系統識別技術分析(轉)作業系統
- Linux作業系統:快速記憶體操作技術(轉)Linux作業系統記憶體
- 虛擬蜜罐:從資訊模擬到實現虛擬蜜罐技術
- 從技術談到管理,把系統優化的技術用到企業管理優化
- 擁抱新技術的一點思考
- 【併發技術02】傳統執行緒技術中的定時器技術執行緒定時器
- 智慧運維:基於 BIM 技術的視覺化管理系統運維視覺化
- 基於機器學習的糾錯系統技術 - 智慧文字糾錯 API機器學習API
- 基於前端技術實現的全面預算編制系統前端
- 無線技術在Linux作業系統中的應用(轉)Linux作業系統
- 烏托邦UTO節點挖礦系統開發搭建(成熟技術)
- 技術問答集錦(六)
- 技術問答集錦(四)
- 技術問答集錦(五)
- 技術問答集錦(一)
- 技術問答集錦(二)
- 技術問答集錦(三)
- oraclle 開發技術集錦
- 技術選型的藝術---湖北技術價值分享會