[发明专利]一种在蜜罐场景下扩展攻击流量牵引能力的方法

权利要求书

1.一种在蜜罐场景下扩展攻击流量牵引能力的方法，应用于蜜罐场景下的攻击流量牵引，其特征在于，所述蜜罐场景中分开部署有业务区和蜜罐分析区，所述业务区用于部署业务服务器，在业务服务器上部署报文修改模块和报文转发模块；所述蜜罐分析区用于部署转发模块和真实蜜罐；

该方法包括以下步骤：

步骤1、根据需要牵引的服务类型配置多个ipset集合，并初始化端口映射关系；

步骤2、添加待牵引IP到各服务的ipset集合，所述待牵引IP为攻击流量牵引IP；

步骤3、通过iptables将各服务的ipset集合流量重定向到业务服务器的应用层；

步骤4、若接收到内核重定向的攻击者流量，则检测攻击者是否与业务服务器建立连接，若已建立连接，则构造并发送RST报文给业务服务器和攻击者，使得业务服务器和攻击者重置已建连接，释放资源；若未建立连接，则进入步骤5；

步骤5、则将攻击者流量中报文目的端口根据映射关系修改为报文转发模块监听端口，并计算报文校验和，并将报文重新注入内核；

步骤6、报文转发模块代理业务服务器与攻击者建立连接；

步骤7、报文转发模块将攻击载荷转发给蜜罐分析区；

步骤8、蜜罐分析区对攻击者的请求进行虚假响应，反馈给报文转发模块；

步骤9、报文转发模块根据不同蜜罐的响应，将响应返回给对应攻击者的代理连接；

步骤10、报文修改模块检测到是返回给攻击者的报文时，根据映射关系修改源端口，计算报文校验和，并将报文重新注入内核发给攻击者。

2.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法，其特征在于，

步骤1中，所述需要牵引的服务类型配置的多个ipset集合，具体包括：

sshd服务的ipset集合：用于22端口的sshd服务的攻击流量牵引IP集合，映射到报文转发模块的10000端口；

Mysql服务的ipset集合：用于3306端口的mysql服务的攻击流量牵引IP集合，映射到报文转发模块的10001端口；

Redis服务的ipset集合：用于6379端口的redis服务的攻击流量牵引IP集合，映射到报文转发模块的10002端口。

3.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法，其特征在于，

步骤2中，所述添加待牵引IP到各服务的ipset集合具体包括：

当检测到攻击IP攻击sshd服务，则将该IP添加到sshd服务的ipset集合；

当检测到攻击IP攻击mysql服务，则将该IP添加到mysql服务的ipset集合；

当检测到攻击IP攻击Redis服务，则将该IP添加到redis服务的ipset集合。

4.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法，其特征在于，

步骤6中，所述报文转发模块代理业务服务器与攻击者建立连接具体包括： sshd服务接收目标端口为10000端口的连接，Mysql服务接收目标端口为10001端口的连接，Redis服务接收目标端口为10002端口的连接。

5.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法，其特征在于，

步骤7中，所述报文转发模块将攻击载荷转发给蜜罐分析区具体包括：

将攻击者的攻击sshd服务的攻击payload转发给蜜罐分析区的sshd蜜罐；

将攻击者的攻击mysql服务的攻击payload转发给蜜罐分析区的mysql蜜罐；

将攻击者的攻击redis服务的攻击payload转发给蜜罐分析区的redis蜜罐。

6.如权利要求1所述的一种在蜜罐场景下扩展攻击流量牵引能力的方法，其特征在于，

步骤10中，所述根据映射关系修改源端口具体包括：

若返回给攻击者的报文的源端口为10000，则将源端口修改为22端口；

若返回给攻击者的报文的源端口为10001，则将源端口修改为3306端口；

若返回给攻击者的报文的源端口为10002，则将源端口修改为6379端口。