本申请涉及网络安全的
技术领域:
:,具体而言,涉及一种高覆盖内网蜜罐系统。
背景技术:
::为了应对来自互联网上的攻击,传统网络防御技术在网络边界设置防火墙、入侵检测系统等设备,使攻击行为无法到达内网。但是,攻击者依然可以通过钓鱼邮件等手段,感染并控制内网中的某台主机,进而对内网发起其它攻击。蜜罐是一种虚假的资源,可以诱导攻击者对其发动攻击,并对攻击行为进行记录和分析。将蜜罐部署在内网,可以有效弥补边界防御设备的缺陷,及时向安全人员发出预警信息,并指导加固措施。为了最大程度的保护内网安全,需要尽可能多地部署蜜罐,提高蜜罐在所处网段内的ip地址覆盖率(ip地址覆盖率定义为网段内可与蜜罐通信的ip地址数量与ip地址总数之比),从而提高蜜罐被攻击的概率,但是这样会带来成本上升的问题。为了解决以上问题,可以为每个蜜罐分配多个ip地址,在不增加蜜罐数量的情况下,提高ip地址覆盖率。但是,这种方式会长期占用大量ip地址,影响业务系统内的ip地址分配。技术实现要素:本申请的目的在于:在降低蜜罐对ip地址占用的同时,提高蜜罐系统中蜜罐的ip地址覆盖率,避免影响局域网络中正常业务的ip分配与变更。本申请第一方面的技术方案是:提供了一种高覆盖内网蜜罐系统,该蜜罐系统适用于局域网,蜜罐系统包括:代理节点和至少一个蜜罐节点;代理节点包括攻击引流模块、第一网卡、第二网卡和代理转发模块,攻击引流模块用于通过arp欺骗,将目的地址为局域网所在网段中闲置ip地址的局域网访问请求引导至代理节点,第一网卡的ip地址与蜜罐ip地址在相同网段,第一网卡用于与蜜罐节点进行通信,第二网卡的ip地址与局域网中被防护设备的ip地址在相同网段,第二网卡用于与局域网内的设备进行通信,代理转发模块用于将引导至代理节点的局域网访问请求,发送至蜜罐节点,并将蜜罐节点返回的攻击响应信息发送至局域网访问请求的发起者ip地址;蜜罐节点用于对局域网访问请求进行分析和记录。上述任一项技术方案中,进一步地,代理节点中存储有闲置ip地址库,闲置ip地址库中存储有局域网所在网段中的闲置ip地址,当代理节点接收局域网访问请求的arp广播时,代理节点被配置为执行以下步骤:步骤1,代理节点判断闲置ip地址库中是否存储有局域网访问请求的目的地址,若有,执行步骤2,若没有,则不做任何响应;步骤2,攻击引流模块通过arp欺骗程序,由第二网卡向局域网访问的发起者ip地址发送arp应答消息,arp应答消息的源地址设置为局域网访问请求的目的地址,源mac地址设置为第二网卡的mac地址,攻击引流模块还被配置为根据预设周期重新发送arp应答消息,预设周期小于arp缓存更新时间;步骤3,代理转发模块生成目的地址转换指令和源地址转换指令,其中,目的地址转换指令用于控制代理节点将局域网访问请求的目的地址转换为蜜罐节点中的一个蜜罐ip地址,并将局域网访问请求通过第一网卡重定向至蜜罐节点,源地址转换指令用于控制代理节点等待攻击响应信息,并将攻击响应信息的源地址转换为局域网访问请求的目的地址。上述任一项技术方案中,进一步地,蜜罐节点接收到局域网访问请求后,蜜罐节点被配置为根据局域网访问请求,生成并发送攻击响应信息至代理节点;代理节点还被配置为根据源地址转换指令,将攻击响应信息的源地址进行转换,并通过第二网卡重定向至局域网访问请求的发起者ip地址,向发起者ip地址发送源地址转换后的攻击响应信息。上述任一项技术方案中,进一步地,代理节点还被配置为实时监测ip分配请求,并根据预设监测周期发送arp探测广播,并根据arp探测广播的反馈信息,更新闲置ip地址库。本申请第二方面的技术方案是:提供了一种高覆盖内网蜜罐的控制方法,控制方法包括:步骤1,判断闲置ip地址库中是否存储有局域网访问请求的目的地址,若有,执行步骤2;步骤2,向局域网访问请求的发起者ip地址发送arp应答消息,并根据预设周期重新发送arp应答消息;步骤3,将局域网访问请求的目的地址转换为一个蜜罐ip地址,并根据转换地址后的局域网访问请求生成攻击响应信息;步骤4,将攻击响应信息的源地址转换为局域网访问请求的目的地址,根据转换地址后的攻击响应信息生成访问应答。本申请的有益效果是:通过在代理节点中设置第一网卡和第二网卡,将蜜罐的ip地址和局域网中被防护设备的ip地址设置在不同的网段,避免蜜罐占用局域网中设备所在网段的ip地址。通过设置代理节点,进行arp欺骗和ip地址转换,将对局域网所在网段闲置ip地址的访问请求发送至蜜罐,以便于蜜罐对异常访问进行诱导攻击,一方面,提高了局域网所在网段闲置ip地址的利用率,降低了系统成本,提高了蜜罐对局域网所在网段中ip地址的覆盖率,增加了蜜罐被攻击的概率。另一方面,蜜罐不占用局域网所在网段的ip地址,避免了局域网中正常业务对ip地址的分配与变更,保证了局域网内各项服务的正常运行。附图说明本申请的上述和/或附加方面的优点在结合下面附图对实施例的描述中将变得明显和容易理解,其中:图1是根据本申请的一个实施例的高覆盖内网蜜罐系统的示意框图;图2是根据本申请的一个实施例的地址转换的示意框图;图3是根据本申请的一个实施例的高覆盖内网蜜罐系统的控制方法的示意流程图。具体实施方式为了能够更清楚地理解本申请的上述目的、特征和优点,下面结合附图和具体实施方式对本申请进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互结合。在下面的描述中,阐述了很多具体细节以便于充分理解本申请,但是,本申请还可以采用其他不同于在此描述的其他方式来实施,因此,本申请的保护范围并不受下面公开的具体实施例的限制。实施例一:以下结合图1和图2对本申请的实施例一进行说明。如图1所示,本实施例提供了一种高覆盖内网蜜罐系统,蜜罐系统适用于局域网,蜜罐系统包括:代理节点1和至少一个蜜罐节点2;代理节点1包括攻击引流模块13、第一网卡11、第二网卡12和代理转发模块14,攻击引流模块13用于通过arp欺骗,将目的地址为局域网所在网段中闲置ip地址的局域网访问请求引导至代理节点1,第一网卡11的ip地址与蜜罐ip地址在相同网段,第一网卡11用于与蜜罐节点2进行通信,第二网卡12的ip地址与局域网中被防护设备的ip地址在相同网段,第二网卡12用于与局域网内的设备进行通信,代理转发模块14用于将引导至代理节点1的局域网访问请求,发送至蜜罐节点2,并将蜜罐节点2返回的攻击响应信息发送至局域网访问请求的发起者ip地址;具体地,在蜜罐系统100中设置至少一个蜜罐节点2,蜜罐节点2的数量可以根据实际情况进行设置,各个蜜罐节点2中的蜜罐ip地址处于相同的网段,且与被防护的局域网不在同一网段。对于局域网ip地址而言,根据正常业务需求,局域网ip地址可以分为作业ip地址和闲置ip地址,且两者可以根据正常业务需求进行分配和变更,其中,作业ip地址为局域网中被防护的ip地址段,即防护ip地址。通过在代理节点1中设置第一网卡11和第二网卡12,将第一网卡11的ip地址与蜜罐ip地址设置在相同网段,用于与各个蜜罐节点2进行通信。将第二网卡12的ip地址与局域网设置在相同网段,用于与局域网内ip地址不同的各类型设备进行通信。在本实施例中,代理节点1的攻击引流模块13,用于将目的地址为局域网所在网段中闲置ip地址的局域网访问请求引导至代理节点1,代理转发模块14,用于将目的地址为局域网所在网段中闲置ip地址的局域网访问请求,发送至蜜罐节点2,并将蜜罐节点2的攻击响应信息转发至局域网访问请求的发起者ip地址;蜜罐节点2用于对局域网访问请求进行分析和记录。进一步地,代理节点1中存储有闲置ip地址库,闲置ip地址库中存储有局域网所在网段中的闲置ip地址,当代理节点1接收到局域网访问请求的arp广播时时,代理节点1被配置为执行以下步骤:步骤1,代理节点1判断闲置ip地址库中是否存储有局域网访问请求的目的地址,若有,执行步骤2,若没有,则不做任何响应。具体地,如图2所示,代理节点1中存储有的闲置ip地址库,闲置ip地址库由局域网所在网段中的闲置ip地址构成。代理节点1实时监测来自局域网的arp请求,如果发现新的arp请求(局域网访问请求),判断该arp请求的目的地址是否存储于闲置ip地址库中,如果存在,执行步骤2。步骤2,攻击引流模块13通过arp欺骗程序,由第二网卡12向发起局域网访问的发起者ip地址发送arp应答消息,arp应答消息的源地址设置为局域网访问请求的目的地址,源mac地址设置为第二网卡12的mac地址,攻击引流模块13还被配置为根据预设周期重新发送arp应答消息,预设周期小于arp缓存更新时间。具体地,借助scapy,通过第二网卡12向发起访问请求的发起者ip地址发送arp应答消息,并将应答消息的源ip地址设置为该局域网访问请求的目的ip地址,源mac地址设置为代理节点1中第二网卡12的mac地址,从而将该请求引导至代理节点1。为防止arp缓存更新导致连接中断,每隔一定时间(预设周期),攻击引流模块13重新发送arp应答消息,该间隔时间小于arp缓存更新时间,以防止arp缓存更新导致连接终端。步骤3,代理转发模块14生成目的地址转换指令和源地址转换指令,目的地址转换指令用于控制代理节点1将局域网访问请求的目的地址转换为蜜罐节点2中的一个蜜罐ip地址,并将局域网访问请求通过第一网卡11重定向至该ip地址对应的蜜罐节点2,源地址转换指令用于控制代理节点1等待攻击响应信息,并将后续攻击响应信息的源地址转换为局域网访问请求的目的地址。具体地,设定局域网访问请求发送端ensj的ip地址为192.168.1.10,目的地址为192.168.1.188,代理节点1第二网卡(ens0)的ip地址为192.168.1.20,第一网卡11(eth0)的ip地址为192.168.2.20,一个当前没有连接的蜜罐ip地址为192.168.2.10。启动arp欺骗程序后,执行t1,代理节点1根据代理转发模块14发送的目的地址转换指令,将访问请求的目的地址由192.168.1.188转换为当前没有连接的蜜罐ip地址192.168.2.10。再执行t2,将访问请求的源地址由192.168.1.10转换为第一网卡11的ip地址192.168.2.20,从而将访问请求对应的数据包转发至对应的蜜罐节点2的网卡ethk,并使得蜜罐节点2返回的数据包能够到达第一网卡11。进一步地,当蜜罐节点2接收到局域网访问请求时,蜜罐节点2被配置为根据局域网访问请求,生成并发送攻击响应信息至代理节点1;代理节点1还被配置为根据源地址转换指令,将攻击响应信息的源地址进行转换,并通过第二网卡12重定向至局域网访问请求的发起者ip地址,向发起者ip地址发送源地址转换后的攻击响应信息。具体地,蜜罐节点2接收到转换后的访问请求后,生成并发送攻击响应信息至代理节点1,执行t3,将攻击响应数据包中的目标地址由192.168.2.20转换为192.168.1.10,再执行t4,将攻击响应数据包中的源地址由192.168.2.10转换为192.168.1.188,从而将蜜罐节点2生成的攻击响应信息经过代理节点1发送至访问请求发送端ensj,使得访问请求发送端ensj认为,接收到的攻击响应信息来自其请求的ip地址192.168.1.188,进而诱导攻击者持续对该ip发动攻击。优选地,代理节点1还被配置为通过ip信息包过滤系统(iptables),实施地址转换,地址转换用于在蜜罐节点2和局域网之间建立通信。进一步地,代理节点1还被配置为实时监测ip分配请求,并根据预设监测周期发送arp探测广播,并根据arp探测广播的反馈信息,更新闲置ip地址库。具体地,为了局域网内的ip地址可以顺利分配,在代理节点1上通过scapy进行嗅探,实时监测局域网内的gratuitousarp请求。如果发现请求的ip地址在闲置ip库中,并且当前蜜罐节点2中没有该ip相关的连接,则将该ip从闲置ip库中删除,确保业务系统ip地址分配不受影响。为了确保不再使用的ip地址能够被及时添加到闲置ip库中,根据预设周期,代理节点1向局域网发送arp探测广播,主动探测活跃ip地址,并重置(更新)闲置ip地址库,重置后的闲置ip地址库仅包含局域网所在网段中没有发送arp应答的ip地址,确保业务系统ip地址分配不受影响,并将不再使用的ip地址机制纳入闲置ip地址库。优选地,该蜜罐系统100还包括:蜜罐管理节点3,蜜罐管理节点3用于接收和分析蜜罐节点2上传的监控信息,并对蜜罐节点2的配置进行更改。实施例二:如图3所示,本实施例提供了一种高覆盖内网蜜罐系统的控制方法,该控制方法包括:步骤1,判断闲置ip地址库中是否存储有局域网访问请求的目的地址,若有,执行步骤2;步骤2,向所述局域网访问请求的发起者ip地址发送arp应答消息,并根据预设周期重新发送所述arp应答消息;具体地,借助scapy,通过第二网卡向发起访问请求的局域网ip地址发送arp应答消息,并将应答消息的源ip设置为arp请求的闲置ip地址,源mac地址设置为代理节点第二网卡12的mac地址,从而将该连接引导至代理节点。为防止arp缓存更新导致连接中断,每隔一定时间重新发送arp应答消息,该间隔时间小于arp缓存更新时间。步骤3,将局域网访问请求的目的地址转换为一个蜜罐ip地址,并根据转换地址后的局域网访问请求生成攻击响应信息;具体地,设定访问请求发送端ensj的ip地址为192.168.1.10,目的地址为192.168.1.188,代理节点接收端ens0的ip地址为192.168.1.20,第一网卡(eth0)的ip地址为192.168.2.20,一个当前没有连接的蜜罐ip地址为192.168.2.10。启动arp欺骗程序后,代理节点根据代理转发模块发送的目的地址转换指令,将访问请求的目的地址由192.168.1.188转换为当前没有连接的蜜罐ip地址192.168.2.10。再将访问请求的源地址由192.168.1.10转换为第一网卡的ip地址192.168.2.20,从而将访问请求对应的数据包转发至对应的蜜罐节点的网卡ethk,并使得蜜罐节点返回的数据包能够到达第一网卡。步骤4,将攻击响应信息的源地址转换为局域网访问请求的目的地址,根据转换地址后的攻击响应信息生成访问应答。具体地,蜜罐节点接收到转换后的访问请求后,生成并发送攻击响应信息至代理节点,将攻击响应信息中的目标地址由192.168.2.20转换为192.168.1.10。再将攻击响应信息中的源地址由192.168.2.10转换为192.168.1.188,从而将蜜罐节点生成的攻击响应信息经过代理节点发送至访问请求发送端ensj,使得访问请求发送端ensj认为,接收到的攻击响应信息来自其请求的ip地址192.168.1.188,进而诱导攻击者持续对蜜罐节点进行攻击。以上结合附图详细说明了本申请的技术方案,本申请提出了一种高覆盖内网蜜罐系统,包括:代理节点和至少一个蜜罐节点;代理节点包括攻击引流模块、第一网卡、第二网卡和代理转发模块,攻击引流模块用于通过arp欺骗,将目的地址为局域网所在网段中闲置ip地址的访问请求引导至代理节点,第一网卡的ip地址与蜜罐节点的ip地址在相同网段,第一网卡用于通过代理虚拟机与蜜罐节点进行通信,第二网卡的ip地址与局域网中被防护设备的ip地址在相同网段,第二网卡用于与局域网内的设备进行通信,代理转发模块用于将引导至代理节点的访问请求,发送至蜜罐节点,并将蜜罐节点返回的攻击响应信息发送至发起访问请求的ip地址;蜜罐节点用于对蜜罐系统的威胁行为进行分析和记录。通过本申请中的技术方案,在降低蜜罐对ip地址占用的同时,提高蜜罐系统中蜜罐的ip地址覆盖率,避免影响局域网络中正常业务的ip分配与变更。本申请中的步骤可根据实际需求进行顺序调整、合并和删减。本申请装置中的单元可根据实际需求进行合并、划分和删减。尽管参考附图详地公开了本申请,但应理解的是,这些描述仅仅是示例性的,并非用来限制本申请的应用。本申请的保护范围由附加权利要求限定,并可包括在不脱离本申请保护范围和精神的情况下针对发明所作的各种变型、改型及等效方案。当前第1页12当前第1页12