更新时间:2024-11-15 GMT+08:00

动态端口蜜罐概述

什么是动态端口蜜罐?

动态端口蜜罐功能是一个攻击诱捕陷阱,利用真实端口作为诱饵端口诱导攻击者访问;在内网横向渗透场景下,可有效地检测到攻击者的扫描行为,识别失陷主机,延缓攻击者攻击真正目标,从而保护用户的真实资源。

用户可选择系统推荐端口或自定义端口开启动态端口蜜罐,诱捕失陷主机,降低真实资源被入侵的风险。动态端口蜜罐防护原理如图1所示。

图1 动态端口蜜罐防护

如何使用动态端口蜜罐?

动态端口蜜罐使用流程如图 动态端口蜜罐使用流程所示

图2 动态端口蜜罐使用流程
表1 动态端口蜜罐使用流程说明

操作项

说明

创建动态端口蜜罐防护策略

设置需要开启动态端口蜜罐功能的服务器端口,添加源IP白名单以及绑定防护服务器等。

查看处理蜜罐防护事件

如果有疑似失陷主机连接蜜罐端口,动态端口蜜罐功能将上报告警事件,您可以根据自身业务情况处理这些告警。

约束与限制

使用动态端口蜜罐功能,须满足以下条件:

  • 服务器未绑定EIP。
  • 服务器已开启HSS旗舰版、网页防篡改版或容器版防护,购买和升级HSS的操作,请参见购买主机安全防护配额配额版本升级
  • 服务器已安装Agent的版本为以下版本且Agent状态为“在线”,升级Agent的操作,请参见Agent升级
    • Linux:3.2.10及以上版本。
    • Windows:4.0.22及以上版本。