动态端口蜜罐概述

什么是动态端口蜜罐？

动态端口蜜罐功能是一种主动防御措施，通过利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。

用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。

动态端口蜜罐防护原理

动态端口蜜罐防护原理如图1所示，以下是详细解释：

1. 创建防护策略

   用户选择目标服务器设置蜜罐端口。蜜罐端口一般是常见业务端口，但在实际业务中未使用。

2. 监听蜜罐端口

   企业主机安全对用户设置的蜜罐端口开启实时监听。

3. 连接蜜罐端口

   当攻击者扫描网络或尝试连接时，如果连接了蜜罐端口，企业主机安全会记录连接事件，并拒绝连接。

4. 上报防护事件

   一旦蜜罐端口被连接，企业主机安全将立即告警，并将相关事件信息展示在防护事件列表。

5. 处理防护事件

   用户根据蜜罐端口防护事件，并结合其他攻击防护事件，排查内网是否存在失陷主机。

图1 动态端口蜜罐防护原理

动态端口蜜罐的应用场景

与传统以防御为主的安全技术不同，动态端口蜜罐采用主动出击的方式，在内网环境下诱捕潜在攻击者，不仅能够及时发现失陷主机，在一定程度上也能干扰和延缓攻击者的行为活动。

如何使用动态端口蜜罐？

约束与限制

• 动态端口蜜罐功能仅支持防护未绑定弹性公网IP的服务器。
• 动态端口蜜罐功能仅企业主机安全旗舰版、网页防篡改版、容器版支持。购买和升级企业主机安全的操作，请参见购买主机安全防护配额和升级防护配额。
• 使用动态端口蜜罐功能，需确保服务器安装的Agent为以下版本。升级Agent的操作，请参见升级主机Agent。
  • Linux：3.2.10及以上版本。
  • Windows：4.0.22及以上版本。