动态端口蜜罐概述
什么是动态端口蜜罐?
动态端口蜜罐功能是一种主动防御措施,通过将真实端口作为诱饵端口诱导攻击者访问;在内网横向渗透场景下,可有效检测攻击者的扫描行为、识别失陷主机,延缓攻击者对真正目标的攻击,从而保护用户的真实资源。
用户可选择系统推荐端口或自定义端口开启动态端口蜜罐,诱捕失陷主机,降低真实资源被入侵的风险。
什么是蜜罐端口?
蜜罐端口是动态端口蜜罐功能的核心诱饵组件,指在目标服务器上开放的、真实存在且未被实际业务使用的服务器端口。这些端口背后连接的是蜜罐服务系统,主要用于捕获攻击行为,记录攻击者使用的工具、路径和动机,为安全分析提供有利的数据支持,是主动防御体系中诱导攻击、收集情报的重要手段。
需要注意的是,蜜罐端口仅与特定目标服务器绑定,其防护和诱捕效果局限于该服务器的内网环境。
动态端口蜜罐防护原理
动态端口蜜罐防护原理如图1所示,以下是详细解释:
- 创建防护策略
用户选择需防护的目标服务器(例如主机A),并为该主机设置蜜罐端口,该端口一般是常见业务端口,但在目标服务器的实际业务中未使用。HSS云端防护中心将防护策略下发至主机A的Agent组件,以完成防护初始化操作。
- 监听蜜罐端口
主机A的Agent组件根据已下发的防护策略,对用户设置的蜜罐端口开启实时监听。用于监测蜜罐端口是否有外部连接请求,此时主机的正常业务端口不会受影响,仅蜜罐端口用于诱导攻击者扫描或连接。
- 连接蜜罐端口
当攻击者通过内网攻击失陷主机后,继续扫描网络或尝试连接其他主机时,如果连接了主机A的蜜罐端口,会触发主机A的Agent监听机制,此时企业主机安全会记录该连接事件,并拒绝攻击者的连接请求,避免蜜罐端口被进一步利用。
- 上报防护事件
主机A的Agent拒绝攻击者连接请求后,即一旦蜜罐端口被连接,会将该连接事件的相关信息实时上报至HSS云端防护中心,并产生相应告警记录。
- 处理防护事件
HSS云端防护中心会将告警事件展示在防护事件列表中,用户根据蜜罐端口防护事件,并结合其他攻击防护事件,排查内网中是否存在失陷主机,进而采取针对性措施,形成防护闭环
动态端口蜜罐的应用场景
与传统以防御为主的安全技术不同,动态端口蜜罐采用主动出击的方式,在内网环境下诱捕潜在攻击者,不仅能够及时发现失陷主机,在一定程度上也能干扰和延缓攻击者的行为活动。
如何使用动态端口蜜罐?
|
序号 |
操作项 |
说明 |
|---|---|---|
|
1 |
设置蜜罐端口,添加源IP白名单以及绑定目标服务器(未绑定EIP)等。 |
|
|
2 |
如果有疑似失陷主机连接蜜罐端口,动态端口蜜罐功能将上报告警事件,您可以根据自身业务情况处理这些告警。 |
约束与限制
- 动态端口蜜罐功能仅支持防护未绑定弹性公网IP的服务器。
- 动态端口蜜罐功能仅企业主机安全旗舰版、网页防篡改版、容器版支持。购买和升级企业主机安全的操作,请参见购买主机安全防护配额和升级防护配额。
- 使用动态端口蜜罐功能,需确保服务器安装的Agent为以下版本。升级Agent的操作,请参见升级主机Agent。
- Linux:3.2.10及以上版本。
- Windows:4.0.22及以上版本。
