一种基于透明代理设置攻击反制脚本的方法与流程

1.本发明涉及计算机技术领域，尤其涉及一种基于透明代理设置攻击反制脚本的方法。


背景技术：

2.蜜罐陷阱应用可以吸引攻击者访问，为了实现对攻击者进行攻击反制，蜜罐陷阱应用上需要提前设置好攻击反制脚本，当攻击者访问蜜罐陷阱应用时，蜜罐陷阱应用上的攻击反制脚本将会对攻击者自动发起攻击反制行为，从而可以获取攻击者身份信息、攻击设备指纹信息、攻击设备权限，达到攻击反制效果。
3.攻击反制脚本的传统设置方式，需要提前将攻击反制脚本提前设置到蜜罐陷阱应用的代码程序中，才能实现攻击反制效果，要求将攻击反制脚本提前设置到蜜罐陷阱应用的代码程序中，每次设置都会涉及到陷阱应用的代码程序的变更，若攻击者入侵蜜罐陷阱应用后，提前设置好的攻击反制脚本容易被攻击者发现。攻击反制脚本的传统设置方式存在设置不灵活、隐蔽性差的问题。因此，解决这一类的问题显得尤为重要。


技术实现要素：

4.针对上述问题，本发明提供了一种基于透明代理设置攻击反制脚本的方法，通过蜜罐透明代理网关，作为攻击者与蜜罐陷阱服务的中间人，并在蜜罐陷阱服务的响应包中按需插入攻击反制脚本，以达到对攻击者进行攻击反制的效果。
5.为了实现上述技术方案，本发明提供了一种基于透明代理设置攻击反制脚本的方法，包括有：将蜜罐陷阱应用映射给蜜罐透明代理网关，攻击者访问蜜罐透明代理网关时，蜜罐透明代理网关进行透明代理转发，将攻击者的访问请求透明代理转发至蜜罐陷阱应用，待蜜罐陷阱应用回复响应包后，蜜罐透明代理网关再将相关的蜜罐陷阱应用回复的响应包透明代理转发给攻击者。
6.进一步改进在于：所述蜜罐透明代理网关具备对攻击者发起中间人攻击的条件，蜜罐透明代理网关在蜜罐陷阱应用的回复数据包中按需插入不同的攻击反制脚本，隐蔽地让攻击者自动执行，并对攻击者实施攻击反制。
7.进一步改进在于，具体包括以下反制步骤：步骤一：攻击者（ip：1.1.1.1）访问蜜罐透明代理网关（ip：2.2.2.1），发送请求数据包；步骤二：蜜罐透明代理网关（ip：2.2.2.1）转发请求数据包给蜜罐陷阱服务，修改请求数据包中的源ip地址为2.2.2.1，修改请求数据包中的目标ip地址为：2.2.2.2；步骤三：蜜罐陷阱服务收到蜜罐透明代理网关的请求数据包后，正常返回响应包，响应包中源ip地址为2.2.2.2，目标ip为2.2.2.1；步骤四：蜜罐透明代理网关收到蜜罐陷阱服务返回的响应包，按需插入攻击反制脚本，本例子中插入了攻击反制脚本1，同时修改响应包中的源ip为2.2.2.1，修改目标ip为
攻击者ip：1.1.1.1，最后将响应包转发给攻击者；步骤五：攻击者接收到响应包后，自动执行攻击反制脚本1，自动将攻击反制脚本1的执行结果返回给蜜罐。
8.进一步改进在于，当攻击者后续对蜜罐透明代理网关再发起访问请求时，蜜罐透明代理网关充当中间人的角色，在返回响应包的同时，按需插入攻击反制脚本，进一步改进在于，具体反制步骤为：步骤一：当攻击者（ip：1.1.1.1）再次访问蜜罐透明代理网关（ip：2.2.2.1）时，再次发送请求数据包；步骤二：蜜罐透明代理网关（ip：2.2.2.1）转发请求数据包给蜜罐陷阱服务，修改请求数据包中的源ip地址为2.2.2.1，修改请求数据包中的目标ip地址为：2.2.2.2；步骤三：蜜罐陷阱服务收到蜜罐透明代理网关的请求数据包后，正常返回响应包，响应包中源ip地址为2.2.2.2，目标ip为2.2.2.1；步骤四：蜜罐透明代理网关收到蜜罐陷阱服务返回的响应包，可以按需插入攻击反制脚本，本例子中同时插入了攻击反制脚本1和攻击反制脚本2。并修改响应包中的源ip为2.2.2.1，修改目标ip为攻击者ip：1.1.1.1，最后将响应包转发给攻击者；步骤五：攻击者接收到响应包后，会自动执行攻击反制脚本1和攻击反制脚本2，自动将攻击反制脚本1和攻击反制脚本2的执行结果返回给蜜罐。
9.进一步改进在于：所述蜜罐透明代理网关给一个或多个蜜罐陷阱服务提供代理。
10.进一步改进在于，所述攻击反制脚本包括有：溯源攻击者信息类型的攻击反制脚本、威慑攻击者类型的攻击反制脚本、诱骗下载文件类型的攻击反制脚本、ddos攻击者主机的攻击反制脚本。
11.本发明的有益效果是：1、基于蜜罐透明代理网关，可以非常灵活在蜜罐陷阱服务的响应包中按需插入攻击反制脚本，相比传统设置攻击反制脚本的方式，更加灵活、更加隐蔽。
12.2、通过蜜罐透明代理网关，作为攻击者与蜜罐陷阱服务的中间人，并在蜜罐陷阱服务的响应包中按需插入攻击反制脚本，以达到对攻击者进行攻击反制的效果。在某一些场景中，攻击反制脚本也会描述为攻击反制代码、攻击反制程序、攻击反制模块等。
附图说明
13.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
14.图1为本发明的数据包发送与响应图。
15.图2为传统技术方案数据包发送与响应图。
具体实施方式
16.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于
本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
17.在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”、“第四”等仅用于描述目的，而不能理解为指示或暗示相对重要性。
18.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、
“ꢀ
相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
19.根据图1所示，本实施例提供了本发明提供了一种基于透明代理设置攻击反制脚本的方法，包括有：将蜜罐陷阱应用映射给蜜罐透明代理网关，攻击者访问蜜罐透明代理网关时，蜜罐透明代理网关进行透明代理转发，将攻击者的访问请求透明代理转发至蜜罐陷阱应用，待蜜罐陷阱应用回复响应包后，蜜罐透明代理网关再将相关的蜜罐陷阱应用回复的响应包透明代理转发给攻击者。
20.进一步改进在于：所述蜜罐透明代理网关具备对攻击者发起中间人攻击的条件，蜜罐透明代理网关在蜜罐陷阱应用的回复数据包中按需插入不同的攻击反制脚本，隐蔽地让攻击者自动执行，并对攻击者实施攻击反制。
21.进一步改进在于，具体包括以下反制步骤：步骤一：攻击者（ip：1.1.1.1）访问蜜罐透明代理网关（ip：2.2.2.1），发送请求数据包；步骤二：蜜罐透明代理网关（ip：2.2.2.1）转发请求数据包给蜜罐陷阱服务，修改请求数据包中的源ip地址为2.2.2.1，修改请求数据包中的目标ip地址为：2.2.2.2；步骤三：蜜罐陷阱服务收到蜜罐透明代理网关的请求数据包后，正常返回响应包，响应包中源ip地址为2.2.2.2，目标ip为2.2.2.1；步骤四：蜜罐透明代理网关收到蜜罐陷阱服务返回的响应包，按需插入攻击反制脚本，本例子中插入了攻击反制脚本1，同时修改响应包中的源ip为2.2.2.1，修改目标ip为攻击者ip：1.1.1.1，最后将响应包转发给攻击者；步骤五：攻击者接收到响应包后，自动执行攻击反制脚本1，自动将攻击反制脚本1的执行结果返回给蜜罐。
22.进一步改进在于，当攻击者后续对蜜罐透明代理网关再发起访问请求时，蜜罐透明代理网关充当中间人的角色，在返回响应包的同时，按需插入攻击反制脚本，进一步改进在于，具体反制步骤为：步骤一：当攻击者（ip：1.1.1.1）再次访问蜜罐透明代理网关（ip：2.2.2.1）时，再次发送请求数据包；步骤二：蜜罐透明代理网关（ip：2.2.2.1）转发请求数据包给蜜罐陷阱服务，修改请求数据包中的源ip地址为2.2.2.1，修改请求数据包中的目标ip地址为：2.2.2.2；
步骤三：蜜罐陷阱服务收到蜜罐透明代理网关的请求数据包后，正常返回响应包，响应包中源ip地址为2.2.2.2，目标ip为2.2.2.1；步骤四：蜜罐透明代理网关收到蜜罐陷阱服务返回的响应包，可以按需插入攻击反制脚本，本例子中同时插入了攻击反制脚本1和攻击反制脚本2，并修改响应包中的源ip为2.2.2.1，修改目标ip为攻击者ip：1.1.1.1，最后将响应包转发给攻击者；步骤五：攻击者接收到响应包后，会自动执行攻击反制脚本1和攻击反制脚本2，自动将攻击反制脚本1和攻击反制脚本2的执行结果返回给蜜罐。
23.所述蜜罐透明代理网关给一个或多个蜜罐陷阱服务提供代理。
24.所述攻击反制脚本包括有：溯源攻击者信息类型的攻击反制脚本、威慑攻击者类型的攻击反制脚本、诱骗下载文件类型的攻击反制脚本、ddos攻击者主机的攻击反制脚本。
25.实施例二如图2所示，一种攻击反制脚本的传统设置方式，具体步骤如下：步骤一：攻击者（ip：1.1.1.1）访问蜜罐陷阱服务（ip：2.2.2.2），发送请求数据包；步骤二：蜜罐陷阱服务提前设置了两种攻击反制脚本，实际使用中，也有可能使用设置更多种攻击反制脚本，此处以两个攻击反制脚本作为例子，当蜜罐陷阱服务收到请求数据包之后，在响应包中包含两个攻击反制脚本，让攻击者执行步骤三：攻击者接收到响应包后，会自动执行两个攻击反制脚本，自动将攻击反制脚本的执行结果返回给蜜罐。
26.攻击反制脚本的传统设置方式，需要提前将攻击反制脚本提前设置到蜜罐陷阱应用的代码程序中，才能实现攻击反制效果。
27.而在本发明中，蜜罐陷阱应用不直接暴露给攻击者访问，而是将相关蜜罐陷阱应用映射给蜜罐透明代理网关，当攻击者访问蜜罐透明代理网关时，蜜罐透明代理网关进行透明代理转发，将攻击者的访问请求透明代理转发至蜜罐陷阱应用，待蜜罐陷阱应用回复响应包后，蜜罐透明代理网关再将相关的蜜罐陷阱应用回复的响应包透明代理转发给攻击者。此过程中，蜜罐透明代理网关具备对攻击者发起中间人攻击的条件，蜜罐透明代理网关可以在蜜罐陷阱应用的回复数据包中按需插入不同的攻击反制脚本，隐蔽地让攻击者自动执行，灵活地对攻击者实施攻击反制。
28.本发明基于蜜罐透明代理网关，可以非常灵活在蜜罐陷阱服务的响应包中按需插入攻击反制脚本，相比传统设置攻击反制脚本的方式，更加灵活、更加隐蔽。
29.本发明通过蜜罐透明代理网关，作为攻击者与蜜罐陷阱服务的中间人，并在蜜罐陷阱服务的响应包中按需插入攻击反制脚本，以达到对攻击者进行攻击反制的效果。在某一些场景中，攻击反制脚本也会描述为攻击反制代码、攻击反制程序、攻击反制模块等。
30.以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。